ระบบ Security Standard ที่ PDPA Platform ต้องมี
ไม่ว่าจะ Platform ไหนๆ เมื่อถูกสร้างขึ้นมาก็จะต้องมี Security Standard หรือ หลักการทางด้าน Security หลักการที่ว่านี้เรานิยมใช้ยึดเป็นหลักในการสร้างระบบให้ปลอดภัยและน่าเชื่อถือครับ เราขอหยิบเอาหลักการ CIA Triad และ AAA Protocol ระบบ Security พื้นฐานที่ควรมีมาพูดกันใน
การรักษาความปลอดภัยของ Platform
แน่นอนว่าผู้สร้างแพลตฟอร์มย่อมต้องการให้ผู้ใช้งานระบบได้อย่างต่อเนื่อง ไม่มีปัญหาติดขัดในแพลตฟอร์ม แต่มันก็ไม่ได้ง่ายขนาดนั้น เพราะสิ่งที่ผู้ใช้มองหานอกจากฟีเจอร์ของระบบแล้วยังมี “ความน่าเชื่อถือ” ของระบบด้วย
นั่นก็หมายความว่า ถ้าคุณสามารถทำให้ระบบน่าเชื่อถือ นั่นก็เป็นอีกหนึ่งวิธีที่จะทำให้มีผู้ใช้ไว้วางใจและเลือกใช้งานกับแพลตฟอร์มคุณมากขึ้น ดังนั้นเราจะมาพูดถึง “ความน่าเชื่อถือ” คุณสมบัติที่ระบบจะต้องมีหรือที่เรียกกันว่า CIA Triad
CIA คืออะไร
C-I-A เป็นตัวอักษรที่ย่อมาจาก Confidentiality Integrity และ Availability ซึ่ง 3 คำนี้คือสิ่งที่ระบบที่น่าเชื่อถือจะต้องมี
- Confidentiality หมายถึง ความสามารถในการรักษาความลับของระบบ การควบคุมการเข้าถึงข้อมูลเพื่อไม่ให้ผู้ที่ไม่มีสิทธิเข้าถึงความลับใดๆ เช่น หากเรามีการเก็บข้อมูลส่วนบุคคลไว้ เช่น เลขบัตรประชาชน เบอร์โทร โรคประจำตัว หน้าที่ของระบบคือการจัดการความปลอดภัยไม่ให้คนที่ไม่มีสิทธิเข้ามาดูข้อมูลของเราไปได้
- Integrity หมายถึง ความถูกต้องและความสมบูรณ์ของข้อมูลไม่ว่าจะเป็นการส่งหรือจัดเก็บ เช่น หากเราส่งข้อมูลจากจุด A ไปจุด B หรือ B จัดเก็บข้อมูลไว้ ข้อมูลนั้นควรถูกต้องสมบูรณ์เสมอจากต้นฉบับ(A) หรือจะเปลี่ยนแปลงแก้ไขได้จากผู้ที่ได้รับสิทธิเท่านั้น หน้าที่ของระบบคือป้องกันการโจมตี แก้ไขหรือเปลี่ยนแปลงข้อมูลโดยผู้ที่ไม่มีสิทธิ
- Availability หมายถึงความสามารถของระบบที่จะคงอยู่ ให้บริการหรือทำงานได้ตลอดเวลาจากคนที่มีสิทธิ หน้าที่ของระบบคือแม้จะเกิดข้อผิดพลาดใดๆ ต้องมีมาตรการสำรองเตรียมพร้อมไว้เสมอ เพื่อให้ระบบยังคงดำเนินการได้
ยังมีอีก 1 คุณสมบัติที่สำคัญไม่แพ้ CIA Triad นั้นก็คือ AAA protocol ซึ่งหลายคนอาจจะไม่เคยได้ยินแต่ว่าคงได้สัมผัสหรือเคยเห็นกันมาแล้วอย่างแน่นอน
AAA Protocol คืออะไร
AAA Protocol มีทั้งหมด 3 องค์ประกอบที่มาตามตัวอักษรย่อ A-A-A ได้แก่
- Authentication : การตรวจสอบและพิสูจน์ตัวตน เพื่อเข้าใช้งานระบบซึ่งมีหลายวิธีไม่ว่าจะเป็น User & Password, PIN, QR code ลายนิ้วมือหรือใบหน้า เป็นต้น
- Authorization : การกำหนดสิทธิการเข้าถึงให้แก่บุคคลว่าบุคคลไหนสามารถใช้งานอะไรในระบบได้บ้าง เช่น บางคนอาจจะสามารถดูข้อมูลในไฟล์ได้แต่จะไม่สามารถแก้ไขได้
- Accounting : กระบวนการเก็บและบันทึกว่าแต่ละคนเข้ามาเปลี่ยนแปลงแก้ไขอะไรบ้างเพื่อ เก็บข้อมูลไว้ตรวจสอบหรือใช้ในการร่าง Policy ได้
ทั้งหมดนี้ทั้ง CIA Triad และ AAA protocol เป็นคุณสมบัติที่สำคัญอย่างยิ่งในการรักษาความปลอดภัยและสร้างความน่าเชื่อถือให้แก่ตัวระบบ โดยที่ระบบต้อง รักษาความลับ รักษาข้อมูลให้ถูกต้องและพร้อมใช้งานอยู่เสมอ รวมถึงคนที่มีสิทธิต้องยืนยันตัวตนเพื่อเข้าใช้งาน และมีการกำหนดสิทธิของผู้ใช้แต่ละคนโดยต้องมีการเก็บข้อมูลประวัติการใช้งานหรือการเพิ่ม ลบ เปลี่ยนแปลงข้อมูลได้ด้วย
และแน่นอนผลิตภัณฑ์ของเราอย่าง t-reg PDPA Solution ได้สร้างและพัฒนาขึ้นมาโดยยึดตามหลักการอย่าง CIA Triad และ AAA Protocol เพื่อสร้างความมั่นใจให้แก่ลูกค้าและองค์กร ข้อมูลเพิ่มเติม https://t-reg.co/security-model
