Security Infrastructure

มาตรฐานความปลอดภัยระดับธนาคารที่ปกป้องทุกธุรกรรมของร้านค้า

UPDATED 2026-01-01 Bank-Grade Security ISO 27001 PCI DSS Level 1

Table of Contents

  1. ภาพรวมความปลอดภัย (Security Overview)
  2. การเข้ารหัสข้อมูล (Data Encryption)
  3. PCI DSS Compliance
  4. โครงสร้างพื้นฐาน (Infrastructure Security)
  5. การตรวจจับการฉ้อโกง (Fraud Detection)
  6. การควบคุมการเข้าถึง (Access Control)
  7. การตรวจสอบและการทดสอบ (Auditing & Testing)
  8. การปฏิบัติตามกฎระเบียบ (Regulatory Compliance)
  9. การรายงานช่องโหว่ (Responsible Disclosure)
  10. ติดต่อทีมความปลอดภัย (Contact Security Team)

01 ภาพรวมความปลอดภัย (Security Overview)

Elixopay ใช้มาตรฐานความปลอดภัยระดับธนาคาร (Bank-Grade Security) เพื่อปกป้องข้อมูลและธุรกรรมของร้านค้าทุกรายการ เราออกแบบระบบด้วยหลักการ Security by Design ตั้งแต่สถาปัตยกรรมพื้นฐาน

Non-Custodial Model: Elixopay ทำงานในรูปแบบ Non-Custodial Payment Gateway ซึ่งหมายความว่าเงินของลูกค้าจะโอนตรงไปยังบัญชีธนาคารของร้านค้าโดยตรง — เราไม่เคยถือครองหรือเก็บรักษาเงินของลูกค้าไว้ในระบบ รูปแบบนี้ลดความเสี่ยงจากการถูกโจมตีได้อย่างมีนัยสำคัญ เพราะไม่มีเงินทุนถูกเก็บไว้ในระบบของเรา

02 การเข้ารหัสข้อมูล (Data Encryption)

ข้อมูลทั้งหมดได้รับการปกป้องด้วยเทคโนโลยีการเข้ารหัสระดับสูงสุด ทั้งในขณะจัดเก็บ (at rest) และระหว่างการส่ง (in transit) เพื่อให้มั่นใจว่าข้อมูลของร้านค้าและลูกค้าปลอดภัยอย่างสมบูรณ์

AES-256 Encryption

เข้ารหัสข้อมูลขณะจัดเก็บ (at rest) ด้วยมาตรฐาน AES-256 ซึ่งเป็นมาตรฐานเดียวกับที่รัฐบาลสหรัฐฯ ใช้

TLS 1.3

การส่งข้อมูลทั้งหมดเข้ารหัสด้วย TLS 1.3 ซึ่งเป็นโปรโตคอลเข้ารหัสเวอร์ชันล่าสุดและปลอดภัยที่สุด

HTTPS Only

API ทุกตัวทำงานผ่าน HTTPS เท่านั้น ไม่รองรับการเชื่อมต่อ HTTP แบบไม่เข้ารหัส

HSM Key Management

การจัดการกุญแจเข้ารหัสผ่าน Hardware Security Module (HSM) เพื่อความปลอดภัยสูงสุด

03 PCI DSS Compliance

Elixopay ได้รับการรับรองมาตรฐาน PCI DSS Level 1 ซึ่งเป็นระดับสูงสุดของมาตรฐานความปลอดภัยสำหรับอุตสาหกรรมบัตรชำระเงิน เราผ่านการตรวจสอบอย่างเข้มงวดเป็นประจำทุกปีโดยผู้ตรวจสอบที่ได้รับการรับรอง

Level 1 Certified

ระดับสูงสุดของ PCI DSS สำหรับผู้ให้บริการชำระเงินที่ประมวลผลธุรกรรมมากกว่า 6 ล้านรายการต่อปี

Annual QSA Audit

การตรวจสอบประจำปีโดย Qualified Security Assessor (QSA) ที่ได้รับการรับรองจาก PCI Council

Tokenization

หมายเลขบัตรเครดิตจะไม่สัมผัสเซิร์ฟเวอร์ของเราโดยตรง แปลงเป็น Token ก่อนเสมอ

Scope Reduction

ลดขอบเขต PCI DSS สำหรับร้านค้า ทำให้ร้านค้าไม่ต้องจัดการข้อมูลบัตรด้วยตนเอง

04 โครงสร้างพื้นฐาน (Infrastructure Security)

โครงสร้างพื้นฐานของ Elixopay ถูกออกแบบมาเพื่อความปลอดภัย ความเสถียร และประสิทธิภาพสูงสุด โฮสต์บน Cloud Infrastructure ที่ได้รับการรับรองมาตรฐาน ISO 27001 พร้อม SLA รับประกัน Uptime 99.9%

ISO 27001 Cloud

โฮสต์บน Cloud Provider ที่ผ่านการรับรอง ISO 27001 Information Security Management

DDoS Protection

ระบบป้องกัน DDoS Attack หลายชั้น สามารถรับมือกับการโจมตีระดับ Terabits ต่อวินาที

WAF

Web Application Firewall ป้องกัน OWASP Top 10 รวมถึง SQL Injection, XSS, CSRF

Network Segmentation

แยกเครือข่ายออกเป็นส่วนๆ เพื่อจำกัดพื้นที่ความเสียหายหากเกิดการบุกรุก

05 การตรวจจับการฉ้อโกง (Fraud Detection)

ระบบตรวจจับการฉ้อโกงของ Elixopay ใช้เทคโนโลยี AI และ Machine Learning เพื่อวิเคราะห์และป้องกันธุรกรรมที่น่าสงสัยแบบเรียลไทม์ ปกป้องร้านค้าจากการฉ้อโกงบัตรเครดิตและกิจกรรมที่ผิดปกติ

Real-time AI Monitoring

ระบบ AI วิเคราะห์ธุรกรรมทุกรายการแบบเรียลไทม์ ตรวจจับรูปแบบที่ผิดปกติทันที

Velocity Checks

ตรวจสอบความถี่ของธุรกรรม ป้องกันการทำธุรกรรมซ้ำหรือถี่ผิดปกติ

Device Fingerprinting

ระบุลักษณะเฉพาะของอุปกรณ์ เพื่อตรวจจับการใช้อุปกรณ์ที่ถูกปลอมแปลง

IP Reputation Scoring

ให้คะแนนความน่าเชื่อถือของ IP Address เพื่อบล็อกการเข้าถึงจากแหล่งที่น่าสงสัย

06 การควบคุมการเข้าถึง (Access Control)

ระบบควบคุมการเข้าถึงของ Elixopay ถูกออกแบบตามหลัก Principle of Least Privilege เพื่อให้แน่ใจว่าผู้ใช้แต่ละคนมีสิทธิ์เข้าถึงเฉพาะทรัพยากรที่จำเป็นเท่านั้น

07 การตรวจสอบและการทดสอบ (Auditing & Testing)

Elixopay ดำเนินการตรวจสอบและทดสอบความปลอดภัยอย่างสม่ำเสมอ เพื่อค้นหาและแก้ไขช่องโหว่ก่อนที่ผู้ไม่ประสงค์ดีจะสามารถใช้ประโยชน์ได้

Penetration Testing

การทดสอบเจาะระบบ (Pentest) โดยผู้เชี่ยวชาญภายนอกอย่างน้อยปีละ 2 ครั้ง

Vulnerability Scanning

สแกนหาช่องโหว่อัตโนมัติทุกสัปดาห์ ด้วยเครื่องมือระดับอุตสาหกรรม

Code Review

ตรวจสอบโค้ดทุกบรรทัดก่อน Deploy พร้อม Static Application Security Testing (SAST)

SOC 2 Type II

ปฏิบัติตามมาตรฐาน SOC 2 Type II เพื่อรับรองการควบคุมความปลอดภัย ความพร้อมใช้งาน และความเป็นส่วนตัว

08 การปฏิบัติตามกฎระเบียบ (Regulatory Compliance)

Elixopay ปฏิบัติตามกฎหมายและข้อบังคับที่เกี่ยวข้องทั้งหมด เพื่อให้มั่นใจว่าบริการของเราเป็นไปตามมาตรฐานที่หน่วยงานกำกับดูแลกำหนด

ธนาคารแห่งประเทศไทย (BOT)

ปฏิบัติตามข้อบังคับของธนาคารแห่งประเทศไทยว่าด้วยผู้ให้บริการชำระเงินทางอิเล็กทรอนิกส์

ปปง. (AMLO)

ปฏิบัติตามข้อกำหนดของสำนักงานป้องกันและปราบปรามการฟอกเงิน (AMLO) ว่าด้วย KYC/AML

PDPA

ปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) อย่างเคร่งครัด ดูรายละเอียดใน นโยบายความเป็นส่วนตัว

PCI DSS Level 1

ได้รับการรับรองมาตรฐาน PCI DSS ระดับสูงสุด สำหรับผู้ให้บริการชำระเงินผ่านบัตร

09 การรายงานช่องโหว่ (Responsible Disclosure)

Elixopay ให้ความสำคัญกับความปลอดภัยของระบบ และเราเชื่อว่าการทำงานร่วมกับชุมชนนักวิจัยด้านความปลอดภัยเป็นสิ่งจำเป็นในการรักษาความปลอดภัยของแพลตฟอร์ม หากคุณพบช่องโหว่ด้านความปลอดภัย กรุณาแจ้งให้เราทราบอย่างรับผิดชอบ

Bug Bounty Program: เราเปิดรับรายงานช่องโหว่จากนักวิจัยด้านความปลอดภัย หากช่องโหว่ที่รายงานมีคุณสมบัติตรงตามเกณฑ์ ผู้รายงานจะได้รับค่าตอบแทน (Bounty) ตามระดับความรุนแรงของช่องโหว่

วิธีรายงานช่องโหว่:

ระยะเวลาตอบกลับ (Response Timeline):

10 ติดต่อทีมความปลอดภัย (Contact Security Team)

หากคุณมีข้อกังวลด้านความปลอดภัย พบกิจกรรมที่น่าสงสัย หรือต้องการสอบถามเกี่ยวกับมาตรการรักษาความปลอดภัยของเรา กรุณาติดต่อทีมความปลอดภัยของ Elixopay

Security Team: security@elixopay.com
Privacy Concerns: privacy@elixopay.com
General Support: support@elixopay.com

บริษัท คัลเจอร์ แคปิตอล เพย์ จำกัด — ทะเบียนนิติบุคคลเลขที่ 0105565039818