Navigation SearchNavigation ContactNavigation Products

จุดมุ่งเน้นที่แตกต่าง: ความปลอดภัยและความสมบูรณ์

ตั้งแต่เริ่มก่อตั้ง DDI ได้ให้ความสำคัญสูงสุดกับความสมบูรณ์ของข้อมูล  DDI มุ่งมั่นดำเนินธุรกิจของเราในรูปแบบที่ส่งเสริมความเชื่อมั่นและความไว้วางใจ ซึ่งหมายรวมถึงการใช้และการจัดการอย่างเหมาะสมต่อข้อมูลส่วนตัวที่เราได้รับจากโดยเพื่อนร่วมงาน ลูกค้า และผู้จำหน่าย  พนักงาน DDI ทุกคนทั่วโลกได้รับการฝึกอบรมเกี่ยวกับแนวปฏิบัติที่เป็นเลิศด้านความปลอดภัยของข้อมูลเพื่อช่วยป้องกันข้อมูลของลูกค้า

พันธกิจความปลอดภัยของเรา

  • มีความโปร่งใสในการใช้และจัดการข้อมูล
  • ช่วยให้ลูกค้าของเราได้รับประโยชน์สูงสุดจากข้อมูลของพวกเขาโดยมีความเสี่ยงน้อยที่สุด
  • ใช้ประโยชน์จากแนวปฏิบัติที่เป็นเลิศทั่วโลกในเรื่องนโยบายและมาตรการเกี่ยวกับข้อมูล
  • ให้การป้องกันและการรักษาความลับสูงสุดแก่ลูกค้าของเรา

วิธีการของเราในการจัดการความปลอดภัยของข้อมูล

DDI ใช้วิธีจัดการความปลอดภัยของข้อมูลแบบหลายขั้นตอนเพื่อปกป้องข้อมูลของผู้ใช้งาน (ข้อมูลผู้สมัคร ผู้ร่วมกิจกรรม ผู้เรียน ผู้ดูแล และลูกค้า) และป้องกันการเข้าถึง การเปลี่ยนแปลง หรือการทำลายที่ไม่ได้รับอนุญาต  นโยบายและกระบวนการของเราถูกออกแบบมาเพื่อ:

  • กำหนดกลไกเพื่อปกป้องข้อมูลและป้องกันจากการใช้งานที่ไม่ถูกต้อง
  • ให้ความรู้แก่พนักงานของ DDI เกี่ยวกับความสำคัญของการจัดการข้อมูลให้ปลอดภัยและรับรู้ถึงความเสี่ยงที่อาจเกิดขึ้น
  • เป็นช่องทางการสื่อสารสำหรับข้อซักถามจากภายนอกเกี่ยวกับนโยบายนี้และระบบที่เกี่ยวข้อง

การกำกับดูแลความปลอดภัย

เพื่อให้มั่นใจในความสมบูรณ์ของข้อมูล DDI มีทรัพยากร นโยบาย และกระบวนการที่อุทิศเพื่อการป้องกันข้อมูล รวมถึงเจ้าหน้าที่รักษาความปลอดภัยของข้อมูล (Data Security Officer) และเจ้าหน้าที่ป้องกันข้อมูล (Data Protection Officer) ซึ่งคอยทำหน้าที่ตรวจสอบตามมาตรฐานสากลอย่างสม่ำเสมอ 

เจ้าหน้าที่ป้องกันข้อมูล (Data Protection Officer – DPO) ของ DDI กำหนดและบังคับใช้วิสัยทัศน์และกลยุทธ์สำหรับโปรแกรมควบคุมมาตรฐานและความปลอดภัยของบริษัท โดยมีเป้าหมายเพื่อให้สอดคล้องกับสากล ทำให้แน่ใจว่าความเสี่ยงได้รับการจัดการอย่างเหมาะสมและประสบความสำเร็จตามวัตถุประสงค์

 

การฝึกอบรมความปลอดภัย

DDI ฝึกอบรมพนักงานในเรื่องความเป็นส่วนตัวของข้อมูล การรักษาความลับและแนวปฏิบัติที่เป็นเลิศด้านความปลอดภัย   ผู้ใช้งานได้รับการฝึกอบรมเพื่อให้รู้จักและหลีกเลี่ยงการถูกหลอกขโมยข้อมูลแบบฟิชชิง (Phishing) การล่อลวงแอบอ้างเพื่อขโมยข้อมูลแบบวิศวกรรมสังคม (Social Engineering) ลิงก์ที่เป็นอันตราย และการดาวน์โหลด

การประมวลผลข้อมูล

DDI ทำหน้าที่เป็นผู้ควบคุมข้อมูล (Data Controller) หรือผู้จัดการข้อมูล (Data Processor) โดยขึ้นอยู่กับบริบทของธุรกิจ  เมื่อข้อมูลถูกบันทึกและประมวลผลในบริบทของการตลาด การขาย หรือการวิจัยที่มี DDI เป็นแกนนำ DDI ทำหน้าที่เป็น “ผู้ควบคุมข้อมูลและปฏิบัติตามความขอบเขตรับผิดชอบและข้อกำหนดด้านความปลอดภัยของข้อมูล ตามที่ระบุไว้ในบทบาทนั้น  เมื่อข้อมูลถูกบันทึกและประมวลผลในบริบทของการดำเนินงานที่ลูกค้าเป็นผู้ว่าจ้าง ลูกค้าจะเป็นผู้ควบคุมข้อมูล  DDI ทำหน้าที่เป็น “ผู้จัดการข้อมูล” และปฏิบัติตามขอบเขตความรับผิดชอบและข้อกำหนดด้านความปลอดภัยของข้อมูล ตามที่ได้ระบุไว้ในบทบาทนั้น 

ความปลอดภัยในการเป็นพันธมิตร

ความปลอดภัยและการรักษาความลับข้อมูลลูกค้าของเราเป็นความรับผิดชอบร่วมกันระหว่าง DDI และลูกค้าของเรา  DDI ให้แพลตฟอร์มที่ลูกค้าสามารถเข้าถึงและใช้ประโยชน์ข้อมูลของพวกเขาได้  นอกจากนี้ DDI ยังให้เครื่องมือ บริการ การสนับสนุน และทรัพยากรที่ช่วยให้ลูกค้ามั่นใจถึงความปลอดภัยในข้อมูลของพวกเขาตลอดระยะเวลาที่ร่วมงานกัน อ่าน คำแถลงการณ์ความเป็นส่วนตัวของ DDI

ลูกค้าร่วมรับผิดชอบในการรักษาความปลอดภัยข้อมูลของพวกเขา ทั้งในระหว่างและหลังจากการการร่วมงานกับ DDI  ลูกค้าต้องรับทราบว่าข้อมูลใดถูกบันทึกและเก็บรักษาไว้ในระบบของ DDI และต้องกำหนดนโยบายการแบ่งปันข้อมูลที่เหมาะสมเพื่อให้แน่ใจว่าผู้ที่ได้รับอนุญาตเท่านั้นจึงจะสามารถเข้าถึงข้อมูลได้  นโยบายการแบ่งปันข้อมูลควรเป็นไปในแนวทางเดียวกับข้อกำหนดด้านความเสี่ยงและการควบคุมมาตรฐานซึ่งสัมพันธ์กับความสำคัญและประเภทของข้อมูล

ประเภทของข้อมูล

·        ข้อมูลส่วนตัว ประกอบด้วยข้อมูลใดๆ ที่สามารถระบุตัวตนบุคคลได้ เราเก็บรวบรวม เข้าถึง ใช้งาน หรือเปิดเผยข้อมูลส่วนตัวเพื่อวัตถุประสงค์ทางธุรกิจตามความจำเป็นและเหมาะสมเท่านั้น เราปกป้องข้อมูลนี้อย่างเหมาะสม และไม่แบ่งปันกับผู้ที่ไม่มีความ จำเป็นทางธุรกิจในปัจจุบัน ไม่ว่าจะภายในหรือภายนอกบริษัท

·        ข้อมูลที่ละเอียดอ่อน/เป็นความลับ เป็นทรัพย์สินข้อมูลใดๆ ที่ถูกปกป้องจากการเปิดเผยด้วยข้อกำหนดทางกฎหมาย หรือการเปิดเผยข้อมูลดังกล่าวอาจทำให้เกิดภัยคุกคามรุนแรงต่อการรักษาความลับของบุคคล  การเข้าถึงข้อมูลที่เป็นความลับนั้นจำกัดเพียงผู้ใช้งานภายในของ DDI ที่มีความจำเป็นต้องให้บริการตามสัญญาทางธุรกิจ และ/หรือจัดการด้านความปลอดภัย  การให้บริการซอฟต์แวร์ผ่านเว็บแอพพลิเคชั่น (Software as a Service – SaaS) ของ DDI ไม่ ได้รับหรือเก็บรักษาทรัพย์สินข้อมูลที่เป็นความลับ 

·        ข้อมูลเพื่อการวินิจฉัย/การปฏิบัติงาน ได้รับมาจากกระบวนการปฏิบัติงานตามสัญญาที่ทำกับลูกค้าของเรา โดยเป็นไปตามบริบทที่ลูกค้ากำหนดและเป็นเจ้าของ  ที่เก็บข้อมูลแอปพลิเคชันของ DDI มีการควบคุมเข้มงวดเพื่อป้องกันการเปิดเผยข้อมูลแก่ผู้ที่ไม่ได้รับอนุญาต  การเข้าถึงนั้นจำกัดไว้เฉพาะผู้ใช้งานภายในของ DDI ซึ่งจำเป็นต้องใช้ข้อมูลนี้ในการมอบบริการตามสัญญาทางธุรกิจ และ/หรือจัดการด้านความปลอดภัย ตลอดจนผู้ใช้งานที่ถูกกำหนดโดยลูกค้าและผู้ที่ได้รับอนุญาตตามนโยบายการแบ่งปันข้อมูลของลูกค้า

·        ข้อมูลสาธารณะ เป็นข้อมูลที่มีไว้เพื่อเผยแพร่แก่สาธารณะ หรืออาจเข้าถึงได้จากแหล่งสาธารณะ  อย่างไรก็ตาม ข้อมูลเกี่ยวกับบุคคลส่วนใหญ่ได้รับการดูแลเป็นความลับหรือเป็นข้อมูลที่ละเอียดอ่อนแม้จะมีให้ใช้ได้สาธารณะ

สิทธิ์การเข้าถึงขั้นต่ำ

เข้าถึงข้อมูล

การเข้าถึงข้อมูลทั้งหมด (โดยไม่คำนึงถึงประเภท) เป็นไปตามโมเดลความปลอดภัยแบบ “ความจำเป็นขั้นต่ำ” เช่น ให้อนุญาตแก่ผู้ที่มีความจำเป็นทางธุรกิจตามกฎหมาย ตัวอย่างเช่น ผู้ใช้งาน ผู้ดูแลลูกค้า และฝ่ายต่างๆ รวมถึงฝ่ายสนับสนุนลูกค้าของ DDI  อาจมีการใช้มาตรการอื่นเพิ่มเติมเพื่อให้มั่นใจว่าข้อมูลนั้นปลอดภัยตามข้อกำหนดของแต่ละประเภท  บุคคลที่อาจได้รับอนุญาตให้เข้าถึงข้อมูลประกอบด้วย:

ผู้ใช้งาน

ผู้ใช้งาน คือผู้ที่เกี่ยวข้องกับกระบวนการออนไลน์ (เช่น การทดสอบหรือการประเมิน) หรือสร้าง หรือตอบแบบสำรวจ

ผู้ดูแลลูกค้า

ผู้ดูแลลูกค้า คือผู้ใช้ระบบที่จัดการเกี่ยวกับบัญชีและกระบวนการภายในระบบแอปพลิเคชันของ DDI เช่น ผู้จัดการสรรหา ผู้เชี่ยวชาญการพัฒนาพนักงาน และผู้อื่นที่อยู่ในฝ่ายทรัพยากรบุคคล  ผู้ดูแลอาจเป็นพนักงานของลูกค้า หรือพนักงานของ DDI ซึ่งป้อนข้อมูลส่วนตัวแทนลูกค้าหรือผู้สมัคร และอาจช่วยดำเนินการในแต่ละขั้นตอน 

ฝ่ายสนับสนุน

เมื่อผู้ใช้งานต้องการความช่วยเหลือทางเทคนิคจากฝ่ายสนับสนุนด้านผลิตภัณฑ์ของ DDI ผู้ใช้งานนั้นอาจอนุญาตให้ตัวแทนฝ่ายสนับสนุนเข้าถึงบัญชีได้เป็นการชั่วคราว  ฝ่ายสนับสนุนอาจจำเป็นต้องดูการทดสอบ การประเมิน หรือการสำรวจของผู้ใช้งาน ซึ่งเป็นส่วนหนึ่งของวิธีการช่วยเหลือแก้ไขปัญหา

เข้าถึงแอปพลิเคชัน

แอปพลิเคชันใช้โมเดลความปลอดภัยตามบทบาทหน้าที่ในการกำหนดสิทธิ์การเข้าถึง ข้อมูลลูกค้าถูกแยกออกจากกันตามไซต์ เอกสาร ผู้ใช้ และเกณฑ์อื่นๆ  การเปลี่ยนแปลงระบบถูกควบคุมผ่านกระบวนการจัดการการเปลี่ยนแปลงที่ดีที่สุด

เข้าถึงบัญชี

ผู้ใช้งานได้รับอนุญาตในระดับ ‘การเข้าถึงขั้นต่ำ’ เพื่อให้ทำงานได้อย่างมีประสิทธิภาพและประสิทธิผล  การดูแลและการจัดการบัญชีถูกควบคุมอย่างเข้มงวดโดย DDI บัญชีผู้ใช้งานต้องมีรหัสผ่านที่เดาได้ยากและโปรแกรมรักษาหน้าจอต้องมีรหัสผ่าน  การเข้าถึงบัญชีจะถูกยกเลิกโดยทันทีหากเข้าใช้งานไม่สำเร็จหลายครั้ง หรือเมื่อสิ้นสุดการจ้างงาน

 

เข้าถึงฐานข้อมูล

พนักงานเพียงไม่กี่คนในฝ่ายวิศวกรของเรามีสิทธิ์เข้าถึงในระดับฐานข้อมูล การเข้าถึงนี้ใช้สำหรับสำรองข้อมูลจากภายนอก และกู้ข้อมูล ทั้งหมดนี้ทำโดยไม่เห็นรายละเอียดข้อมูล

เข้าถึงศูนย์ข้อมูลหรือข้อมูลสำรอง

การเข้าถึงศูนย์ข้อมูลทางกายภาพถูกจำกัดไว้ให้เพียงพนักงานของ DDI ตามรายชื่อที่กำหนดเท่านั้น การเข้าถึงทางกายภาพไม่ได้หมายถึงการเข้าถึงข้อมูล สื่อทางกายภาพอยู่ในเซิร์ฟเวอร์ที่ถูกล็อกอยู่ในตู้ ข้อมูลสำรองภายนอกถูกเก็บไว้ในห้องที่ปลอดภัยแบบกันไฟได้ การเข้าถึงห้องนี้ถูกจำกัดและมีการบันทึกเข้าออก

การส่งข้อมูลที่ปลอดภัย

เมื่อมีการใช้แอปพลิเคชันของ DDI ข้อมูลมักจะถูกส่งต่อกันระหว่างสามฝ่ายสำคัญ ได้แก่ ลูกค้า พนักงาน/ผู้สมัครของลูกค้า และ DDI  เมื่อผู้ใช้งานเข้าถึงแอปพลิเคชันของ DDI ข้อมูลที่พวกเขาให้จะถูกส่งด้วยวิธีการเข้ารหัสลับที่ปลอดภัย (HTTPS)  ข้อมูลที่ประมวลผลโดยเซิร์ฟเวอร์แอปพลิเคชันของเรา จะถูกส่งไปยังเซิร์ฟเวอร์ฐานข้อมูลของเราเพื่อเก็บรักษา เว็บ/แอปพลิเคชัน และเซิร์ฟเวอร์ฐานข้อมูลอยู่ในเครือข่ายเชิงตรรกและเครือข่ายทางกายภาพที่แยกจากกัน ซึ่งมีไฟร์วอลล์ป้องกัน

DDI ใช้ SSL/TLS 1.2 สำหรับการเข้าถึงข้อมูลแอปพลิเคชันบน HTTPS อย่างปลอดภัย เทคโนโลยี SSL ถูกใช้เป็นมาตรฐานสำหรับแอปพลิเคชันของ DDI ทั้งหมด และเทปสำรองทั้งหมดถูกเข้ารหัสลับโดยใช้ 256bit AES การเข้ารหัสลับถูกใช้สำหรับรหัสผ่านที่เก็บไว้ในฐานข้อมูลแอปพลิเคชัน  ทุกไฟล์ (ในทุกระดับการรักษาความลับ) ถูกเข้ารหัสลับเมื่อมีการคัดลอกจากแล็ปท็อปของ DDI ไปยังอุปกรณ์เก็บข้อมูลภายนอก

กระบวนการพัฒนาผลิตภัณฑ์และการจัดการโค้ด

วงจรการปรับปรุงพัฒนา

DDI ใช้โมเดลการพัฒนาแบบ Agile  Agile เป็นวิธีการพัฒนาซอฟต์แวร์แบบทำซ้ำ มีความว่องไว ช่วยให้ DDI ตอบสนองความต้องการของลูกค้าได้อย่างรวดเร็ว  เรามีวงจรการปล่อยโค้ดใหม่ที่ได้วางแผนไว้ – โดยปกติแล้วจะปล่อยทุกสัปดาห์ – ซึ่งหมายความว่าประมาณสัปดาห์ละครั้ง DDI จะปล่อยคุณลักษณะใหม่และการอัพเกรด  โมเดลการพัฒนาแบบ Agile ทำให้มีโอกาสบ่อยครั้งที่จะปรับปรุงประสิทธิภาพของคุณลักษณะที่มีอยู่แล้ว และ/หรือเพิ่มคุณลักษณะใหม่เข้ามา นอกเหนือจากวงจรนี้ เรายังสามารถปรับปรุงได้ในทันที (“แก้ไขด่วน”) ตามความเร่งด่วน

สภาพแวดล้อมของการพัฒนา (ดิจิทัล)

DDI ใช้แอปพลิเคชันที่แยกออกมาต่างหากในการทดสอบโค้ดที่ถูกอัพเดต เช่นเดียวกันก็ใช้แอปพลิเคชันแยกสำหรับโค้ดระยะเริ่มต้นและซอฟต์แวร์ระยะพัฒนา วิธีการนี้ป้องกันข้อมูลจากการถูกควบคุมหรือเข้าถึงโดยโค้ดที่ยังอยู่ระหว่างการพัฒนา  โค้ดที่กำลังพัฒนาทั้งหมดจะทำงานบน “ฐานข้อมูลจำลอง”

การตรวจสอบโค้ด

โปรแกรมเมอร์ทำงานทั้งแบบเดี่ยวและแบบทีมเพื่อพัฒนาโค้ดใหม่  เมื่อวงจรการพัฒนาแต่ละตัวใกล้สิ้นสุด โค้ดจะถูกตรวจสอบโดยผู้ร่วมงานและทดสอบในสภาพแวดล้อมของ QA ซึ่งแยกจากสภาพแวดล้อมของตัวที่ใช้งานจริง  ในช่วงของการทดสอบนี้ ข้อผิดพลาดส่วนใหญ่จะได้รับการแก้ไขก่อนที่จะไปสู่การใช้งานจริง  โค้ดยังถูกตรวจสอบด้วยโปรแกรมเพื่อหาช่องโหว่ โดยใช้เครื่องมือ NTOSpider

การจัดการโค้ด

Git ถูกใช้เพื่อจัดการกับกระบวนการพัฒนาซอฟต์แวร์และทำหน้าที่เป็นที่เก็บโค้ดต้นแบบ  เครื่องมือ Git และกระบวนการที่เกี่ยวข้องทำให้มั่นใจว่าสิ่งที่เปลี่ยนแปลงจะไม่ถูกเขียนทับ เนื่องจากนักพัฒนาซอฟต์แวร์หลายคนทำการเปลี่ยนแปลงในโมดูลเดียวกัน  กระบวนการควบคุมการเปลี่ยนแปลงมีอยู่หลากหลายระดับภายในกระบวนการพัฒนา การตรวจสอบ QA และการนำไปใช้ อัน ได้แก่:

  • เอกสารและกรรมสิทธิ์ในการขอเปลี่ยนแปลง รวมถึงการทบทวน การอนุมัติ และเอกสารบันทึกของการเปลี่ยนแปลงทั้งหมดโดยเจ้าของแอปพลิเคชัน
  • ขั้นตอนการอนุมัติสำหรับการเลื่อนระดับโค้ดจากพัฒนาเป็นตรวจสอบคุณภาพ จากตรวจสอบคุณภาพเป็นเตรียมใช้งาน และจากเตรียมใช้งานเป็นใช้งานจริง
  • การทดสอบซอฟต์แวร์และกระบวนการ QA แบบหลายช่วง (การทดสอบหน่วยตามด้วยการทดสอบระบบ ตามด้วยการทดสอบการยอมรับของผู้ใช้งาน) การพัฒนาและการทดสอบหน่วยทำโดยนักพัฒนาซอฟต์แวร์ภายใต้ระบบการพัฒนาที่แยกจากกัน ก่อนที่จะถูกปล่อยให้ไปทดสอบระบบและการยอมรับของผู้ใช้งานบนระบบที่แยกออกไป

ความปลอดภัยในโครงสร้างพื้นฐาน

การรักษาความปลอดภัยของสถานที่โฮสต์

DDI โฮสต์แอปพลิเคชันที่ลูกค้าใช้ไว้ในศูนย์ข้อมูลที่ได้รับการรับรองตามมาตรฐาน SSAE18, SOC 2 Type II, ISO / IEC 27001:2013, HIPAA/HITECH, PCI DSS 3.1

โครงสร้างพื้นฐานเซิร์ฟเวอร์ของ DDI ถูกจัดเก็บในพื้นที่ปิดมิดชิดขนาด 8’ x 16’  การเข้าถึงพื้นที่นี้ถูกจำกัดเพียงพนักงาน DDI ที่รับผิดชอบการจัดการเซิร์ฟเวอร์แอปพลิเคชันและส่วนประกอบของเครือข่าย ศูนย์ข้อมูลได้นำระบบที่รัดกุมมาใช้เพื่อมอบความปลอดภัยและการป้องกันสถานที่ทางกายภาพ 

เนื่องจากเซิร์ฟเวอร์อาจตกเป็นเป้าหมายของการโจมตีได้ DDI จึงทำให้แน่ใจว่าเซิร์ฟเวอร์ของตนได้รับการป้องกันความปลอดภัยอย่างเหมาะสม  กระบวนการของ DDI ในการเพิ่มความปลอดภัยให้กับเซิร์ฟเวอร์ประกอบด้วยมาตรการดังต่อไปนี้  [ด้วยเหตุผลด้านความปลอดภัย เราไม่สามารถแสดงรายละเอียดของการควบคุมความปลอดภัยของเราได้]

  • การปิดการใช้งานหรือถอดบริการ แอปพลิเคชัน และโพรโตคอลเครือข่ายที่ไม่จำเป็นออกไป
  • การปิดการใช้งานของบัญชีผู้ใช้ที่ไม่ต้องการอีกต่อไปและตั้งชื่อบัญชีเริ่มต้นใหม่
  • ข้อกำหนดรหัสผ่านกำหนดให้ปฏิบัติตามนโยบายรหัสผ่านของ DDI
  • การเปิดใช้งานการลงชื่อเข้าใช้เซิร์ฟเวอร์และแนวทางการตรวจสอบ
  • การติดตั้งซอฟต์แวร์ป้องกันไวรัส / มัลแวร์ด้วยไฟล์ข้อกำหนดปัจจุบัน
  • กำหนดบนโปรแกรมแก้ไขความปลอดภัยปัจจุบันว่า ทดสอบตัวใดก่อนบนแพลตฟอร์มการทดสอบ

ความต่อเนื่อง

ระบบขนาน/สำรองฮอตซิงค์ของศูนย์ข้อมูลทำการจ่ายไฟสำรองผ่านเครื่องสำรองไฟ (UPS) และเครื่องปั่นไฟฟ้าสำรอง  มีการเชื่อมต่อกับเครือข่ายของบริษัทสื่อสารหลายบริษัทเพื่อการเข้าถึงอินเทอร์เน็ตสำรอง และการเชื่อมต่อเป็นแบบแบ่งโหลดและให้บริการโดยหลาย ISP

การกู้คืนความเสียหาย

DDI คงไว้ซึ่งแผนการกู้คืนความเสียหายโดยละเอียดสำหรับการกู้คืนบริการธุรกิจในกรณีที่เกิดความผิดพลาดของระบบขนาดใหญ่ แผนนี้ได้รับการอัปเดตเมื่อมีการเปลี่ยนแปลงแก่โครงสร้างพื้นฐานของระบบหรือการกำหนดค่าเว็บฟาร์มการผลิต

ความปลอดภัยของเครือข่าย

โครงสร้างพื้นฐานเครือข่ายของเราประกอบด้วยอุปกรณ์ HA แบบคู่ที่มีโหลดบาลานซ์และความสามารถในการเร่ง โดยฟังคำร้องขอทางพอร์ต TCP 80 หรือ 443 (ขึ้นอยู่กับระดับ SSL) ไปยังที่อยู่ IP ภายนอกของเว็บไซต์  DDI ใช้ระบบการตรวจจับทั้งแบบบนโฮสต์และบนเครือข่าย ซึ่งมีการตรวจสอบและตอบสนองใน 24x7x365

 

การป้องกันมัลแวร์/ไวรัส

สภาพแวดล้อมการตรวจสอบของเราถูกกำหนดให้ส่งสัญญาณเตือนโดยอัตโนมัติไปยังพนักงานที่พร้อมเรียกใช้ 24/7/365  ระบบทั้งหมด – พีซี เซิร์ฟเวอร์ ระบบเกตเวย์ ฯลฯ - ได้รับการป้องกันโดยซอฟต์แวร์ป้องกันไวรัสปลายทางและซอฟต์แวร์ “zero-day protection” ของ Microsoft ที่ได้รับการจัดการและอัปเดตจากส่วนกลาง 

การเก็บรักษา & การทำลายข้อมูล

DDI ใช้นโยบายการเก็บรักษาที่ครอบคลุมในการจัดการและป้องกันข้อมูลส่วนตัว  ตามมาตรฐานการปฏิบัติที่เป็นเลิศ DDI ไม่เก็บข้อมูลส่วนตัวนานเกินกว่าที่จำเป็นต้องใช้เพื่อการปฏิบัติหน้าที่ตามสัญญา และ/หน้าที่ตามกฎหมาย  นโยบายของเรา (1) ต้องการให้ข้อมูลส่วนตัวถูกลบ/ทำลาย หรือไม่มีการระบุชื่อหลังจากระยะเวลาการเก็บรักษาสิ้นสุดลง ซึ่งไม่เกิน 5 ปี; และ (2) อนุญาตให้ข้อมูลในรูปแบบที่ข้อมูลส่วนตัวถูกกำจัดออกไปถูกเก็บรักษาไว้ได้แบบไม่มีกำหนดเพื่อวัตถุประสงค์ทางธุรกิจและการวิจัย

ก่อน 25 พฤษภาคม 2018 ข้อมูลจะได้รับการสำรองเพิ่มขึ้นทุกคืน เพื่อให้แน่ใจว่าแอปพลิเคชันและข้อมูลลูกค้าทั้งหมดถูกเก็บรักษาไว้และถูกเรียกใช้ได้ในกรณีที่เกิดการสูญหายหรือความล้มเหลวของข้อมูล  หลังจากวันที่ดังกล่าว การสำรองข้อมูลในเวลากลางคืนจะเก็บรักษาไว้เป็นเวลาสามสิบ (30) วัน

กำหนดการสำรองข้อมูลและการรักษาข้อมูล

  • เซิร์ฟเวอร์ไฟล์ทางกายภาพและข้อมูลสำรองจากเซิร์ฟเวอร์ฐานข้อมูล: (เก็บรักษาไว้เป็นเวลา 35 วันบนดิสก์)
  • Production VMs: (เก็บรักษาไว้เป็นเวลา 35 วันบนดิสก์)
  • เว็บไซต์ลูกค้า SharePoint: (เก็บรักษาไว้เป็นเวลา 35 วันบนดิสก์)
  • การคัดลอกไว้บนเทปรายเดือน: (เก็บรักษาไว้เป็นเวลา 1 ปีบนเทป)
  • การคัดลอกไว้บนเทปรายปี: (เก็บรักษาไว้เป็นเวลา 5 ปีบนเทป)

การตอบสนองต่อเหตุการณ์ความปลอดภัย

DDI บังคับใช้การป้องกันเหตุการณ์ความปลอดภัยและแผนการตอบสนองที่ครอบคลุม ประกอบด้วย การตรวจจับการบุกรุก การสแกน และวิธีการอื่นๆ ที่มีประสิทธิภาพและเหมาะสม แม้เหตุการณ์ที่เกี่ยวกับคอมพิวเตอร์จะถือเป็นเรื่องปกติ แต่เหตุการณ์ที่ไม่ได้เกี่ยวกับคอมพิวเตอร์ก็สามารถรายงานได้ผ่านสายด่วนเหตุการณ์ หรือโดยการติดต่อ DPO ของ DDI หรือที่ปรึกษาของบริษัท  DDI จะรายงานเหตุการณ์ที่น่าสงสัย หรือเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้นจริงที่ส่งผลกระทบ หรือสามารถส่งผลกระทบต่อลูกค้าและผู้มีอำนาจที่เกี่ยวข้อง ภายใน 72 ชั่วโมง ของการค้นพบถึงการละเมิดความปลอดภัยนั้น  ทันทีที่เหตุการณ์ได้รับการแก้ไขให้ถูกต้องและได้ทำการแจ้งให้ทราบตามความเหมาะสมแล้ว DDI จะยังคงใช้มาตรการเพื่อปรับปรุงการควบคุมความเป็นส่วนตัวให้ดียิ่งขึ้นเพื่อป้องกันการเกิดซ้ำ

การควบคุมมาตรฐาน

ใบรับรอง

SSAE-18:  DDI เก็บรักษาข้อมูลไว้ในศูนย์ข้อมูลที่ได้รับการตรวจสอบ SAS 70 Type II ประจำปีซึ่งมีความเที่ยงตรงเท่านั้น โปรดทราบว่า SAS 70 ถูกแทนที่ด้วย Statement on Standards for Attestation Engagements (SSAE) No. 18 และศูนย์ข้อมูลของเราได้รับการรับรองตามมาตรฐานนั้น

ISO 27001:  DDI ปฏิบัติตามมาตรฐานความปลอดภัยสากลที่ใช้อย่างแพร่หลาย ที่ได้รับการพัฒนาโดยองค์การระหว่างประเทศว่าด้วยการมาตรฐาน (ISO) และใช้ศูนย์ข้อมูลที่ปฏิบัติตามการประเมินผลตามระยะเวลาและใบรับรองรายปีเท่านั้น

SOC 1/ SOC 2 – DDI ไม่ได้รับการรับรองโดย SOC 1 หรือ SOC 2  แต่อย่างไรก็ตาม ผู้ให้บริการโฮสติ้งข้อมูลของ DDI ได้ใบรับรอง SOC 2 

ข้อมูลที่เป็นความลับ

ก่อนการว่าจ้าง พนักงาน DDI ทุกคนต้องลงชื่อในข้อตกลงการรักษาความลับที่กล่าวถึงความสำคัญและความเสี่ยงของการจัดการกับข้อมูลที่เป็นความลับ  หากพบว่าผู้ใดละเมิดนโยบายนี้ จะถูกยกเลิกการว่าจ้างโดยทันทีหรือถูกดำเนินการทางกฎหมาย

การตรวจสอบภูมิหลัง

โดยปกติแล้ว DDI จะใช้ตัวแทนบุคคลที่สามในการทำการตรวจสอบภูมิหลังของผู้สมัครงานที่อยู่ในขั้นตอนการเสนองานของกระบวนการสรรหา ประเภทของข้อมูลที่อาจถูกรวบรวมโดยตัวแทน ประกอบด้วยแต่ไม่จำกัดเพียงข้อมูลเกี่ยวกับการจ้างงานที่ผ่านมา การศึกษา ลักษณะนิสัย การเงิน ชื่อเสียง ฯลฯ ของผู้สมัคร การตรวจสอบภูมิหลังทั้งหมดจะทำตามกฎหมายแห่งสหพันธรัฐและของรัฐที่บังคับใช้

การตรวจสอบ SSN

พนักงานที่อยู่ในสหรัฐอเมริกาได้รับการตรวจสอบแล้วว่าเป็นคนทำงานที่ถูกต้องตามกฎหมายสหรัฐอเมริกา และหมายเลขประกันสังคมหรือการอนุญาตทำงานได้รับการตรวจสอบแล้ว

ข้อบังคับการป้องกันข้อมูลของสหภาพยุโรป

DDI มีสำนักงานใหญ่อยู่ในสหรัฐอเมริกาและให้บริการลูกค้าทั่วโลก และได้ใช้กลไกเพื่อทำให้มั่นใจว่าข้อมูลที่ส่งจากสหภาพยุโรปไปยังสหรัฐอเมริกา มีการป้องกันตามกฎหมายที่กำหนดโดยข้อบังคับการป้องกันข้อมูลของสหภาพยุโรป (EU Data Protection Regulations) ประกอบด้วย Privacy Shield (ทดแทน Safe Harbor)  EU Model Contract clauses และความยินยอมของผู้ใช้  การรับรองของ DDI ภายใต้โปรแกรม Privacy Shield อาจดูได้จากเว็บไซต์ Privacy Shield ที่: https://www.privacyshield.gov/

EU Model Clauses

EU Model Clause เป็นภาคผนวกของสัญญามาตรฐานระหว่างผู้ให้บริการ เช่น DDI และลูกค้า ออกแบบมาเพื่อทำให้มั่นใจว่าข้อมูลส่วนตัวใดๆ ที่ออกจาก EEA จะถูกส่งไปโดยการปฏิบัติตามกฎหมายการป้องกันข้อมูลของสหภาพยุโรป และตรงกับข้อกำหนดของ EU Data Protection Directive 95/46/EC

ข้อบังคับการป้องกันข้อมูลทั่วไป

เมื่อวันที่ 25 พฤษภาคม 2018 ข้อบังคับเกี่ยวกับความเป็นส่วนตัวใหม่ที่เรียกกว่า ข้อบังคับการป้องกันข้อมูลทั่วไป (General Data Protection Regulation - GDPR) เริ่มมีผลบังคับใช้  GDPR ได้ขยายสิทธิ์ความเป็นส่วนตัวและกำหนดความรับผิดชอบใหม่แก่ผู้ให้บริการ เช่น DDI ที่เก็บและประมวลผลข้อมูลส่วนตัวในสหภาพยุโรป  DDI มองเห็น GDPR เป็นโอกาสในการทำให้คำมั่นของการปฏิบัติที่เป็นเลิศต่อความเป็นส่วนตัวและการป้องกันข้อมูลทั้งภายในและแก่ลูกค้าให้ลึกซึ้งมากยิ่งขึ้น

ในส่วนของข้อกำหนดทางกฎหมายอื่นๆ การปฏิบัติตาม GDPR จำเป็นต้องใช้ความร่วมมือระหว่าง DDI ผู้ดำเนินการย่อยและลูกค้าของเรา DDI จะปฏิบัติตาม GDPR ในการส่งมอบบริการแก่ลูกค้าของเรา และเรายังทุ่มเทในการให้ความช่วยเหลือลูกค้าของเราให้ปฏิบัติตาม เราได้วิเคราะห์ข้อกำหนดของ GDPR อย่างถี่ถ้วนและพยายามที่จะเพิ่มประสิทธิภาพในผลิตภัณฑ์ สัญญา และคู่มือของเรา เพื่อสนับสนุน DDI และลูกค้าของเราให้ปฏิบัติตาม GDPR   

ผู้ให้บริการบุคคลที่สาม

DDI ใช้ผู้ให้บริการบุคคลที่สามในการจัดหาบริการของเราให้แก่คุณดังที่ระบุไว้ในข้อตกลงของเรา  เราใช้แอปพลิเคชัน ตรวจสอบ และกระบวนการตรวจสอบอย่างเข้มงวด เพื่อให้แน่ใจว่าเป็นไปในทิศทางเดียวกับพารามิเตอร์และข้อกำหนดของการประมวลผลข้อมูล  ผู้ให้บริการบุคคลที่สามทั้งหมดจะต้องปฏิบัติตามมาตรฐานการประมวลผลข้อมูล การป้องกัน และความปลอดภัยของ DDI

สำหรับรายชื่อของผู้ดำเนินการย่อย โปรดดูที่ https://www.ddiworld.com/thirdpartyproviders

พูดคุยกับผู้เชี่ยวชาญ: GISP
Denotes required field
 
 
 
 
 
 
 
 
Consent to DDI Marketing 

ข้าพเจ้ายินยอมให้ DDI เก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคลของข้าพเจ้าในการจัดหาบริการให้แก่ข้าพเจ้าและเพื่อจุดประสงค์ด้านการตลาดและการวิจัย ข้าพเจ้าตระหนักถึงสิทธิ์ของตนเองและลักษณะที่ข้อมูลของข้าพเจ้าจะถูกใช้ดังที่มีการอ้างอิงอยู่ใน นโยบายความเป็นส่วนตัวของข้อมูลของ DDI

Please enter the number from this image
 Security code