Privacy Policy and Notice

นโยบายและประกาศความเป็นส่วนตัว

นโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)
บริษัท ไซเบอร์เซ็คเอ็กซ์ จำกัด (สำนักงานใหญ่)

บริษัท ไซเบอร์เซ็คเอ็กซ์ จำกัด ("บริษัทฯ") ให้ความสำคัญต่อการคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยในการประมวลผลข้อมูลอย่างสูงสุด เพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และมาตรฐานสากล ISO/IEC 27701:2019 บริษัทจึงได้จัดทำนโยบายฉบับนี้ขึ้น เพื่อแสดงถึงหลักการ แนวทาง และมาตรการในการเก็บรวบรวม ใช้ เปิดเผย และคุ้มครองข้อมูลส่วนบุคคลของลูกค้า ผู้ใช้งาน พันธมิตรธุรกิจ และบุคคลที่เกี่ยวข้องทุกฝ่าย
1. หลักการพื้นฐานในการประมวลผลข้อมูลส่วนบุคคล

บริษัทยึดหลักการสากลและตาม PDPA ในการประมวลผลข้อมูลส่วนบุคคล ดังนี้:

• ความชอบด้วยกฎหมาย ความเป็นธรรม และความโปร่งใส (Lawfulness, Fairness, Transparency)
• ความจำกัดตามวัตถุประสงค์ (Purpose Limitation)
• การใช้ข้อมูลอย่างจำกัดและจำเป็น (Data Minimization)
• ความถูกต้องของข้อมูล (Accuracy)
• การเก็บรักษาอย่างจำกัดเวลา (Storage Limitation)
• ความมั่นคงปลอดภัยและความลับ (Integrity and Confidentiality)
• ความสามารถในการแสดงความรับผิดชอบ (Accountability)

2. ข้อมูลส่วนบุคคลที่บริษัทประมวลผล

บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคล เช่น ชื่อ-นามสกุล ข้อมูลติดต่อ อีเมล หมายเลขโทรศัพท์ ข้อมูลบัญชีผู้ใช้งาน ข้อมูลการใช้งานเว็บไซต์หรือระบบอีเมล ข้อมูลเทคนิค เช่น IP address รวมถึงข้อมูลจราจรทางคอมพิวเตอร์ตาม พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 โดยข้อมูลจะถูกประมวลผลเท่าที่จำเป็นและสอดคล้องกับวัตถุประสงค์ที่ได้แจ้งไว้

3. แหล่งที่มาของข้อมูลส่วนบุคคล

บริษัทจะไม่เก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่ในกรณี ดังนี้

3.1 บริษัทได้รับข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรง โดยบริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลจากขั้นตอนการให้บริการ ดังนี้

• ขั้นตอนการใช้บริการกับบริษัทหรือขั้นตอนการยื่นคำร้องขอใช้สิทธิต่าง ๆ กับบริษัทเช่น การลงทะเบียนสมัครใช้บริการ การรับข้อมูลข่าวสาร การสมัครงาน เป็นต้น
• การเก็บข้อมูลโดยความสมัครใจของเจ้าของข้อมูลส่วนบุคคล เช่น การทำแบบสอบถาม (survey) หรือ การโต้ตอบทางที่อยู่อีเมล (email address) หรือช่องทางการสื่อสารอื่นๆ ระหว่างบริษัทและเจ้าของข้อมูลส่วนบุคคล
• การเก็บข้อมูลจากการใช้เว็บไซต์ของบริษัทผ่านเบราว์เซอร์คุกกี้ (browser’s cookies) ของเจ้าของข้อมูลส่วนบุคคล และการใช้บริการธุรกรรมทางอิเล็กทรอนิกส์

3.2 บริษัทได้รับข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลจากบุคคลที่สาม โดยบริษัทเชื่อโดยสุจริตว่าบุคคลที่สามดังกล่าวมีสิทธิเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลและเปิดเผยแก่บริษัทฯ

4. ฐานทางกฎหมายในการประมวลผลข้อมูล

การประมวลผลข้อมูลส่วนบุคคลของบริษัทจะกระทำบนพื้นฐานที่มีกฎหมายรองรับตามมาตรา 24 และ 26 ของ PDPA ได้แก่

• การปฏิบัติตามสัญญา (Contract)
• การปฏิบัติตามกฎหมาย (Legal Obligation)
• ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest)
• ประโยชน์สำคัญต่อชีวิต (Vital Interest)
• ความยินยอม (Consent) บริษัทจะขอความยินยอมจากท่าน กรณีที่มีกฎหมายกำหนดให้ขอความยินยอม หรือบริษัทไม่มีเหตุให้ใช้ฐานการประมวลผลข้างต้นเพื่อประมวลผลข้อมูลส่วนบุคคลที่เก็บรวบรวมมาจากท่านได้

5. วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล

บริษัทจะประมวลผลข้อมูลส่วนบุคคลเพื่อ

• ให้บริการระบบอีเมลและบริการที่เกี่ยวข้องแก่ลูกค้า
• ติดต่อสื่อสาร แจ้งเตือน และให้ข้อมูลเกี่ยวกับการให้บริการ
• ปรับปรุงและพัฒนาบริการให้ตอบสนองต่อความต้องการของผู้ใช้งาน
• ตรวจสอบ วิเคราะห์ และรายงานตามข้อกำหนดด้านความมั่นคงปลอดภัย
• ปฏิบัติตามกฎหมาย กฎระเบียบ และมาตรฐานที่เกี่ยวข้อง

6. การเก็บรักษาและมาตรการความมั่นคงปลอดภัย

บริษัทจะดำเนินการตามมาตรา 37 ของ PDPA และมาตรฐาน ISO/IEC 27701 โดยจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม ทั้งในด้านเทคนิค กายภาพ และการบริหารจัดการ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต ซึ่งรวมถึง

• การควบคุมสิทธิ์การเข้าถึงด้วยระบบยืนยันตัวตนและอนุญาตสิทธิ์
• การเข้ารหัสข้อมูล การปกป้องข้อมูลที่จัดเก็บและส่งผ่านระบบเครือข่าย
• การตรวจสอบและบันทึกกิจกรรมที่เกี่ยวข้องกับข้อมูล (logging & monitoring)
• การสำรองข้อมูล (Backup) และการกู้คืนในกรณีเกิดเหตุผิดปกติ (Disaster Recovery & BCP)
• การจัดอบรมความรู้ด้าน PDPA และ ISO/IEC 27701 ให้กับพนักงานและผู้มีส่วนเกี่ยวข้อง
• การทบทวน ทดสอบ และประเมินผลมาตรการความมั่นคงปลอดภัยอย่างสม่ำเสมอ
• กำหนดให้ผู้รับข้อมูลจากบริษัทมีหน้าที่ต้องรักษาความลับของข้อมูลส่วนบุคคลตามมาตรการรักษาความลับและประมวลผลข้อมูลส่วนบุคคลเฉพาะเจาะจงตามที่บริษัทกำหนดไว้

7. การเปิดเผยหรือโอนข้อมูล

บริษัทจะไม่เปิดเผยข้อมูลส่วนบุคคลให้บุคคลภายนอก เว้นแต่

• ได้รับความยินยอม
• เป็นไปตามกฎหมาย
• ว่าจ้างผู้ประมวลผลข้อมูลที่มีข้อตกลงด้านการคุ้มครองข้อมูลที่ชัดเจน และมีมาตรการความมั่นคงปลอดภัยตามมาตรฐานที่กฎหมายกำหนด

ในกรณีการโอนข้อมูลไปต่างประเทศ บริษัทจะตรวจสอบให้ประเทศปลายทางมีมาตรฐานคุ้มครองข้อมูลเพียงพอ

8. สิทธิของเจ้าของข้อมูล

เจ้าของข้อมูลส่วนบุคคลอาจใช้ตามกฎหมายดังนี้
ขอเข้าถึงและขอสำเนาข้อมูลส่วนบุคคล

• 1. สิทธิขอถอนความยินยอม
• 2. สิทธิขอเข้าถึงข้อมูล
• 3. สิทธิขอถ่ายโอนข้อมูล
• 4. สิทธิขอคัดค้าน
• 5. สิทธิขอให้ลบหรือทำลายข้อมูล
• 6. สิทธิขอให้ระงับการใช้ข้อมูล
• 7. สิทธิขอให้แก้ไขข้อมูล
• 8. สิทธิร้องเรียน ท่านมีสิทธิร้องเรียนต่อผู้มีอำนาจตามกฎหมายที่เกี่ยวข้อง หากท่านเชื่อว่าการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของท่านเป็นการกระทำในลักษณะที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายที่เกี่ยวข้อง

9. การใช้คุกกี้ (Cookies)

เว็บไซต์ของบริษัทใช้คุกกี้เพื่อวิเคราะห์พฤติกรรมการใช้งาน โดยจะแจ้งให้ผู้ใช้งานทราบ และขอความยินยอมเมื่อจำเป็นตามกฎหมาย

10. การแจ้งเหตุการณ์การรั่วไหลของข้อมูลส่วนบุคคล

บริษัทจะดำเนินการแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง นับแต่ทราบเหตุ และแจ้งเจ้าของข้อมูลหากมีความเสี่ยงสูงต่อสิทธิและเสรีภาพของบุคคล ทั้งนี้บริษัทมีแผนตอบสนองต่อเหตุการณ์ (Incident Response Plan) ตามมาตรฐาน ISO/IEC 27701

11. ช่องทางการติดต่อ
    หากท่านมีข้อสงสัยหรือประสงค์จะใช้สิทธิ กรุณาติดต่อ:

ผู้ควบคุมข้อมูลส่วนบุคคล
บริษัท ไซเบอร์เซ็คเอ็กซ์ จำกัด (สำนักงานใหญ่)

เลขที่ 189/166 หมู่ที่ 5, ต.บางขนุน อ.บางกรวย จ.นนทบุรี 11130
อีเมล contact@cybersecx.co.th
เว็บไซต์ www.cybersecx.co.th
หมายเลขโทรศัพท์ 095-142-4446

 

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
ทีมBD
เเลขที่ 189/166 หมู่ที่ 5, ต.บางขนุน อ.บางกรวย จ.นนทบุรี 11130
อีเมล contact@cybersecx.co.th
เว็บไซต์ www.cybersecx.co.th
หมายเลขโทรศัพท์ 095-142-4446

12. กฎหมายที่ใช้บังคับ

นโยบายคุ้มครองข้อมูลส่วนบุคคลนี้ อยู่ภายใต้การบังคับและการตีความตามกฎหมายไทยและศาลไทยเป็นผู้มีอำนาจในการพิจารณาข้อพิพาทใดที่อาจเกิดขึ้น

13. การปรับปรุงนโยบาย

บริษัทอาจปรับปรุงนโยบายนี้ตามความเหมาะสม โดยจะประกาศนโยบายฉบับปรับปรุงบนเว็บไซต์ของบริษัทฯ

นโยบายนี้ประกาศใช้เมื่อวันที่ …………

 

Cybersecurity is crucial because it protects all categories of data from theft and damage. This includes sensitive data, personally identifiable information (PII), protected health information (PHI), personal information, intellectual property, data, and governmental and industry information systems. Without a cybersecurity program, organizations cannot defend themselves against data breach campaigns, which can be costly and damaging to an organization's reputation. Furthermore, cybersecurity is vital for safeguarding national security, economic security, and public health and safety.

You can read more in detail from the full article on UpGuard's website. Here is the link: [Why is Cybersecurity Important? | UpGuard]
https://www.upguard.com/blog/why-is-cybersecurity-important

Cybersecurity threats that commonly impact organizations include malware, phishing attacks, zero-day exploits, and vulnerabilities associated with third-party services and cloud platforms. Each of these threats can lead to significant financial losses, data breaches, and damage to an organization's reputation.

1. **Malware**: Malicious software that can infiltrate systems to steal sensitive data, provide remote access to attackers, or disrupt operations. Organizations can protect against malware through multi-layered security measures like firewalls, intrusion prevention systems, and regular software updates.

2. **Phishing Attacks**: These are deceptive attempts to steal sensitive information such as usernames, passwords, and credit card details by disguising as a trustworthy entity in electronic communications. Combatting phishing requires robust user education and advanced URL filtering technologies to block harmful links and attachments.

3. **Zero-Day Exploits**: These are previously unknown vulnerabilities in software that hackers can exploit before the vendor releases a patch. Adopting a Zero Trust security model, which includes strict access controls and continuous verification, can help mitigate these threats.

4. **Third-Party and Cloud Vulnerabilities**: Organizations often rely on third-party vendors and cloud services, which can introduce security risks. Effective strategies include conducting thorough security assessments of vendors and implementing comprehensive cloud security measures, such as encryption and identity management.

For more detailed strategies on protecting against these threats and enhancing your organization's security posture, you can refer to the articles from ISACA and Palo Alto Networks:

- ISACA: Top Cybersecurity Threats
https://www.isaca.org/resources/news-and-trends/industry-news/2023/the-top-5-cybersecurity-threats-and-how-to-defend-against-them

- Palo Alto Networks: Common Cybersecurity Threats
https://www.paloaltonetworks.com/blog/2020/5-common-cybersecurity-threats

Cybersecurity precautions for organizations are essential to protect sensitive data, prevent financial losses, and secure infrastructure from cyber threats like malware, phishing, and zero-day attacks. These threats can result in data breaches, operational disruptions, and severe reputational damage. Cybersecurity also plays a critical role in national and economic security by safeguarding systems and networks critical to public safety and well-being.

Key cybersecurity measures include training employees on security best practices and phishing awareness, using technologies such as firewalls and intrusion detection systems, and maintaining robust incident response and disaster recovery plans. It's crucial for organizations to keep software up-to-date to mitigate vulnerabilities, regularly back up data, and enforce strong access controls.

The Cybersecurity and Infrastructure Security Agency (CISA) provides a comprehensive guide on cybersecurity best practices which can help organizations implement preventive measures to manage and mitigate cyber risks effectively.

For more detailed strategies on cybersecurity precautions, you can refer to the CISA's guide on cybersecurity best practices: Cybersecurity Best Practices | CISA
https://www.cisa.gov/cybersecurity-best-practices

Standard Consult