ระดับการให้บริการ การคุ้มครองข้อมูล และสิ่งที่ลูกค้าสามารถคาดหวังได้
หน้านี้จัดทำขึ้นเพื่อสรุปภาพรวมของ ข้อตกลงระดับการให้บริการ (Service Level Agreements – SLAs) และ ข้อตกลงการประมวลผลข้อมูล (Data Processing Agreement – DPA) ในภาษาที่เข้าใจง่าย
มีวัตถุประสงค์เพื่อช่วยให้ลูกค้า ทีมจัดซื้อ และฝ่ายกฎหมาย เข้าใจว่า
บริการถูกส่งมอบอย่างไร เหตุการณ์ต่าง ๆ ได้รับการจัดการอย่างไร และข้อมูลส่วนบุคคลได้รับการคุ้มครองในลักษณะใด
หน้านี้เป็นเพียงเอกสารสรุปเท่านั้น และ ไม่สามารถใช้แทนเงื่อนไขทางกฎหมายที่มีผลผูกพัน ซึ่งกำหนดไว้ใน สัญญาหลักในการให้บริการ (Master Services Agreement – MSA) และเอกสารกำหนดขอบเขตบริการที่เกี่ยวข้อง
ข้อตกลงระดับการให้บริการ
ข้อตกลง SLA ของเรากำหนด ความคาดหวังด้านการตอบสนอง เส้นทางการยกระดับเหตุการณ์ และความรับผิดชอบ อย่างชัดเจน โดยไม่ให้คำมั่นสัญญาที่ไม่สมจริง
ระดับการให้บริการถูกกำหนดตาม ระดับบริการ (Service Tier) และจัดลำดับความสำคัญตาม ผลกระทบต่อธุรกิจ
ขอบเขต SLA แยกตามระดับบริการ
| ด้าน | Bronze | Gold | Platinum |
|---|---|---|---|
|
ชั่วโมงการให้การสนับสนุน |
เวลาทำการ |
ขยายเวลาทำการ |
24×7 |
|
การเฝ้าระวังระบบ |
เวลาทำการ |
SOC-lite |
SOC เต็มรูปแบบ |
|
แนวทางการตอบสนองต่อเหตุการณ์ |
ระดับปกติ |
ระดับเร่งด่วน |
ระดับวิกฤต |
|
SLA สำหรับเหตุการณ์ร้ายแรง |
– |
◐ |
< 1 ชั่วโมง |
|
การจัดการเหตุการณ์ร้ายแรง (Major Incident) |
– |
◐ |
✔ |
|
การทบทวนบริการ (Service Reviews) |
– |
◐ |
✔ |
คำอธิบายสัญลักษณ์: ✔ รวมอยู่ในบริการ | ◐ รองรับในขอบเขตจำกัด | — ไม่รวมในบริการ
การจัดลำดับความสำคัญของเหตุการณ์
เหตุการณ์ต่าง ๆ จะถูกจัดประเภทตาม ผลกระทบต่อธุรกิจ ไม่ใช่เพียงความรุนแรงทางเทคนิคเท่านั้น โดยแบ่งเป็น:
Critical (วิกฤต) – ส่งผลกระทบต่อการผลิต การส่งมอบให้ลูกค้า ข้อกำหนดด้านกฎระเบียบ หรือซัพพลายเชน
High (สูง) – การให้บริการลดลงอย่างมีนัยสำคัญ หรือมีความเสี่ยงด้านความปลอดภัย
Medium (ปานกลาง) – ปัญหาด้านการดำเนินงานที่ไม่อยู่ในระดับวิกฤต
Low (ต่ำ) – คำขอ การเปลี่ยนแปลง หรือรายการให้คำแนะนำ
เป้าหมายระยะเวลาการตอบสนองจะแตกต่างกันไปตามระดับบริการ และกำหนดไว้ในเอกสารกำหนดขอบเขตบริการที่เกี่ยวข้อง
สิ่งที่ SLA รับประกัน (และไม่รับประกัน)
SLA รับประกันว่า
กำหนดความคาดหวังด้านการตอบสนอง การยกระดับเหตุการณ์ และการสื่อสารอย่างชัดเจน
ทำให้การจัดการเหตุการณ์เป็นไปอย่างมีโครงสร้างและมีความรับผิดชอบ
สนับสนุนข้อกำหนดด้านการตรวจสอบ การกำกับดูแล และกระบวนการจัดซื้อ
SLA ไม่ได้หมายความว่า
รับประกันว่าระบบจะไม่หยุดชะงัก
รับประกันว่าจะไม่เกิดการสูญหายของข้อมูล
ใช้ทดแทนการวางแผนความต่อเนื่องทางธุรกิจหรือแผน Disaster Recovery
ข้อตกลง SLA เป็นเพียงส่วนหนึ่งของแนวทางการบริหารความเสี่ยงโดยรวมเท่านั้น
ภาพรวมข้อตกลงการประมวลผลข้อมูล
ข้อตกลง DPA กำหนดแนวทางและขอบเขตในการประมวลผลข้อมูลส่วนบุคคล เมื่อเราให้บริการแก่ลูกค้า
ข้อตกลงนี้สอดคล้องกับ:
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย (PDPA)
หลักการด้านความมั่นคงปลอดภัยสารสนเทศตาม ISO/IEC 27001:2022
แนวปฏิบัติสากลสำหรับผู้ประมวลผลข้อมูล (Data Processor)
บทบาทและความรับผิดชอบ
ภายใต้ข้อตกลง DPA:
ลูกค้าทำหน้าที่เป็น ผู้ควบคุมข้อมูล (Data Controller)
เราทำหน้าที่เป็น ผู้ประมวลผลข้อมูล (Data Processor) เมื่อดำเนินการกับข้อมูลส่วนบุคคลในนามของลูกค้า
ข้อมูลส่วนบุคคลจะถูกประมวลผล เท่าที่จำเป็น เพื่อการให้บริการ และเพื่อให้เป็นไปตามข้อกำหนดทางกฎหมายเท่านั้น
มาตรการด้านความปลอดภัยและการคุ้มครองข้อมูล
เรานำมาตรการด้านเทคนิคและมาตรการเชิงองค์กรที่เหมาะสมมาใช้ เพื่อคุ้มครองข้อมูลส่วนบุคคล ซึ่งรวมถึง:
การควบคุมการเข้าถึงข้อมูล
การบันทึกเหตุการณ์และการเฝ้าระวังระบบ
การเข้ารหัสข้อมูลในกรณีที่เหมาะสม
กระบวนการตอบสนองต่อเหตุการณ์และเหตุข้อมูลรั่วไหล
การควบคุมต่าง ๆ จะถูกนำมาใช้ตามสัดส่วนของ ระดับบริการ (Service Tier) และ ขอบเขตของบริการ
การตรวจจับและการแจ้งเหตุข้อมูลรั่วไหล
หากมีข้อสงสัยหรือยืนยันแล้วว่าเกิดเหตุข้อมูลส่วนบุคคลรั่วไหล:
จะดำเนินการทันทีเพื่อควบคุมสถานการณ์และสอบสวนเหตุการณ์
จะแจ้งให้ลูกค้าที่ได้รับผลกระทบทราบโดยไม่ล่าช้าเกินสมควร
เราจะสนับสนุนลูกค้าในการปฏิบัติตามภาระหน้าที่ด้านการแจ้งเหตุภายใต้ PDPA ในกรณีที่เกี่ยวข้อง
การจัดการเหตุข้อมูลรั่วไหลเป็นไปตามกระบวนการตอบสนองที่กำหนดไว้ ซึ่งสอดคล้องกับระดับบริการที่เลือกใช้
ผู้ประมวลผลช่วงต่อและบุคคลที่สาม
เราอาจใช้ผู้ประมวลผลช่วงต่อที่ผ่านการคัดเลือกอย่างรอบคอบ (เช่น แพลตฟอร์มโครงสร้างพื้นฐานหรือระบบความปลอดภัย) เพื่อสนับสนุนการให้บริการ
ผู้ประมวลผลช่วงต่อทุกรายอยู่ภายใต้ข้อผูกพันตามสัญญาในด้านความปลอดภัยและการรักษาความลับของข้อมูล ซึ่งสอดคล้องกับข้อกำหนดของ PDPA
การเก็บรักษาและการลบข้อมูล
ข้อมูลส่วนบุคคลจะถูกเก็บรักษาไว้ เฉพาะระยะเวลาที่จำเป็น เพื่อวัตถุประสงค์ดังต่อไปนี้:
การให้บริการตามสัญญา
การปฏิบัติตามข้อกำหนดทางกฎหมาย กฎระเบียบ หรือการตรวจสอบ
การสนับสนุนการสอบสวนและจัดการเหตุการณ์
เมื่อการให้บริการสิ้นสุดลง ข้อมูลจะถูกลบอย่างปลอดภัยหรือส่งคืนให้ลูกค้า (แล้วแต่กรณี) ทั้งนี้ขึ้นอยู่กับความเหมาะสมและความเป็นไปได้ทางเทคนิค
โมเดลความรับผิดชอบร่วมกัน
การให้บริการและการคุ้มครองข้อมูลดำเนินการภายใต้แนวทาง โมเดลความรับผิดชอบร่วมกัน ดังนี้:
เรามีความรับผิดชอบต่อการควบคุมระบบภายในขอบเขตของบริการที่ลูกค้าได้สมัครใช้
ลูกค้ายังคงมีความรับผิดชอบด้านการกำกับดูแล การประมวลผลข้อมูลอย่างถูกต้องตามกฎหมาย และการควบคุมในระดับกระบวนการทางธุรกิจ
การเข้าถึงเอกสารทางกฎหมายฉบับเต็ม
เอกสารต่อไปนี้สามารถขอรับได้ตามคำร้องขอ หรือจะถูกจัดเตรียมให้ในระหว่างกระบวนการทำสัญญา:
สัญญาหลักในการให้บริการ (Master Services Agreement – MSA)
เอกสารกำหนดระดับการให้บริการ (SLA Schedules)
ข้อตกลงการประมวลผลข้อมูล (Data Processing Agreement – DPA)
รายชื่อผู้ประมวลผลช่วงต่อ (Sub-processor List)
เหตุใดเรื่องนี้จึงมีความสำคัญต่อลูกค้า
เงื่อนไขด้าน SLA และการคุ้มครองข้อมูลที่ชัดเจน ช่วยให้:
ลดความเสี่ยงด้านการดำเนินงานและกฎหมาย
ทำให้กระบวนการจัดซื้อและการตรวจทานทางกฎหมายง่ายขึ้น
สนับสนุนการตรวจสอบและกระบวนการ Due Diligence
กำหนดความคาดหวังที่สมเหตุสมผลตั้งแต่เริ่มต้นความร่วมมือ
ปรึกษาเราเกี่ยวกับ SLA และการคุ้มครองข้อมูล
หากคุณต้องการรายละเอียดตัวชี้วัด SLA เอกสาร DPA ฉบับเต็ม หรือเงื่อนไขทางกฎหมายที่พร้อมสำหรับการจัดซื้อ ทีมงานของเราสามารถจัดเตรียมเอกสารและสัญญาที่เหมาะสมให้ได้
ติดต่อเราเพื่อขอรับเอกสาร SLA และ DPA ฉบับเต็ม
