Table of Contents
- ภาพรวมความปลอดภัย (Security Overview)
- การเข้ารหัสข้อมูล (Data Encryption)
- PCI DSS Compliance
- โครงสร้างพื้นฐาน (Infrastructure Security)
- การตรวจจับการฉ้อโกง (Fraud Detection)
- การควบคุมการเข้าถึง (Access Control)
- การตรวจสอบและการทดสอบ (Auditing & Testing)
- การปฏิบัติตามกฎระเบียบ (Regulatory Compliance)
- การรายงานช่องโหว่ (Responsible Disclosure)
- ติดต่อทีมความปลอดภัย (Contact Security Team)
01 ภาพรวมความปลอดภัย (Security Overview)
Elixopay ใช้มาตรฐานความปลอดภัยระดับธนาคาร (Bank-Grade Security) เพื่อปกป้องข้อมูลและธุรกรรมของร้านค้าทุกรายการ เราออกแบบระบบด้วยหลักการ Security by Design ตั้งแต่สถาปัตยกรรมพื้นฐาน
- ระบบรักษาความปลอดภัยหลายชั้น (Defense in Depth)
- การตรวจสอบและเฝ้าระวังตลอด 24 ชั่วโมง (24/7 Monitoring)
- ทีมความปลอดภัยเฉพาะทาง (Dedicated Security Team)
- การปฏิบัติตามมาตรฐานสากล (International Compliance Standards)
02 การเข้ารหัสข้อมูล (Data Encryption)
ข้อมูลทั้งหมดได้รับการปกป้องด้วยเทคโนโลยีการเข้ารหัสระดับสูงสุด ทั้งในขณะจัดเก็บ (at rest) และระหว่างการส่ง (in transit) เพื่อให้มั่นใจว่าข้อมูลของร้านค้าและลูกค้าปลอดภัยอย่างสมบูรณ์
AES-256 Encryption
เข้ารหัสข้อมูลขณะจัดเก็บ (at rest) ด้วยมาตรฐาน AES-256 ซึ่งเป็นมาตรฐานเดียวกับที่รัฐบาลสหรัฐฯ ใช้
TLS 1.3
การส่งข้อมูลทั้งหมดเข้ารหัสด้วย TLS 1.3 ซึ่งเป็นโปรโตคอลเข้ารหัสเวอร์ชันล่าสุดและปลอดภัยที่สุด
HTTPS Only
API ทุกตัวทำงานผ่าน HTTPS เท่านั้น ไม่รองรับการเชื่อมต่อ HTTP แบบไม่เข้ารหัส
HSM Key Management
การจัดการกุญแจเข้ารหัสผ่าน Hardware Security Module (HSM) เพื่อความปลอดภัยสูงสุด
03 PCI DSS Compliance
Elixopay ได้รับการรับรองมาตรฐาน PCI DSS Level 1 ซึ่งเป็นระดับสูงสุดของมาตรฐานความปลอดภัยสำหรับอุตสาหกรรมบัตรชำระเงิน เราผ่านการตรวจสอบอย่างเข้มงวดเป็นประจำทุกปีโดยผู้ตรวจสอบที่ได้รับการรับรอง
Level 1 Certified
ระดับสูงสุดของ PCI DSS สำหรับผู้ให้บริการชำระเงินที่ประมวลผลธุรกรรมมากกว่า 6 ล้านรายการต่อปี
Annual QSA Audit
การตรวจสอบประจำปีโดย Qualified Security Assessor (QSA) ที่ได้รับการรับรองจาก PCI Council
Tokenization
หมายเลขบัตรเครดิตจะไม่สัมผัสเซิร์ฟเวอร์ของเราโดยตรง แปลงเป็น Token ก่อนเสมอ
Scope Reduction
ลดขอบเขต PCI DSS สำหรับร้านค้า ทำให้ร้านค้าไม่ต้องจัดการข้อมูลบัตรด้วยตนเอง
04 โครงสร้างพื้นฐาน (Infrastructure Security)
โครงสร้างพื้นฐานของ Elixopay ถูกออกแบบมาเพื่อความปลอดภัย ความเสถียร และประสิทธิภาพสูงสุด โฮสต์บน Cloud Infrastructure ที่ได้รับการรับรองมาตรฐาน ISO 27001 พร้อม SLA รับประกัน Uptime 99.9%
ISO 27001 Cloud
โฮสต์บน Cloud Provider ที่ผ่านการรับรอง ISO 27001 Information Security Management
DDoS Protection
ระบบป้องกัน DDoS Attack หลายชั้น สามารถรับมือกับการโจมตีระดับ Terabits ต่อวินาที
WAF
Web Application Firewall ป้องกัน OWASP Top 10 รวมถึง SQL Injection, XSS, CSRF
Network Segmentation
แยกเครือข่ายออกเป็นส่วนๆ เพื่อจำกัดพื้นที่ความเสียหายหากเกิดการบุกรุก
- Automated Backups: สำรองข้อมูลอัตโนมัติทุกวัน พร้อมระบบ Point-in-Time Recovery
- Disaster Recovery: แผนกู้คืนระบบจากภัยพิบัติ พร้อม Multi-Region Failover
- 99.9% Uptime SLA: รับประกันความพร้อมใช้งานระดับสูง พร้อมการเฝ้าระวังตลอด 24/7
05 การตรวจจับการฉ้อโกง (Fraud Detection)
ระบบตรวจจับการฉ้อโกงของ Elixopay ใช้เทคโนโลยี AI และ Machine Learning เพื่อวิเคราะห์และป้องกันธุรกรรมที่น่าสงสัยแบบเรียลไทม์ ปกป้องร้านค้าจากการฉ้อโกงบัตรเครดิตและกิจกรรมที่ผิดปกติ
Real-time AI Monitoring
ระบบ AI วิเคราะห์ธุรกรรมทุกรายการแบบเรียลไทม์ ตรวจจับรูปแบบที่ผิดปกติทันที
Velocity Checks
ตรวจสอบความถี่ของธุรกรรม ป้องกันการทำธุรกรรมซ้ำหรือถี่ผิดปกติ
Device Fingerprinting
ระบุลักษณะเฉพาะของอุปกรณ์ เพื่อตรวจจับการใช้อุปกรณ์ที่ถูกปลอมแปลง
IP Reputation Scoring
ให้คะแนนความน่าเชื่อถือของ IP Address เพื่อบล็อกการเข้าถึงจากแหล่งที่น่าสงสัย
- 3D Secure Authentication: รองรับ 3D Secure 2.0 เพิ่มชั้นการยืนยันตัวตนผู้ถือบัตร
- Risk Scoring Engine: ระบบให้คะแนนความเสี่ยง (Risk Score) สำหรับทุกธุรกรรม ช่วยร้านค้าตัดสินใจอนุมัติหรือปฏิเสธ
06 การควบคุมการเข้าถึง (Access Control)
ระบบควบคุมการเข้าถึงของ Elixopay ถูกออกแบบตามหลัก Principle of Least Privilege เพื่อให้แน่ใจว่าผู้ใช้แต่ละคนมีสิทธิ์เข้าถึงเฉพาะทรัพยากรที่จำเป็นเท่านั้น
- Role-Based Access Control (RBAC): กำหนดสิทธิ์ตามบทบาท (Role) เช่น Admin, Manager, Operator โดยแต่ละบทบาทมีสิทธิ์ที่แตกต่างกัน
- Multi-Factor Authentication (MFA/2FA): บังคับใช้การยืนยันตัวตนหลายปัจจัย สำหรับการเข้าถึง Dashboard และการทำธุรกรรมสำคัญ
- Session Management: จัดการ Session อย่างเข้มงวด รวมถึง Session Timeout อัตโนมัติ และ Single Active Session
- IP Whitelisting: จำกัดการเข้าถึง API เฉพาะ IP Address ที่ได้รับอนุญาต เพิ่มความปลอดภัยสำหรับ Production Environment
- Audit Logging: บันทึกการกระทำทั้งหมด (Audit Trail) เพื่อตรวจสอบย้อนหลัง ว่าใครทำอะไร เมื่อไหร่ จากที่ไหน
07 การตรวจสอบและการทดสอบ (Auditing & Testing)
Elixopay ดำเนินการตรวจสอบและทดสอบความปลอดภัยอย่างสม่ำเสมอ เพื่อค้นหาและแก้ไขช่องโหว่ก่อนที่ผู้ไม่ประสงค์ดีจะสามารถใช้ประโยชน์ได้
Penetration Testing
การทดสอบเจาะระบบ (Pentest) โดยผู้เชี่ยวชาญภายนอกอย่างน้อยปีละ 2 ครั้ง
Vulnerability Scanning
สแกนหาช่องโหว่อัตโนมัติทุกสัปดาห์ ด้วยเครื่องมือระดับอุตสาหกรรม
Code Review
ตรวจสอบโค้ดทุกบรรทัดก่อน Deploy พร้อม Static Application Security Testing (SAST)
SOC 2 Type II
ปฏิบัติตามมาตรฐาน SOC 2 Type II เพื่อรับรองการควบคุมความปลอดภัย ความพร้อมใช้งาน และความเป็นส่วนตัว
- Annual Security Assessments: การประเมินความปลอดภัยประจำปีครอบคลุมทุกด้าน รวมถึง Physical Security, Network Security และ Application Security
08 การปฏิบัติตามกฎระเบียบ (Regulatory Compliance)
Elixopay ปฏิบัติตามกฎหมายและข้อบังคับที่เกี่ยวข้องทั้งหมด เพื่อให้มั่นใจว่าบริการของเราเป็นไปตามมาตรฐานที่หน่วยงานกำกับดูแลกำหนด
ธนาคารแห่งประเทศไทย (BOT)
ปฏิบัติตามข้อบังคับของธนาคารแห่งประเทศไทยว่าด้วยผู้ให้บริการชำระเงินทางอิเล็กทรอนิกส์
ปปง. (AMLO)
ปฏิบัติตามข้อกำหนดของสำนักงานป้องกันและปราบปรามการฟอกเงิน (AMLO) ว่าด้วย KYC/AML
PDPA
ปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) อย่างเคร่งครัด ดูรายละเอียดใน นโยบายความเป็นส่วนตัว
PCI DSS Level 1
ได้รับการรับรองมาตรฐาน PCI DSS ระดับสูงสุด สำหรับผู้ให้บริการชำระเงินผ่านบัตร
09 การรายงานช่องโหว่ (Responsible Disclosure)
Elixopay ให้ความสำคัญกับความปลอดภัยของระบบ และเราเชื่อว่าการทำงานร่วมกับชุมชนนักวิจัยด้านความปลอดภัยเป็นสิ่งจำเป็นในการรักษาความปลอดภัยของแพลตฟอร์ม หากคุณพบช่องโหว่ด้านความปลอดภัย กรุณาแจ้งให้เราทราบอย่างรับผิดชอบ
วิธีรายงานช่องโหว่:
- ส่งรายละเอียดช่องโหว่ไปที่ security@elixopay.com
- อธิบายขั้นตอนการทำซ้ำ (Steps to Reproduce) อย่างชัดเจน
- แนบหลักฐาน เช่น Screenshot, PoC Code หรือ Video
- อย่าเปิดเผยช่องโหว่ต่อสาธารณะจนกว่าเราจะแก้ไขเสร็จสิ้น
ระยะเวลาตอบกลับ (Response Timeline):
- ตอบรับรายงาน: ภายใน 24 ชั่วโมง
- การประเมินเบื้องต้น: ภายใน 72 ชั่วโมง
- การแก้ไข (Critical): ภายใน 7 วัน
- การแก้ไข (High/Medium): ภายใน 30 วัน
- แจ้งผลและค่าตอบแทน: ภายใน 14 วันหลังแก้ไข
10 ติดต่อทีมความปลอดภัย (Contact Security Team)
หากคุณมีข้อกังวลด้านความปลอดภัย พบกิจกรรมที่น่าสงสัย หรือต้องการสอบถามเกี่ยวกับมาตรการรักษาความปลอดภัยของเรา กรุณาติดต่อทีมความปลอดภัยของ Elixopay
บริษัท คัลเจอร์ แคปิตอล เพย์ จำกัด — ทะเบียนนิติบุคคลเลขที่ 0105565039818