นโยบายความปลอดภัย
นโยบายความปลอดภัยของ OpenMirai - วิธีที่เราปกป้องข้อมูลของคุณและรักษาความปลอดภัยของแพลตฟอร์ม
ความปลอดภัยของคุณเป็นลำดับความสำคัญของเรา
ที่ OpenMirai เราให้ความสำคัญกับความปลอดภัยอย่างจริงจัง นโยบายความปลอดภัยนี้อธิบายวิธีที่เราปกป้องข้อมูลของคุณ รักษาความปลอดภัยของแพลตฟอร์ม และสิ่งที่คุณสามารถทำได้เพื่อช่วยรักษาความปลอดภัยของข้อมูลของคุณ
คำมั่นสัญญาของเรา: เราให้การลงทุนอย่างมากในมาตรการความปลอดภัยเพื่อปกป้องข้อมูลของคุณและให้แน่ใจว่าแพลตฟอร์มของเรายังคงปลอดภัยและเชื่อถือได้สำหรับผู้ใช้ทุกคน
กรอบความปลอดภัยของเรา
แนวทางความปลอดภัยหลายชั้น:
- ความปลอดภัยของโครงสร้างพื้นฐาน: โครงสร้างพื้นฐานคลาวด์และศูนย์ข้อมูลที่ปลอดภัย
- ความปลอดภัยของแอปพลิเคชัน: การปฏิบัติการเขียนโค้ดที่ปลอดภัยและการทดสอบความปลอดภัยเป็นประจำ
- ความปลอดภัยของข้อมูล: การเข้ารหัสและการควบคุมการเข้าถึงสำหรับข้อมูลทั้งหมด
- ความปลอดภัยของเครือข่าย: การเชื่อมต่อเครือข่ายที่ได้รับการปกป้องและการติดตาม
- ความปลอดภัยทางกายภาพ: สิ่งอำนวยความสะดวกที่ปลอดภัยและการควบคุมการเข้าถึง
มาตรฐานความปลอดภัยที่เราปฏิบัติตาม:
- แนวทางที่ดีที่สุดของอุตสาหกรรม: ปฏิบัติตามกรอบความปลอดภัยที่จัดตั้งขึ้น
- การปฏิบัติตามระเบียบ: การปฏิบัติตาม GDPR, CCPA และข้อกำหนดอื่นๆ
- การตรวจสอบเป็นประจำ: การประเมินความปลอดภัยและใบรับรองจากบุคคลที่สาม
- การติดตามอย่างต่อเนื่อง: การติดตามความปลอดภัยและการตรวจจับภัยคุกคาม 24/7
- การตอบสนองเหตุการณ์: แผนที่เตรียมไว้สำหรับเหตุการณ์ความปลอดภัย
มาตรการการปกป้องข้อมูล
มาตรฐานการเข้ารหัส:
- ข้อมูลที่เหลือ: การเข้ารหัส AES-256 สำหรับข้อมูลที่เก็บไว้
- ข้อมูลในการส่ง: การเข้ารหัส TLS 1.3 สำหรับการสื่อสารทั้งหมด
- การเข้ารหัสฐานข้อมูล: การเก็บข้อมูลฐานข้อมูลและการสำรองข้อมูลที่เข้ารหัส
- การเข้ารหัสไฟล์: การเก็บไฟล์และการแชร์ที่เข้ารหัส
- ความปลอดภัยของ API: การยืนยันตัวตนและการเข้ารหัส API ที่ปลอดภัย
การควบคุมการเข้าถึง:
- การเข้าถึงตามบทบาท: ระดับสิทธิ์ที่แตกต่างกันสำหรับผู้ใช้ที่แตกต่างกัน
- การยืนยันตัวตนหลายปัจจัย: ความปลอดภัยเพิ่มเติมสำหรับการเข้าถึงบัญชี
- การจัดการเซสชัน: การจัดการเซสชันที่ปลอดภัยและการหมดเวลา
- ข้อจำกัด IP: ข้อจำกัดที่อยู่ IP ที่เลือกได้สำหรับบัญชี
- การจัดการอุปกรณ์: การควบคุมอุปกรณ์ที่สามารถเข้าถึงบัญชีได้
การแยกข้อมูล:
- การแยกผู้เช่า: การแยกข้อมูลที่สมบูรณ์ระหว่างองค์กร
- สิทธิ์ผู้ใช้: การควบคุมอย่างละเอียดเหนือการเข้าถึงข้อมูล
- การบันทึกการตรวจสอบ: บันทึกที่สมบูรณ์ของการเข้าถึงข้อมูลและการเปลี่ยนแปลงทั้งหมด
- การจำแนกข้อมูล: ระดับความปลอดภัยที่แตกต่างกันสำหรับประเภทข้อมูลที่แตกต่างกัน
- ความปลอดภัยของการสำรองข้อมูล: ระบบการสำรองข้อมูลที่เข้ารหัสและปลอดภัย
ความปลอดภัยของโครงสร้างพื้นฐาน
ความปลอดภัยของคลาวด์:
- ผู้ให้บริการคลาวด์ที่ปลอดภัย: ใช้บริการคลาวด์ชั้นนำของอุตสาหกรรม
- การแบ่งส่วนเครือข่าย: สภาพแวดล้อมเครือข่ายที่แยกออก
- การกระจายโหลด: การจัดการการจราจรที่กระจายและปลอดภัย
- การป้องกัน DDoS: การป้องกันจากการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย
- การกระจายทางภูมิศาสตร์: ข้อมูลปัจจุบันถูกเก็บไว้ในสถานที่ที่ปลอดภัยในเอเชีย โดยมีการขยายไปยุโรปที่วางแผนไว้สำหรับเดือนธันวาคม 2024
ความปลอดภัยของเซิร์ฟเวอร์:
- ระบบที่แข็งแกร่ง: การกำหนดค่าเซิร์ฟเวอร์ที่แข็งแกร่งด้านความปลอดภัย
- การอัปเดตเป็นประจำ: การอัปเดตแพตช์ความปลอดภัยอัตโนมัติ
- การสแกนช่องโหว่: การประเมินช่องโหว่ความปลอดภัยเป็นประจำ
- การตรวจจับการบุกรุก: การติดตามการพยายามเข้าถึงโดยไม่ได้รับอนุญาต
- การป้องกันไฟร์วอลล์: ชั้นการป้องกันไฟร์วอลล์หลายชั้น
ความปลอดภัยของฐานข้อมูล:
- การเชื่อมต่อที่ปลอดภัย: การเชื่อมต่อฐานข้อมูลที่เข้ารหัส
- การควบคุมการเข้าถึง: การควบคุมการเข้าถึงฐานข้อมูลที่เข้มงวด
- การป้องกันคำสั่ง: การป้องกันจากการโจมตี SQL injection
- การเข้ารหัสการสำรองข้อมูล: การสำรองข้อมูลฐานข้อมูลที่เข้ารหัส
- การบันทึกการตรวจสอบ: การบันทึกกิจกรรมฐานข้อมูลที่สมบูรณ์
ความปลอดภัยของแอปพลิเคชัน
การพัฒนาที่ปลอดภัย:
- การตรวจสอบโค้ด: กระบวนการตรวจสอบโค้ดที่เน้นความปลอดภัย
- การวิเคราะห์แบบสถิต: การวิเคราะห์โค้ดความปลอดภัยอัตโนมัติ
- การสแกนการพึ่งพา: การสแกนการพึ่งพาของบุคคลที่สามเป็นประจำ
- การทดสอบความปลอดภัย: การทดสอบการเจาะระบบและการประเมินความปลอดภัยเป็นประจำ
- การจัดการช่องโหว่: กระบวนการสำหรับการแก้ไขช่องโหว่ความปลอดภัย
ความปลอดภัยของ API:
- การยืนยันตัวตน: วิธีการยืนยันตัวตน API ที่ปลอดภัย
- การจำกัดอัตรา: การป้องกันจากการละเมิด API
- การตรวจสอบข้อมูลเข้า: การตรวจสอบข้อมูลเข้า API ทั้งหมด
- การเข้ารหัสข้อมูลออก: การเข้ารหัสข้อมูลออกที่ปลอดภัยเพื่อป้องกันการโจมตีแบบ injection
- การติดตาม API: การติดตามการใช้งานและความปลอดภัยของ API อย่างต่อเนื่อง
ความปลอดภัยของเว็บแอปพลิเคชัน:
- การบังคับใช้ HTTPS: การสื่อสารทั้งหมดใช้ HTTPS ที่ปลอดภัย
- นโยบายความปลอดภัยของเนื้อหา: การป้องกันจากการโจมตี XSS
- การป้องกัน CSRF: การป้องกันจากการปลอมแปลงคำขอข้ามไซต์
- การทำความสะอาดข้อมูลเข้า: การทำความสะอาดและตรวจสอบข้อมูลเข้าของผู้ใช้ทั้งหมด
- ส่วนหัว HTTP ที่ปลอดภัย: ส่วนหัว HTTP ที่เน้นความปลอดภัย
การติดตามและการตรวจจับ
การติดตามความปลอดภัย:
- การติดตาม 24/7: การติดตามความปลอดภัยและการแจ้งเตือนอย่างต่อเนื่อง
- การตรวจจับภัยคุกคาม: การตรวจจับและวิเคราะห์ภัยคุกคามอัตโนมัติ
- การวิเคราะห์พฤติกรรม: การติดตามพฤติกรรมผู้ใช้ที่ผิดปกติ
- การติดตามประสิทธิภาพ: การติดตามปัญหาประสิทธิภาพที่เกี่ยวข้องกับความปลอดภัย
- การวิเคราะห์บันทึก: การวิเคราะห์บันทึกความปลอดภัยและเหตุการณ์
การตรวจจับเหตุการณ์:
- การแจ้งเตือนอัตโนมัติ: การแจ้งเตือนทันทีสำหรับเหตุการณ์ความปลอดภัย
- ข่าวกรองภัยคุกคาม: การรวมเข้ากับฟีดข่าวกรองภัยคุกคาม
- การตรวจจับความผิดปกติ: การตรวจจับรูปแบบหรือกิจกรรมที่ผิดปกติ
- การวิเคราะห์แบบเรียลไทม์: การวิเคราะห์เหตุการณ์ความปลอดภัยแบบเรียลไทม์
- ขั้นตอนการยกระดับ: ขั้นตอนที่ชัดเจนสำหรับการยกระดับปัญหาความปลอดภัย
ความสามารถในการตอบสนอง:
- การตอบสนองอย่างรวดเร็ว: การตอบสนองอย่างรวดเร็วต่อเหตุการณ์ความปลอดภัย
- การควบคุม: การควบคุมภัยคุกคามความปลอดภัยอย่างรวดเร็ว
- การสอบสวน: การสอบสวนเหตุการณ์ความปลอดภัยอย่างละเอียด
- การกู้คืน: การกู้คืนอย่างรวดเร็วจากเหตุการณ์ความปลอดภัย
- การสื่อสาร: การสื่อสารที่ชัดเจนเกี่ยวกับปัญหาความปลอดภัย
การตอบสนองเหตุการณ์
การจำแนกเหตุการณ์:
- ความเสี่ยงต่ำ: ปัญหาความปลอดภัยเล็กน้อยที่มีผลกระทบน้อย
- ความเสี่ยงปานกลาง: ปัญหาความปลอดภัยที่มีผลกระทบปานกลาง
- ความเสี่ยงสูง: ปัญหาความปลอดภัยที่ร้ายแรงที่มีผลกระทบสำคัญ
- ความเสี่ยงวิกฤต: ปัญหาความปลอดภัยที่ร้ายแรงที่ต้องการการตอบสนองทันที
กระบวนการตอบสนอง:
- การตรวจจับ: ระบุและยืนยันเหตุการณ์ความปลอดภัย
- การประเมิน: ประเมินขอบเขตและผลกระทบของเหตุการณ์
- การควบคุม: จำกัดการแพร่กระจายและผลกระทบของเหตุการณ์
- การสอบสวน: การสอบสวนสาเหตุของเหตุการณ์อย่างละเอียด
- การกู้คืน: ฟื้นฟูการดำเนินงานและความปลอดภัยปกติ
- หลังเหตุการณ์: เรียนรู้จากเหตุการณ์และปรับปรุงความปลอดภัย
แผนการสื่อสาร:
- การสื่อสารภายใน: การสื่อสารที่ชัดเจนภายในทีมของเรา
- การแจ้งเตือนลูกค้า: การแจ้งเตือนลูกค้าเมื่อจำเป็น
- การรายงานหน่วยงาน: การรายงานไปยังหน่วยงานที่เกี่ยวข้องเมื่อจำเป็น
- การอัปเดตสถานะ: การอัปเดตสถานะอย่างสม่ำเสมอ
- การสรุปหลังเหตุการณ์: สรุปเหตุการณ์และบทเรียนที่เรียนรู้
การปฏิบัติตามและใบรับรอง
การปฏิบัติตามระเบียบ:
- GDPR: ทำงานเพื่อให้ได้การปฏิบัติตามการปกป้องข้อมูลของสหภาพยุโรป
- CCPA: ทำงานเพื่อให้ได้การปฏิบัติตามการปกป้องความเป็นส่วนตัวของแคลิฟอร์เนีย
- FERPA: ทำงานเพื่อให้ได้การปกป้องความเป็นส่วนตัวทางการศึกษา (สำหรับสถาบันการศึกษา)
- SOC 2: วางแผนเพื่อให้ได้การรับรองการควบคุมความปลอดภัยและความพร้อมใช้งาน
- ISO 27001: วางแผนเพื่อให้ได้การรับรองการจัดการความปลอดภัยของข้อมูล (กำลังดำเนินการ)
มาตรฐานอุตสาหกรรม:
- แนวทางที่ดีที่สุด: ปฏิบัติตามแนวทางที่ดีที่สุดของอุตสาหกรรม
- การตรวจสอบเป็นประจำ: การตรวจสอบความปลอดภัยและการประเมินเป็นประจำ
- การทดสอบการเจาะระบบ: การทดสอบการเจาะระบบและการประเมินความปลอดภัย
- การตรวจสอบการปฏิบัติตาม: การตรวจสอบการปฏิบัติตามมาตรฐานเป็นประจำ
- การปรับปรุงอย่างต่อเนื่อง: การปรับปรุงมาตรการความปลอดภัยอย่างต่อเนื่อง
การฝึกอบรมและความตระหนัก
การฝึกอบรมพนักงาน:
- การฝึกอบรมความปลอดภัย: การฝึกอบรมความปลอดภัยเป็นประจำสำหรับพนักงาน
- การทดสอบการรับรู้: การทดสอบการรับรู้ความปลอดภัยเป็นประจำ
- การอัปเดตนโยบาย: การอัปเดตนโยบายและขั้นตอนความปลอดภัย
- การฝึกซ้อม: การฝึกซ้อมการตอบสนองเหตุการณ์เป็นประจำ
- การรับรอง: การรับรองความปลอดภัยสำหรับพนักงาน
การสร้างความตระหนัก:
- การสื่อสาร: การสื่อสารความปลอดภัยอย่างสม่ำเสมอ
- การแจ้งเตือน: การแจ้งเตือนภัยคุกคามและแนวทางปฏิบัติที่ดี
- การรายงาน: การรายงานปัญหาความปลอดภัยที่สงสัย
- การให้คำปรึกษา: การให้คำปรึกษาด้านความปลอดภัย
- การสนับสนุน: การสนับสนุนสำหรับปัญหาความปลอดภัย
การทดสอบและการตรวจสอบ
การทดสอบความปลอดภัย:
- การทดสอบการเจาะระบบ: การทดสอบการเจาะระบบเป็นประจำ
- การทดสอบช่องโหว่: การทดสอบช่องโหว่ความปลอดภัยเป็นประจำ
- การทดสอบการตอบสนอง: การทดสอบแผนการตอบสนองเหตุการณ์
- การทดสอบการกู้คืน: การทดสอบระบบการกู้คืนเป็นประจำ
- การทดสอบการฝึกอบรม: การทดสอบการฝึกอบรมความปลอดภัย
การตรวจสอบ:
- การตรวจสอบภายใน: การตรวจสอบความปลอดภัยภายในเป็นประจำ
- การตรวจสอบภายนอก: การตรวจสอบความปลอดภัยจากบุคคลที่สาม
- การตรวจสอบการปฏิบัติตาม: การตรวจสอบการปฏิบัติตามนโยบายความปลอดภัย
- การตรวจสอบประสิทธิภาพ: การตรวจสอบประสิทธิภาพของมาตรการความปลอดภัย
- การตรวจสอบการปรับปรุง: การตรวจสอบการปรับปรุงความปลอดภัย
การปรับปรุงอย่างต่อเนื่อง
การประเมินความเสี่ยง:
- การประเมินเป็นประจำ: การประเมินความเสี่ยงความปลอดภัยเป็นประจำ
- การระบุภัยคุกคาม: การระบุภัยคุกคามใหม่และแนวโน้ม
- การประเมินผลกระทบ: การประเมินผลกระทบของภัยคุกคาม
- การจัดลำดับความสำคัญ: การจัดลำดับความสำคัญของความเสี่ยง
- การวางแผนการบรรเทา: การวางแผนการบรรเทาความเสี่ยง
การปรับปรุง:
- การปรับปรุงนโยบาย: การปรับปรุงนโยบายและขั้นตอนความปลอดภัย
- การปรับปรุงเทคโนโลยี: การปรับปรุงเทคโนโลยีความปลอดภัย
- การปรับปรุงกระบวนการ: การปรับปรุงกระบวนการความปลอดภัย
- การปรับปรุงการฝึกอบรม: การปรับปรุงโปรแกรมการฝึกอบรมความปลอดภัย
- การปรับปรุงการตอบสนอง: การปรับปรุงความสามารถในการตอบสนองเหตุการณ์
การติดต่อและการสนับสนุน
ปัญหาความปลอดภัย:
- อีเมล: heretohelp@openmirai.com
- การรายงานฉุกเฉิน: การรายงานปัญหาความปลอดภัยฉุกเฉิน
- การสนับสนุน: ติดต่อทีมสนับสนุนสำหรับคำถาม
- การรายงานช่องโหว่: การรายงานช่องโหว่ความปลอดภัย
การสนับสนุน:
- คำถามทั่วไป: ภายใน 24-48 ชั่วโมง
- ปัญหาความปลอดภัย: การตอบสนองทันที
- การรายงานช่องโหว่: ภายใน 24 ชั่วโมง
- การสนับสนุนฉุกเฉิน: 24/7 สำหรับปัญหาที่สำคัญ
เอกสารที่เกี่ยวข้อง
- นโยบายความเป็นส่วนตัว - วิธีที่เราจัดการข้อมูลของคุณ
- ข้อกำหนดการให้บริการ - ข้อตกลงหลักสำหรับการใช้แพลตฟอร์มของเรา
- นโยบายการใช้งานที่ยอมรับได้ - สิ่งที่คุณทำได้และทำไม่ได้
- แนวทางชุมชน - การสร้างชุมชนการเรียนรู้ที่ดี
นโยบายความปลอดภัย OpenMirai
สถานะเบต้า: ใช้งานอยู่จนถึง 1 พฤศจิกายน 2025
คำถามเกี่ยวกับความปลอดภัย? ส่งอีเมลถึงเราได้ที่ heretohelp@openmirai.com
ความปลอดภัยของคุณเป็นลำดับความสำคัญของเรา เราให้คำมั่นสัญญาที่จะปกป้องข้อมูลของคุณและทำงานเพื่อให้ได้มาตรฐานความปลอดภัยของอุตสาหกรรมขณะที่เราขยายไปทั่วโลก