ความปลอดภัย

หัวข้อทั้งหมดในหน้านี้

การรักษาความปลอดภัยที่ Opn Payments

ลูกค้าให้ความไว้วางใจ Opn Payments ในการเก็บข้อมูลที่มีความละเอียดอ่อน และคาดหวังให้เราปฏิบัติตนอย่างถูกต้องรวมถึงรักษาข้อมูลดังกล่าวตามมาตรฐานความปลอดภัยระดับสูงสุด ในฐานะที่เราเป็นผู้ให้บริการรับชำระเงิน เรามีความมุ่งมั่นที่จะรักษาความปลอดภัยให้เป็นไปตามมาตรฐานสูงสุดอยู่เสมอ รวมถึงพัฒนาอย่างต่อเนื่องเพื่อให้สอดคล้องกับข้อกำหนดในอุตสาหกรรมการเงินที่มีการเปลี่ยนแปลงอยู่ตลอดเวลา

มาตรฐานความปลอดภัย

PCI DSS

Opn Payments ได้การรับรองมาตรฐานความปลอดภัย PCI DSS Service Provider Level 1 ซึ่งเป็นมาตรฐานความปลอดภัยระดับสูงสุดในอุตสาหกรรมการประมวลผลข้อมูลธุรกรรม

ตรวจสอบใบรับรองของเราได้ที่ Visa’s Global Registry of Service Providers ศึกษาข้อมูลเพิ่มเติมเกี่ยวกับ PCI-DSS ได้ที่ www.pcisecuritystandards.org/pci_security

NIST

Opn Payments มีมาตรการรักษาความปลอดภัยของข้อมูลที่สอดคล้องกับแนวทางของ National Institute of Standards and Technology (NIST) Cybersecurity Framework และเป็นไปตามมาตรฐานที่[เคร่งครัดของลูกค้าระดับองค์กร

การรักษาความปลอดภัยของข้อมูล

องค์กรของเรามีนโยบายการปกป้องข้อมูลส่วนบุคคลและการรักษาความปลอดภัยของข้อมูลที่เป็นไปตามกรอบกฎหมายที่เกี่ยวข้องทั้งหมด ได้แก่ PDPA, GDPR และอื่นๆ หากต้องการศึกษาข้อมูลเพิ่มเติมเกี่ยวกับการรักษาความปลอดภัยของข้อมูลของเรา โปรดไปที่นโยบายความเป็นส่วนตัว

เพื่อลดโอกาสการรั่วไหลของข้อมูล เราได้กำหนดนโยบายการเก็บรักษาข้อมูลที่ลดปริมาณข้อมูลที่เราเก็บรักษาให้น้อยที่สุดโดยยังคงปฏิบัติตามข้อกำหนดของกฎหมายและความต้องการทางธุรกิจ

ความปลอดภัยของผลิตภัณฑ์

ความปลอดภัยเป็นปัจจัยสำคัญที่เราพิจารณาในการออกแบบผลิตภัณฑ์และโครงสร้างระบบของ Opn Payments

การยืนยันตัวตน

แดชบอร์ดของเรารองรับการยืนยันตัวตนแบบหลายขั้นตอน (MFA) และใช้มาตรการการจัดการบัญชีที่ปลอดภัยในการเพิ่มสมาชิกทีม คำขอความช่วยเหลือจากผู้ใช้จะต้องได้รับการตรวจสอบก่อนจึงจะได้รับการตอบกลับ

การจำกัดสิทธิ์เข้าถึง

ผู้ใช้สามารถกำหนดสิทธิ์การเข้าถึงได้หลายรูปแบบในหน้าแดชบอร์ดเพื่อจำกัดการเข้าถึงของพนักงานตามความจำเป็นเท่านั้น

นอกจากนี้ ผู้ใช้ยังสามารถตรวจสอบบันทึกกิจกรรมและการเปลี่ยนแปลงที่สำคัญในบัญชี เช่น เซสชันการเข้าใช้งาน เพื่อตรวจสอบการเข้าสู่ระบบของผู้ใช้ รวมถึงเวลาและตำแหน่งที่ตั้งของการเข้าสู่ระบบ

การเชื่อมต่อที่ปลอดภัย

Opn Payments บังคับใช้ HTTPS อย่างเข้มงวดในทุกบริการที่ใช้ Transport Layer Security (TLS) ซึ่งรวมถึงเว็บไซต์และแดชบอร์ดของเรา นอกจากนี้ เรายังตรวจสอบการจัดทำระบบอย่างรอบคอบในทุกด้าน ทั้งใบรับรอง หน่วยงานที่ออกใบรับรอง ไปจนถึงการเข้ารหัสที่รองรับ

การสื่อสารระหว่างเซิร์ฟเวอร์ถึงเซิร์ฟเวอร์ทั้งหมดได้รับการปกป้องด้วย mutual Transport Layer Security (mTLS) และเรายังบล็อกคำขอผ่านเวอร์ชันของ TLS ที่ล้าสมัยหรือมีความปลอดภัยต่ำ โดยบังคับให้ใช้ TLS 1.2 หรือสูงกว่าเพื่อให้การเชื่อมต่อที่ราบรื่นที่สุด

การพัฒนาผลิตภัณฑ์

วิศวกรของเราทำงานร่วมกับผู้เชี่ยวชาญด้านความปลอดภัยตั้งแต่ระยะต้นของโปรเจกต์ โดยรวบรวมข้อกำหนดด้านความปลอดภัย แล้วจึงทำตามขั้นตอนต่างๆ เช่น การจำลองภัยคุกคาม (Threat Modeling) รวมถึงตรวจสอบแนวทางปฏิบัติเพื่อความปลอดภัยเพื่อให้แน่ใจว่าผลิตภัณฑ์ใหม่ได้รับการพัฒนาอย่างปลอดภัย

โค้ดทั้งหมดของเราผ่านการตรวจสอบจากหลายฝ่ายและการทดสอบซอฟต์แวร์อัตโนมัติ

เราใช้กระบวนการพัฒนาที่ปลอดภัยซึ่งสแกนการเปลี่ยนแปลงทั้งหมดเพื่อค้นหาช่องโหว่ด้านความปลอดภัย เราใช้เครื่องมือต่างๆ ในการวิเคราะห์โค้ด ได้แก่ Static Code Analysis, Dependency Scanning และ Automated Vulnerability Scanner เพื่อตรวจสอบว่าการเปลี่ยนแปลงโค้ดไม่ได้ทำให้เกิดบั๊ก

โครงการรายงานช่องโหว่และการให้ค่าตอบแทน

เรามีโครงการ Bug Bounty Program ที่มอบค่าตอบแทนให้กับนักวิจัยด้านความปลอดภัยที่ช่วยให้เราสามารถรักษาความปลอดภัยให้กับผลิตภัณฑ์ได้ โปรดไปที่ HackerOne เพื่อดูข้อมูลเพิ่มเติมเกี่ยวกับวิธีการเข้าร่วมและส่งรายงานข้อผิดพลาด

โครงสร้างระบบและกระบวนการรักษาความปลอดภัย

เราทำการสแกนช่องโหว่และการทดสอบเจาะระบบอย่างสม่ำเสมอ รวมถึงร่วมมือกับบริษัทด้านความปลอดภัยเพื่อรับการประเมินโดยบุคคลที่สามเพื่อช่วยให้เราแก้ไขปัญหาที่พบได้อย่างรวดเร็ว ระบบของเราได้รับการดูแลตรวจสอบอยู่ตลอดเวลา นอกจากนี้ เรายังทำการอัพเกรดระบบปฏิบัติการของเซิร์ฟเวอร์ล่วงหน้าก่อนการสิ้นอายุการใช้งาน (End-of-Life) เพื่อให้แน่ใจว่าเราจะได้รับคุ้มครองอย่างต่อเนื่องจากภัยด้านปลอดภัยที่อาจเกิดขึ้น

การเก็บรักษาข้อมูลบัตร

ระบบของเรามีการเข้ารหัสข้อมูลที่มีความอ่อนไหวทั้งในระหว่างการถ่ายโอนและการจัดเก็บ โครงสร้างระบบสำหรับการจัดเก็บ ถอดรหัส และส่งข้อมูลหมายเลขบัญชีหลัก (PAN) อย่างหมายเลขบัตรเครดิต ทำงานในสภาพแวดล้อมที่แยกต่างหากและไม่แชร์ข้อมูลกับบริการอื่นๆ ของเรา

การเข้าถึงสภาพแวดล้อมที่แยกต่างหากนี้ถูกจำกัดเฉพาะกับวิศวกรบางรายและได้รับการตรวจสอบอย่างสม่ำเสมอ

ข้อมูลหมายเลขบัตรทั้งหมดที่อยู่ในการจัดเก็บจะถูกเข้ารหัสด้วย AES-256 และมีการทำ Tokenization นอกจากนี้ คีย์ในการถอดรหัสถูกจัดเก็บในโมดูลเข้ารหัสที่แยกออกไป และไม่มีเซิร์ฟเวอร์ภายในอื่นใดที่สามารถเข้าถึงข้อมูลบัตรในรูปแบบข้อความปกติได้

การรักษาความปลอดภัยในองค์กร

เราใช้ SSO, การยืนยันตัวตนแบบ Two-Factor Authentication (2FA) โดยใช้โทเคนที่เป็นฮาร์ดแวร์ และ mTLS ที่ใช้ VPN จากแมชชีนของ Opn Payments เพื่อยืนยันตัวตนของพนักงาน เมื่อเชื่อมต่อกับเครือข่าย ระบบภายในที่มีความละเอียดอ่อนและระบบที่อยู่นอกขอบเขตงานโดยทั่วไปของพนักงานจะต้องมีการขอสิทธิ์การเข้าถึงเพิ่มเติม

เราตรวจสอบบันทึกเพื่อตรวจจับความผิดปกติ รวมถึงเฝ้าระวังการบุกรุกและกิจกรรมที่น่าสงสัย เราเก็บข้อมูลเกี่ยวกับแล็ปท็อปของ Opn Payments เพื่อตรวจหากระบวนการที่เป็นอันตราย การเชื่อมต่อกับโดเมนปลอม และกิจกรรมของผู้บุกรุกอยู่ตลอดเวลา

การควบคุมสิทธิ์เข้าถึง

เรามีระเบียบในการให้สิทธิ์ในการเข้าถึงระบบและข้อมูล รวมถึงตรวจสอบและลบสิทธิ์การเข้าถึงที่ไม่ได้ใช้งานอย่างสม่ำเสมอ นอกจากนี้ เรายังเฝ้าสังเกตกิจกรรมอย่างต่อเนื่องเพื่อระบุว่ามีการเข้าถึงอะไรบ้างและเข้าถึงโดยใคร

วัฒนธรรมและความเข้าใจเรื่องความปลอดภัย

เราบังคับให้พนักงานทุกคนเข้าร่วมการอบรมเรื่องความปลอดภัยในทุกเดือน รวมถึงจัดการอบรมการพัฒนาซอฟต์แวร์ที่มีความปลอดภัยให้แก่วิศวกร เราทดลองทำการโจมตีแบบฟิชชิงภายในองค์กรเพื่อทดสอบว่าพนักงานรู้เท่าทันกลอุบายฟิชชิงหรือไม่ นอกจากนี้ เรายังโครงการภายในอื่นๆ เช่น โครงการผู้นำด้านความปลอดภัย เพื่อเสริมสร้างวัฒนธรรมความปลอดภัยของบริษัท

หากคุณมีคำถามเพิ่มเติมหรือต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับวิธีการจัดการความปลอดภัยที่ Opn Payments โปรดติดต่อเราที่ security@opn.ooo

เว็ปไซต์นี้มีการใช้คุกกี้เพื่อวิเคราะห์การใช้และปรับการใช้งานให้เหมาะกับท่าน เมื่อกดยอมรับหรือยังคงเข้าชมเว็บไซต์ต่อ เราถือว่าท่านยินยอมในการใช้งานคุกกี้ของเว็บไซต์ อ่านนโยบายความเป็นส่วนตัว