Page 51 - ความมั่นคงปลอดภัยไซเบอร์
P. 51
ความม่นั คงปลอดภยั ระบบคลาวด์ 9-39
1) ผู้ให้บริการคลาวด์สาธารณะถือเป็นหน่วยประมวลผลข้อมูลท่ีสามารถระบุตัวบุคคลได้ (PII
Processors) หมายถึง ผู้ท�ำหน้าท่ีด�ำเนินการประมวลผลข้อมูลส่วนบุคคลท่ีสามารถระบุตัวบุคคลได้ ใน
นามของผ้คู วบคมุ ขอ้ มลู ทส่ี ามารถระบุตวั บุคคลได้ (PII Controller) หรอื มกี ารปฏบิ ัตติ ามคำ� แนะนำ� ของ
ผคู้ วบคุมข้อมูลทส่ี ามารถระบตุ ัวบคุ คลได้
2) ผู้ควบคุมข้อมูลที่สามารถระบุตัวบุคคลได้ (PII Controller) มีหน้าที่รับผิดชอบในการเก็บ
รวบรวม ควบคุมการใช้ และการเปิดเผยข้อมูลส่วนบุคคล โดยต้องจัดท�ำนโยบายการปกป้องข้อมูลส่วน
บุคคล เช่น ข้อมูลอะไรบ้างท่ีมีการเก็บรวบรวม ใช้ข้อมูลของผู้ใช้งานอย่างไร เพื่ออะไร ส่งต่อข้อมูลของ
ผู้ใช้งานให้กับใครบ้าง เจ้าของข้อมูลจะสามารถควบคุมและเข้าถึงข้อมูลของตนเองได้อย่างไร และมีการ
ปกปอ้ งข้อมูลอย่างไร
3) เจา้ ของขอ้ มลู ตอ้ งมกี ารยนื ยนั การรบั รเู้ กยี่ วกบั การรวบรวมขอ้ มลู และการใชง้ านขอ้ มลู ดงั กลา่ ว
ข้างตน้ เจ้าของขอ้ มูลมสี ทิ ธทิ์ ี่จะบอกรบั ยกเลิกและร้องเรยี นหากมีการละเมดิ สิทธิ์ เปน็ ตน้
การรบั รองมาตรฐาน ISO 27018 นี้ จะชว่ ยปกป้องสทิ ธิดา้ นความเปน็ สว่ นตวั ของลกู คา้ องค์กร
ในหลายรูปแบบ ดงั นี้
1) สามารถควบคมุ การใชง้ านขอ้ มลู ของตวั คณุ เอง ซง่ึ ภายใตม้ าตรฐานน้ี ผบู้ รกิ ารจะใชง้ านขอ้ มลู
ทร่ี ะบตุ ัวบคุ คลภายใตเ้ ง่ือนไขทีล่ กู คา้ ก�ำหนดไว้เท่านั้น
2) สามารถรู้สถานะของข้อมูลของตนเอง ซ่ึงมาตรฐานน้ีได้วางนโยบายและแนวทางท่ีโปร่งใส
ชัดเจนในด้านการคืน ถ่ายโอน และลบข้อมูลส่วนบคุ คลทีไ่ ดจ้ ัดเก็บไว้ในศนู ยข์ ้อมูลของบริษัท
3) ทราบได้ว่าข้อมูลจัดเก็บไว้ที่ใดแล้ว ซ่ึงมาตรฐานน้ีจะมีรายงานให้ทราบว่ามีบริษัทใดบ้างท่ี
ตอ้ งการเข้าถึงขอ้ มลู ในกรณีที่มกี ารเขา้ ถึงขอ้ มูลทรี่ ะบุตัวบุคคลได้ หรือระบบท่ีใชจ้ ดั เกบ็ หรอื ประมวลผล
ข้อมูลดังกล่าว จนน�ำไปสู่การสูญเสีย หลุดร่ัว หรือเปลี่ยนแปลงตัวข้อมูลดังกล่าว บริษัทจะมีการแจ้งให้
ทราบ
4) การรักษาข้อมูลให้ปลอดภัย ซ่ึงมาตรฐานน้ีได้ครอบคลุมถึงมาตรการรักษาความมั่นคง
ปลอดภยั ท่สี �ำคญั หลายประการ โดยรวมถึงขอ้ บงั คับในดา้ นการปฏบิ ัตงิ านกับขอ้ มลู ที่ระบุตัวบคุ คลได้ ทงั้
ในด้านการถ่ายโอนข้อมูลดังกล่าวบนเครือข่ายสาธารณะและอุปกรณ์พกพา และกระบวนการในการกู้คืน
และซ่อมแซมข้อมูล นอกจากน้ีบุคคลท่ีต้องท�ำงานกับข้อมูลที่ระบุตัวบุคคลได้ทุกคนรวมถึงพนักงานของ
บรษิ ัทจะตอ้ งรกั ษาข้อมูลเหล่านไี้ วเ้ ป็นความลบั เสมอ
5) ข้อมลู จะไม่ถูกน�ำไปใช้เพื่อการโฆษณาโดยไมไ่ ดร้ บั อนุญาต
6) จะแจง้ ให้ทราบหากหน่วยงานของรฐั ขอเขา้ ถึงข้อมูล ซ่ึงมาตรฐานนี้ก�ำหนดให้ผใู้ ห้บรกิ ารตอ้ ง
ชแี้ จงใหล้ กู คา้ ทราบในกรณที หี่ นว่ ยงานภาครฐั เชน่ เจา้ หนา้ ทต่ี ำ� รวจตอ้ งการเขา้ ถงึ ขอ้ มลู ทร่ี ะบตุ วั บคุ คลได้
เป็นต้น
