ความมุ่งมั่นของเรา: NYC Plus ปฏิบัติต่อข้อมูลของคุณด้วยมาตรฐานความปลอดภัยสูงสุด เราผสานมาตรการทางกฎหมาย (มรรยาททนายความ และ PDPA), มาตรการทางเทคนิค (การเข้ารหัส AES-256, Access Control), และมาตรการทางกายภาพ (Clean Desk Policy, ตู้ล็อกนิรภัย) เพื่อให้มั่นใจว่าข้อมูลที่ละเอียดอ่อนที่สุดของคุณ—ตั้งแต่พาสปอร์ตจนถึงสัญญาธุรกิจ—จะถูกเก็บรักษาเป็นความลับสูงสุด
ในการให้บริการรับรองเอกสาร Notary Public และบริการแปลเอกสารราชการ NYC Plus ทราบดีว่าเรากำลังได้รับความไว้วางใจให้จัดการกับข้อมูลที่ละเอียดอ่อนและเป็นส่วนตัวมากที่สุดของคุณ ไม่ว่าจะเป็น:
- เอกสารระบุตัวตน: สำเนาพาสปอร์ต, บัตรประชาชน, ทะเบียนบ้าน
- เอกสารทางการเงิน: Bank Statements, สัญญาเงินกู้, เอกสารรับสภาพหนี้
- เอกสารทางธุรกิจ: สัญญาจัดจำหน่าย, ข้อตกลง M&A, ข้อมูล Chain of Title, รายงานทางการเงิน
- เอกสารส่วนบุคคล: พินัยกรรม, สัญญาก่อนสมรส, ประวัติการรักษาพยาบาล
สำหรับลูกค้าระดับองค์กร, ฝ่ายกฎหมาย (Legal Counsel), และฝ่ายปฏิบัติตามกฎระเบียบ (Compliance) ที่กำลังทำการตรวจสอบสถานะ (Due Diligence) ก่อนเลือกใช้บริการเรา เราขอนำเสนอหน้านโยบายความปลอดภัยเชิงลึกนี้ เพื่ออธิบายว่าเรามีมาตรการ "อย่างไร" ในการปกป้องข้อมูลของคุณให้สอดคล้องกับมาตรฐานสากลและ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ของไทย
ความปลอดภัยของคุณคือมาตรฐานของเรา (Your Security is Our Standard.)
การปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA)
NYC Translation and Notary Service Co., Ltd. ในฐานะ "ผู้ควบคุมข้อมูลส่วนบุคคล" (Data Controller) และ "ผู้ประมวลผลข้อมูลส่วนบุคคล" (Data Processor) ตระหนักถึงความสำคัญและปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) อย่างเคร่งครัด
หลักการทางกฎหมายของเรา
เรายึดมั่นในหลักการสำคัญของ PDPA:
- ความชอบด้วยกฎหมาย (Lawfulness): เราประมวลผลข้อมูลของคุณภายใต้ฐานกฎหมายที่ชัดเจน เช่น "ความจำเป็นในการปฏิบัติตามสัญญา" (เพื่อให้บริการ Notary หรือแปลเอกสารตามที่คุณร้องขอ) หรือ "หน้าที่ตามกฎหมาย" (เช่น การที่ Notary ต้องเก็บ Logbook ตามระเบียบ)
- การจำกัดวัตถุประสงค์ (Purpose Limitation): เราจะใช้ข้อมูลของคุณ (เช่น พาสปอร์ต) เพื่อวัตถุประสงค์ในการรับรองเอกสารหรือแปลตามที่ตกลงไว้เท่านั้น และจะไม่นำไปใช้เพื่อการตลาดหรือส่งต่อให้บุคคลที่สามหากไม่ได้รับความยินยอม
- การเก็บข้อมูลเท่าที่จำเป็น (Data Minimization): เราจะร้องขอและเก็บสำเนาเอกสารเฉพาะส่วนที่จำเป็นต่อการให้บริการทางกฎหมายเท่านั้น
- การรักษาความปลอดภัยของข้อมูล (Security): เรามีมาตรการทางเทคนิคและกายภาพที่รัดกุม (ดังที่จะอธิบายต่อไป) เพื่อป้องกันการเข้าถึง, แก้ไข, หรือเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต
ความได้เปรียบทางกฎหมาย: การรักษาความลับโดยทนายความ
สิ่งที่ทำให้เราแตกต่างจากศูนย์แปลหรือผู้ให้บริการทั่วไป คือทีมงาน Notary Public ของเรา "ทุกคน" เป็น "ทนายความ" (Attorney-at-Law) ที่ได้รับใบอนุญาตจากสภาทนายความแห่งประเทศไทย
นั่นหมายความว่า นอกเหนือจาก PDPA แล้ว เรายังถูกผูกมัดด้วย "มรรยาททนายความ" (Attorney-Client Privilege) ซึ่งเป็นกฎหมายวิชาชีพที่กำหนดให้เราต้องรักษาความลับของลูกความอย่างสูงสุด การเปิดเผยข้อมูลของลูกความโดยไม่มีอำนาจถือเป็นความผิดร้ายแรงทางวิชาชีพ นี่คือหลักประกันทางกฎหมายชั้นสูงสุดที่คุณจะได้รับ
มาตรการทางเทคนิค (Technical Measures)
ฝ่าย IT และ Compliance ของคุณสามารถมั่นใจได้ว่าข้อมูลดิจิทัล (Digital Data) ที่ส่งมาให้เรา ได้รับการปกป้องด้วยมาตรฐานความปลอดภัยทางไซเบอร์ที่ทันสมัย
1. การเข้ารหัสข้อมูล (Data Encryption)
เราเข้าใจว่าข้อมูลไม่ได้เสี่ยงแค่ตอนที่ "ถูกเก็บ" แต่ยังเสี่ยงตอนที่ "กำลังส่ง" ด้วย เราจึงเข้ารหัสในทุกขั้นตอน:
การเข้ารหัสข้อมูลขณะส่ง (Encryption in Transit)
เมื่อคุณอัปโหลดไฟล์ที่ละเอียดอ่อนผ่านเว็บไซต์ของเรา หรือเมื่อคุณเข้าถึงระบบคลาวด์ของเรา ข้อมูลทั้งหมดจะถูกส่งผ่านช่องทางที่เข้ารหัสด้วย TLS 1.3 (Transport Layer Security) ซึ่งเป็นมาตรฐาน SSL/TLS ขั้นสูงสุดในปัจจุบัน เพื่อป้องกันการดักจับข้อมูล (Man-in-the-Middle Attack) ระหว่างทาง
สำหรับลูกค้าองค์กรที่ต้องการส่งไฟล์ขนาดใหญ่หรือไฟล์ที่มีความลับสูง (เช่น สัญญา M&A) เรามีบริการ Secure File Transfer Protocol (SFTP) หรือ Secure Cloud Portal แยกต่างหาก เพื่อความปลอดภัยสูงสุด
การเข้ารหัสข้อมูลขณะจัดเก็บ (Encryption at Rest)
ไฟล์เอกสารของคุณ (เช่น สำเนาพาสปอร์ต, สัญญา, ไฟล์แปล) เมื่อถูกเก็บไว้ในเซิร์ฟเวอร์ของเรา จะไม่ถูกเก็บเป็นไฟล์ธรรมดา แต่จะถูก เข้ารหัสด้วยมาตรฐาน AES-256 (Advanced Encryption Standard 256-bit) ซึ่งเป็นมาตรฐานเดียวกับที่สถาบันการเงินและหน่วยงานรัฐบาลทั่วโลกใช้ในการปกป้องข้อมูลชั้นความลับ
หมายความว่า แม้ในสถานการณ์ที่เลวร้ายที่สุด (เช่น เซิร์ฟเวอร์ถูกขโมย) ข้อมูลของคุณก็จะยังคงปลอดภัยและไม่สามารถถูกเปิดอ่านได้หากไม่มีคีย์ถอดรหัส
การเข้ารหัสอีเมล (Email Encryption)
เมื่อเราต้องส่งเอกสารสำคัญที่แปลเสร็จแล้วกลับให้คุณทางอีเมล เราจะไม่ส่งเป็นไฟล์แนบธรรมดา เราใช้นโยบายการบีบอัดไฟล์ (ZIP) และ "การใส่รหัสผ่าน" (Password-Protected ZIP) โดยรหัสผ่านจะถูกส่งให้คุณในช่องทางที่สอง (เช่น Line, SMS หรือโทรศัพท์) เพื่อให้มั่นใจว่าเฉพาะผู้รับที่ถูกต้องเท่านั้นที่เปิดไฟล์ได้
2. การควบคุมการเข้าถึง (Access Control)
เราปฏิบัติตาม "หลักการสิทธิ์ขั้นต่ำที่จำเป็น" (Principle of Least Privilege - POLP) อย่างเคร่งครัด ข้อมูลของคุณจะไม่ถูกเปิดเผยต่อพนักงานทุกคนในบริษัท
- Role-Based Access Control (RBAC): ระบบของเรากำหนดสิทธิ์การเข้าถึงไฟล์ตามบทบาทหน้าที่ พนักงานฝ่ายบัญชีจะเห็นแค่ใบแจ้งหนี้ พนักงานฝ่ายการตลาดจะเห็นแค่ข้อมูลการติดต่อ แต่ "จะไม่สามารถ" มองเห็นไฟล์พินัยกรรมหรือสำเนาพาสปอร์ตของคุณได้
- Need-to-Know Basis: เฉพาะ ผู้ประสานงาน (Coordinator) ที่ดูแลเคสของคุณ และ ทนายความ Notary/นักแปล ที่ได้รับมอบหมายให้ทำงานนั้นๆ เท่านั้น ที่จะได้รับสิทธิ์ (Granted Access) ในการเปิดไฟล์เอกสารของคุณ
- การยืนยันตัวตนที่รัดกุม (Strong Authentication): พนักงานทุกคนต้องใช้รหัสผ่านที่ซับซ้อน (Complex Password Policy) และเปิดใช้งานการยืนยันตัวตนแบบสองปัจจัย (Two-Factor Authentication - 2FA) ในการเข้าถึงระบบจัดการเอกสารหลัก
- การบันทึก Log (Audit Trails): การเข้าถึงไฟล์สำคัญทุกครั้งจะถูกบันทึกไว้ใน Log file เพื่อให้สามารถตรวจสอบย้อนกลับได้ (Auditable) ว่าใคร เปิดไฟล์อะไร เมื่อไหร่
3. ความปลอดภัยของเครือข่าย (Network Security)
เครือข่ายสำนักงานของเราได้รับการปกป้องโดย:
- ไฟร์วอลล์ระดับองค์กร (Enterprise-Grade Firewalls): เราใช้ Web Application Firewall (WAF) และ Next-Generation Firewall (NGFW) เพื่อกรองการรับส่งข้อมูลที่เป็นอันตรายและป้องกันการโจมตีจากภายนอก
- การป้องกันมัลแวร์ (Advanced Malware Protection): อุปกรณ์ปลายทาง (Endpoints) ทุกเครื่องในบริษัทติดตั้งซอฟต์แวร์ Antivirus/Anti-malware ที่อัปเดตฐานข้อมูลแบบเรียลไทม์
- การแบ่งส่วนเครือข่าย (Network Segmentation): เครือข่าย Wi-Fi สำหรับแขก (Guest Wi-Fi) ถูกแยกขาดออกจากเครือข่ายภายใน (Internal Network) ที่ใช้เก็บข้อมูลลูกค้าอย่างสิ้นเชิง
มาตรการทางกายภาพ (Physical Measures)
เทคโนโลยีที่ดีที่สุดจะไร้ค่าหากประตูไม่ได้ล็อก เราให้ความสำคัญกับการรักษาความปลอดภัยทางกายภาพของเอกสารฉบับจริง (Hard Copies) อย่างสูงสุด
1. การจัดเก็บเอกสารในตู้ที่ล็อกได้ (Secure Storage)
เอกสารฉบับจริงของลูกค้า (เช่น พาสปอร์ตตัวจริงที่ลูกค้านำมา, พินัยกรรมที่ลงนามแล้ว, หรือสำเนาที่ต้องเก็บไว้เป็นหลักฐาน) จะถูกเก็บใน "ตู้เก็บเอกสารนิรภัยที่ล็อกกุญแจสองชั้น" (Dual-lock Filing Cabinets) ซึ่งตั้งอยู่ในพื้นที่จำกัดการเข้าถึง (Restricted Area) ที่มีเฉพาะทนายความ Notary และผู้จัดการอาวุโสเท่านั้นที่เข้าถึงได้
2. นโยบายโต๊ะทำงานสะอาด (Clean Desk Policy)
เราบังคับใช้ "Clean Desk Policy" อย่างจริงจัง พนักงานทุกคนได้รับการฝึกอบรมว่า "ห้าม" ทิ้งเอกสารที่ละเอียดอ่อนของลูกค้าไว้บนโต๊ะทำงาน เมื่อสิ้นสุดวันทำการ หรือเมื่อลุกออกจากโต๊ะ เอกสารทั้งหมดต้องถูกนำไปเก็บในตู้ล็อก หรือส่งเข้าเครื่องทำลายเอกสารทันที เพื่อป้องกันการแอบดูหรือถ่ายภาพโดยบุคคลที่ไม่เกี่ยวข้อง
3. การทำลายเอกสาร (Secure Document Destruction)
เอกสารกระดาษที่ไม่จำเป็นต้องใช้งานต่อ (เช่น สำเนาร่าง, เอกสารที่พิมพ์ผิด) จะไม่ถูกทิ้งลงถังขยะธรรมดา แต่จะถูกทำลายด้วย "เครื่องทำลายเอกสารแบบตัดละเอียด" (Cross-cut Shredder) เพื่อให้มั่นใจว่าข้อมูลไม่สามารถถูกกู้คืนได้
การจัดการข้อมูล (Data Handling Lifecycle)
1. นโยบายการเก็บและทำลายข้อมูล (Data Retention & Destruction Policy)
เราจะไม่เก็บข้อมูลของคุณไว้นานเกินความจำเป็นตามหลักการ PDPA
- การเก็บข้อมูล (Retention): โดยทั่วไป เราจะเก็บข้อมูลดิจิทัลและสำเนาเอกสารของคุณไว้ในระบบ Active Server เป็นระยะเวลา 90-180 วัน หลังจากที่งานเสร็จสมบูรณ์และส่งมอบแล้ว เพื่อประโยชน์ในการแก้ไขงานหรือการอ้างอิงของลูกค้า
- การทำลายข้อมูล (Destruction): หลังจากพ้นระยะเวลาดังกล่าว ไฟล์ดิจิทัลจะถูก "ลบอย่างถาวร" (Secure Deletion / Digital Shredding) ออกจากระบบ ไม่ใช่แค่การกด 'Delete' แบบปกติ เพื่อให้แน่ใจว่าไม่สามารถกู้คืนได้
2. การฝึกอบรมพนักงาน (Staff Training)
พนักงานของเราคือด่านหน้าในการปกป้องข้อมูล พนักงานทุกคน (ไม่ว่าจะเป็นผู้ประสานงาน, นักแปล, หรือ Notary) ต้องผ่านการฝึกอบรมภาคบังคับในเรื่องต่อไปนี้:
- PDPA Awareness: ความเข้าใจในข้อกฎหมาย PDPA และบทบาทของตนเอง
- Security Awareness: การตระหนักรู้ด้านความปลอดภัย, การตั้งรหัสผ่าน, และการสังเกตภัยคุกคาม
- Phishing & Social Engineering: การฝึกอบรมเพื่อรับมือกับการโจมตีแบบ Phishing (อีเมลหลอกลวง) และ Social Engineering (การหลอกถามข้อมูล)
นอกจากนี้ พนักงานทุกคนยังต้องลงนามใน "สัญญาการรักษาความลับ" (Confidentiality Agreement - NDA) ที่มีผลผูกพันทางกฎหมายตั้งแต่วันแรกที่เริ่มงาน
3. ขั้นตอนการจัดการเมื่อเกิดเหตุข้อมูลรั่วไหล (Data Breach Protocol)
แม้เราจะมีมาตรการป้องกันที่รัดกุม แต่เราก็เตรียมพร้อมสำหรับสถานการณ์ที่เลวร้ายที่สุด เรามี "ขั้นตอนการจัดการเมื่อเกิดเหตุข้อมูลรั่วไหล" (Data Breach Protocol) ที่ชัดเจน:
- จำกัดความเสียหาย (Contain): ทีม IT จะแยกส่วนระบบที่ถูกโจมตีออกจากเครือข่ายทันทีเพื่อจำกัดการแพร่กระจาย
- ประเมินผลกระทบ (Assess): วิเคราะห์ว่าข้อมูลใดรั่วไหล, กระทบต่อใครบ้าง, และมีความเสี่ยงสูงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลหรือไม่
- แจ้งเตือน (Notify): หากประเมินแล้วพบว่ามีความเสี่ยงสูง เราจะดำเนินการแจ้ง "สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)" ภายใน 72 ชั่วโมง ตามที่กฎหมายกำหนด และแจ้ง "เจ้าของข้อมูล (ลูกค้า)" ที่ได้รับผลกระทบโดยไม่ชักช้า
- ทบทวน (Review): ตรวจสอบหาสาเหตุของช่องโหว่ และปรับปรุงมาตรการป้องกันเพื่อไม่ให้เกิดซ้ำ
คำถามที่พบบ่อยจากฝ่าย IT และ Compliance (FAQ)
คำถามที่ 1: NYC Plus เข้ารหัสไฟล์ที่ฉันส่งให้หรือไม่?
ใช่ครับ เราใช้มาตรการการเข้ารหัส (Encryption) สองชั้น:
1. Encryption in Transit: เมื่อคุณอัปโหลดไฟล์ผ่านหน้าเว็บ หรือส่งอีเมลถึงเรา ข้อมูลจะถูกเข้ารหัสด้วย TLS 1.3 (มาตรฐาน SSL) เพื่อป้องกันการดักจับข้อมูลระหว่างทาง
2. Encryption at Rest: เมื่อไฟล์ของคุณถูกเก็บไว้ในเซิร์ฟเวอร์ของเรา ไฟล์เหล่านั้นจะถูกเข้ารหัสด้วยมาตรฐาน AES-256 เพื่อป้องกันไม่ให้บุคคลที่ไม่ได้รับอนุญาตเข้าถึงไฟล์ได้ แม้ว่าจะเข้าถึงเซิร์ฟเวอร์ได้ก็ตาม
คำถามที่ 2: ใครบ้างที่สามารถเข้าถึงเอกสารลับของฉันได้?
เราใช้หลักการ 'สิทธิ์ขั้นต่ำที่จำเป็น' (Principle of Least Privilege) อย่างเคร่งครัด หมายความว่า:
1. เฉพาะผู้ประสานงาน (Coordinator) ที่ได้รับมอบหมาย และ
2. ทนายความ Notary หรือ นักแปล ที่ต้องทำงานกับเอกสารนั้นๆ เท่านั้น ที่จะได้รับสิทธิ์ในการเข้าถึงไฟล์ของคุณ
พนักงานฝ่ายอื่น เช่น ฝ่ายบัญชี หรือฝ่ายการตลาด จะ 'ไม่สามารถ' มองเห็นไฟล์เอกสารของคุณได้ การเข้าถึงทุกครั้งจะถูกบันทึกและตรวจสอบได้
คำถามที่ 3: Notary Public ของ NYC Plus ผูกพันตามกฎหมายในการรักษาความลับหรือไม่?
ผูกพันอย่างสูงสุดครับ นี่คือจุดแข็งที่สำคัญที่สุดของเรา Notary Public ของ NYC Plus 'ทุกคน' เป็น 'ทนายความ' (Attorney-at-Law) ที่ได้รับใบอนุญาตจากสภาทนายความ ซึ่งหมายความว่าเราถูกผูกมัดโดย 'มรรยาททนายความ' (Attorney-Client Privilege) นอกเหนือไปจาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) การละเมิดความลับของลูกความถือเป็นความผิดร้ายแรงทางวิชาชีพ
คำถามที่ 4: คุณเก็บข้อมูลของฉันไว้นานแค่ไหนหลังจากงานเสร็จ?
ตามนโยบายการจัดการข้อมูล (Data Handling Policy) และ PDPA เราจะ 'ไม่' เก็บข้อมูลของคุณไว้นานเกินความจำเป็น โดยทั่วไป ไฟล์ดิจิทัล (เช่น สำเนาพาสปอร์ต, ไฟล์แปล) จะถูกลบอย่างถาวร (Digital Shredding) ออกจากเซิร์ฟเวอร์ที่ใช้งานอยู่ (Active Server) ภายใน 90-180 วัน หลังจากที่งานเสร็จสมบูรณ์และส่งมอบแล้ว เว้นแต่จะมีการตกลงเป็นลายลักษณ์อักษรเพื่อเก็บไว้นานกว่านั้น ส่วนเอกสารที่เป็นกระดาษจะถูกทำลายด้วยเครื่องทำลายเอกสาร (Cross-cut Shredder) ทันที
คำถามที่ 5: NYC Plus มีขั้นตอนจัดการอย่างไรหากเกิดเหตุข้อมูลรั่วไหล (Data Breach)?
เรามี 'ขั้นตอนการจัดการเมื่อเกิดเหตุข้อมูลรั่วไหล' (Data Breach Protocol) ที่ชัดเจน: 1. ตรวจสอบและจำกัดความเสียหาย (Contain) ทันที 2. ประเมินผลกระทบ (Assess) ว่าข้อมูลใดรั่วไหลและกระทบต่อใครบ้าง 3. แจ้งเตือน (Notify) หากประเมินแล้วมีความเสี่ยงสูง เราจะแจ้ง 'สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)' ภายใน 72 ชั่วโมง ตามที่กฎหมายกำหนด และแจ้ง 'เจ้าของข้อมูล (ลูกค้า)' โดยไม่ชักช้า 4. ทบทวน (Review) เพื่อหาสาเหตุและป้องกันไม่ให้เกิดซ้ำ
คำถามที่ 6: เราสามารถทำ Due Diligence หรือ Audit มาตรการของ NYC Plus ได้หรือไม่?
เรายินดีครับ สำหรับลูกค้าระดับองค์กรที่กำลังพิจารณาทำสัญญาระยะยาว (Retainer Agreement) เรายินดีต้อนรับฝ่าย IT หรือ Compliance ของท่านในการนัดหมายเพื่อตรวจสอบ (Audit) มาตรการรักษาความปลอดภัยของเรา เราสามารถจัดเตรียมเอกสารนโยบาย (ฉบับไม่เปิดเผยความลับทางการค้า) และตอบแบบสอบถามด้านความปลอดภัย (Security Questionnaire) ของท่านได้ โปรดติดต่อเราเพื่อทำการนัดหมาย
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับสิทธิ์ของเจ้าของข้อมูล โปรดอ่าน นโยบายความเป็นส่วนตัว (Privacy Policy) ฉบับย่อของเรา
ความปลอดภัยของคุณคือมาตรฐานของเรา
เรายินดีให้ข้อมูลเพิ่มเติมแก่ลูกค้าองค์กร
ติดต่อเราเพื่อสอบถามเกี่ยวกับมาตรการรักษาความปลอดภัยข้อมูล หรือนัดหมาย Due Diligence
Call Center: 081-5620444, 083-2494999
Email: [email protected] | Line ID: @NYCLI
ติดต่อฝ่าย Compliance
