นโยบายการสนับสนุนบริการจัดการระบบ (Managed Services)
นโยบายหลัก
1. วัตถุประสงค์
เอกสารนี้ระบุเงื่อนไขทั่วไป ขอบเขตงาน ขอบเขตบริการ และหน้าที่ความรับผิดชอบที่ใช้กับบริการ Managed Endpoint Services ทุกระดับ (Bronze / Gold / Platinum) ของบริษัท human it co., ltd และ human digital solutions co., ltd
ระดับบริการเฉพาะ และระดับบริการตามแพ็กเกจ จะระบุไว้ในภาคผนวกท้ายเอกสาร
2. ภาพรวมบริการ
บริการ Managed Endpoint Services ถูกคิดค่าบริการ รายอุปกรณ์ ต่อเดือน โดยมุ่งเน้นให้ธุรกิจมีต้นทุนที่คาดการณ์ได้ ช่วยเพิ่มความปลอดภัย และเสถียรภาพในการใช้งานระบบ IT
มีระดับบริการดังนี้:
Bronze – ป้องกันพื้นฐาน
Gold – ความปลอดภัยระดับองค์กร
Platinum – ความต่อเนื่องซัพพลายเชนและการดำเนินงาน
3. สิ่งที่รวมให้ในทุกแพ็กเกจ
บริการต่อไปนี้รวมอยู่ในทุกแพ็กเกจ เว้นแต่มีระบุเป็นอย่างอื่น:
- เครื่องมือความปลอดภัยปลายทาง
- การมอนิเตอร์และรายงานแบบรวมศูนย์
- การจัดการแพตช์ระบบ
- การเข้าถึงศูนย์บริการตามช่องทางที่กำหนด
- การบันทึกเปลี่ยนแปลงระบบ
- ขอบเขตบริการระดับแต่ละแพ็กเกจ
4. ขอบเขตที่ไม่รวมอยู่ในบริการมาตรฐาน
บริการจะ ไม่รวม งานดังนี้ หากไม่ได้ตกลงเป็นพิเศษ:
- การพัฒนาโปรแกรม หรือปรับแต่งซอฟต์แวร์
- การออกแบบระบบใหม่ขนาดใหญ่ หรือย้ายระบบทั้งหมด
- การแก้ไขระบบ OT / ICS
- การเปลี่ยนฮาร์ดแวร์ทั่วไป
- อุปกรณ์หรือระบบที่ผู้ให้บริการไม่รองรับ
5. ระดับการให้บริการ (SLA) และลำดับความสำคัญ
การตอบสนองต่อปัญหาและคำร้องขอ จะถูกจัดลำดับโดย อิงจากผลกระทบต่อธุรกิจ ไม่ใช่ความรุนแรงทางเทคนิค เวลาตอบสนองต่างกันไปตามแพ็กเกจที่สมัคร
6. การควบคุมการเปลี่ยนแปลงระบบ
การเปลี่ยนแปลงระบบที่ไม่ใช่เหตุฉุกเฉิน ต้องผ่านกระบวนการ
เหตุฉุกเฉินสามารถปรับใช้ได้เพื่อบรรเทาความเสี่ยงด้านความปลอดภัยหรือความต่อเนื่อง
การเปลี่ยนแปลงที่สำคัญต้องรายงานหลังจากดำเนินการแล้ว
7. ความรับผิดชอบของลูกค้า
ลูกค้าต้องรับผิดชอบ:
- ดูแลฮาร์ดแวร์และระบบปฏิบัติการที่อยู่ในขอบเขต
- ให้การเข้าถึงระบบเพื่อให้บริการ
- แจ้งการเปลี่ยนแปลงของบุคลากรหรือระบบ
- กำหนดผู้ติดต่อหลักในการประสานงานกับผู้ให้บริการ
8. นโยบายการใช้งานอย่างเหมาะสม
บริการจัดให้ในขอบเขตที่เหมาะสม หากการใช้งานเกินขอบเขตที่กำหนด อาจต้อง:
อัปเกรดแพ็กเกจ
หรือทำข้อตกลงเพิ่มเติม
9. การปรับปรุงและทบทวน
เอกสารนี้อาจปรับปรุงเป็นระยะ เพื่อรองรับ:
- การปรับปรุงบริการ
- การเปลี่ยนแปลงกฎหมาย
- ภัยคุกคามด้านความปลอดภัยที่เปลี่ยนแปลงไป
10. ข้อจำกัดความรับผิด (Limitation of Liability)
- 10.1 ไม่มีการรับประกันความปลอดภัยอย่างสมบูรณ์
ลูกค้ายอมรับว่า ไม่มีโซลูชันด้านความปลอดภัยหรือบริการจัดการระบบใดที่สามารถรับประกันการป้องกันเหตุการณ์ด้านความปลอดภัย การสูญหายของข้อมูล หรือการหยุดชะงักของบริการได้ทั้งหมด
ผู้ให้บริการไม่รับประกันว่าบริการจะไม่หยุดชะงัก ปราศจากข้อผิดพลาด หรือปลอดภัยจากภัยคุกคามทางไซเบอร์โดยสมบูรณ์
- 10.2 ข้อจำกัดความรับผิด
ภายใต้ขอบเขตสูงสุดที่กฎหมายที่เกี่ยวข้องอนุญาตไว้:
ก) ความรับผิดรวมทั้งหมดของผู้ให้บริการที่เกิดจากหรือเกี่ยวข้องกับบริการ นโยบายฉบับนี้ หรือข้อตกลง (ไม่ว่าจะเป็นความรับผิดตามสัญญา การละเมิด ความประมาท หรือเหตุอื่นใด) จะจำกัดอยู่ไม่เกิน ค่าธรรมเนียมที่ลูกค้าได้ชำระหรือพึงต้องชำระให้แก่ผู้ให้บริการ สำหรับบริการที่เกี่ยวข้องภายในระยะเวลา 12 เดือนก่อนเหตุที่ก่อให้เกิดการเรียกร้อง
b) ผู้ให้บริการจะไม่รับผิดชอบต่อความเสียหายดังต่อไปนี้:
- ความเสียหายทางอ้อม ความเสียหายโดยบังเอิญ ความเสียหายพิเศษ หรือความเสียหายต่อเนื่อง
- การสูญเสียกำไร รายได้ ธุรกิจ สัญญา หรือชื่อเสียงทางการค้า
- การสูญหายของข้อมูลที่ไม่ได้เกิดจากการกระทำโดยเจตนาหรือการประพฤติมิชอบของผู้ให้บริการ
- การเรียกร้องจากบุคคลที่สามที่เกิดจากระบบของลูกค้า ผู้จัดจำหน่าย หรือผู้ใช้บริการของลูกค้า
- 10.3 ความรับผิดที่ไม่อยู่ภายใต้ข้อจำกัด
ไม่มีข้อความใดในนโยบายฉบับนี้ที่จำกัดหรือยกเว้นความรับผิดที่ไม่สามารถจำกัดหรือยกเว้นได้ตามกฎหมาย รวมถึงแต่ไม่จำกัดเพียงความรับผิดจาก:
- การฉ้อโกงหรือการกระทำโดยเจตนาทุจริต
- การเสียชีวิตหรือการบาดเจ็บทางร่างกายที่เกิดจากความประมาท (ในกรณีที่กฎหมายที่เกี่ยวข้องบังคับใช้)
- 10.4 ระบบของบุคคลที่สามและการพึ่งพาระบบภายนอก
ผู้ให้บริการจะไม่รับผิดชอบต่อความล้มเหลวหรือเหตุการณ์ที่เกิดจาก:
- ซอฟต์แวร์ ฮาร์ดแวร์ หรือผู้ให้บริการคลาวด์ของบุคคลที่สาม
- การขัดข้องของระบบโทรคมนาคมหรือบริการอินเทอร์เน็ต
- ระบบหรือการตั้งค่าที่ลูกค้าบริหารจัดการเองซึ่งอยู่นอกขอบเขตของบริการ
ระบบของผู้จัดจำหน่าย ผู้รับเหมา หรือคู่ค้าของลูกค้าที่เชื่อมต่อกับสภาพแวดล้อมของลูกค้า
11. เครดิตตามข้อตกลงระดับการให้บริการ (SLA Credits)
- 11.1 การวัดระดับการให้บริการ
ระดับการให้บริการ (SLA) จะพิจารณาจาก:
- ระยะเวลาในการตอบรับและเริ่มดำเนินการตรวจสอบเหตุการณ์
- ความพร้อมใช้งานของบริการสนับสนุนจากผู้ให้บริการ (ในกรณีที่เกี่ยวข้อง)
ทั้งนี้ ระยะเวลาในการแก้ไขปัญหา (Resolution Time) จะไม่ถือเป็นการรับประกัน เว้นแต่จะมีการระบุไว้อย่างชัดเจน
- 11.2 เครดิต SLA เป็นการเยียวยาเพียงอย่างเดียว
เครดิต SLA (หากมี) ถือเป็น การเยียวยาเพียงอย่างเดียวของลูกค้า ในกรณีที่ผู้ให้บริการไม่สามารถให้บริการได้ตามระดับที่กำหนดไว้
เครดิต SLA จะไม่สามารถใช้ได้ หากความล้มเหลวของบริการเกิดจาก:
- ลูกค้าไม่ปฏิบัติตามหน้าที่ความรับผิดชอบของตน
- เหตุสุดวิสัย (Force Majeure)
- ความขัดข้องของบริการจากบุคคลที่สาม
- การดำเนินการด้านความปลอดภัยฉุกเฉินที่ผู้ให้บริการดำเนินการอย่างเหมาะสม
- 11.3 โครงสร้างเครดิต SLA
| แพ็กเกจ | ลักษณะการไม่เป็นไปตาม SLA | เครดิต |
| Bronze | ไม่สามารถตอบสนองตามเวลาที่กำหนด | ไม่มีเครดิต (ให้บริการตามความพยายามสูงสุด) |
| Gold | การละเมิด SLA ซ้ำภายในรอบบิลเดียวกัน | สูงสุดไม่เกิน 5% ของค่าบริการรายเดือนที่ได้รับผลกระทบ |
| Platinum | การละเมิด SLA ระดับวิกฤต | สูงสุดไม่เกิน 10% ของค่าบริการรายเดือนที่ได้รับผลกระทบ |
ทั้งนี้ เครดิต SLA รวมจะไม่เกินค่าบริการหนึ่ง (1) เดือน สำหรับอุปกรณ์หรือบริการที่ได้รับผลกระทบ
- 11.4 ขั้นตอนการขอรับเครดิต
ในการขอรับเครดิต SLA ลูกค้าจะต้อง:
ก) ยื่นคำร้องเป็นลายลักษณ์อักษรภายใน 30 วัน นับจากวันที่เกิดเหตุ
ข) ระบุข้อมูลและรายละเอียดที่เพียงพอสำหรับการตรวจสอบ
ค) เปิดโอกาสให้ผู้ให้บริการมีระยะเวลาอันสมควรในการตรวจสอบเหตุการณ์
เครดิตที่ได้รับการอนุมัติจะถูกนำไปใช้หักจากใบแจ้งหนี้ในอนาคต และ ไม่สามารถขอคืนเป็นเงินสดได้
12. การสอดคล้องกับมาตรฐาน ISO/IEC 27001:2022
- 12.1 กรอบการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
ผู้ให้บริการมีกรอบการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศที่สอดคล้องกับมาตรฐาน ISO/IEC 27001:2022 โดยครอบคลุมการควบคุมตามการประเมินความเสี่ยง การปรับปรุงอย่างต่อเนื่อง และการกำกับดูแลในระดับการบริหาร
- 12.2 การสอดคล้องของมาตรการควบคุม
บริการได้รับการออกแบบมาเพื่อสนับสนุนเป้าหมายด้านการปฏิบัติตามมาตรฐานของลูกค้า ผ่านมาตรการควบคุมที่สอดคล้องกับ ISO/IEC 27001:2022 ซึ่งรวมถึงแต่ไม่จำกัดเพียง:
- การบริหารจัดการความเสี่ยง (Clause 6)
- มาตรการควบคุมความปลอดภัยด้านการปฏิบัติงาน (Annex A)
- การควบคุมการเข้าถึงและการจัดการตัวตน (Identity & Access Management)
- การจัดการและตอบสนองต่อเหตุการณ์ด้านความปลอดภัย
- การสำรองข้อมูล การกู้คืน และการวางแผนความต่อเนื่องทางธุรกิจ
- การเฝ้าระวัง ระบบบันทึกเหตุการณ์ และหลักฐานเพื่อการตรวจสอบ
- 12.3 โมเดลความรับผิดชอบร่วม (Shared Responsibility Model)
ลูกค้ารับทราบว่าการปฏิบัติตามมาตรฐาน ISO/IEC 27001:2022 เป็นไปตามหลักความรับผิดชอบร่วม โดย:
- ผู้ให้บริการรับผิดชอบมาตรการควบคุมที่อยู่ภายในขอบเขตของบริการที่ให้
- ลูกค้ายังคงรับผิดชอบด้านโครงสร้างองค์กร กฎหมาย ทรัพยากรบุคคล ความปลอดภัยทางกายภาพ และกระบวนการทางธุรกิจที่ไม่ได้ระบุไว้อย่างชัดเจนในขอบเขตบริการ
- 12.4 การสนับสนุนด้านการตรวจสอบและหลักฐาน
ในกรณีที่รวมอยู่ในแพ็กเกจที่สมัครใช้ (Gold: สนับสนุนในขอบเขตจำกัด / Platinum: สนับสนุนเต็มรูปแบบ) ผู้ให้บริการจะให้ความช่วยเหลืออย่างสมเหตุสมผลในด้าน:
- หลักฐานการตรวจสอบที่เกี่ยวข้องกับบริการที่มีการบริหารจัดการ
- รายงานด้านความมั่นคงปลอดภัยที่สอดคล้องกับวัตถุประสงค์ของมาตรฐาน ISO
- การตอบแบบสอบถามด้านการตรวจสอบสถานะ (Due Diligence) จากลูกค้าหรือซัพพลายเออร์
ทั้งนี้ ผู้ให้บริการ ไม่รับประกันผลการรับรองมาตรฐานหรือผลการตรวจประเมินของลูกค้า
- 12.5 การปรับปรุงอย่างต่อเนื่อง
ผู้ให้บริการมุ่งมั่นในการปรับปรุงมาตรการด้านความมั่นคงปลอดภัยอย่างต่อเนื่องตามหลักการของ ISO/IEC 27001:2022 โดยครอบคลุม:
การประเมินความเสี่ยงเป็นระยะ
การทบทวนประสิทธิผลของมาตรการควบคุม
การปรับปรุงจากบทเรียนที่ได้จากเหตุการณ์ด้านความปลอดภัย
13.การคุ้มครองข้อมูลส่วนบุคคลและความเป็นส่วนตัว (ประเทศไทย – PDPA)
- 13.1 การปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
แต่ละฝ่ายตกลงที่จะปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลและความเป็นส่วนตัวที่เกี่ยวข้องทั้งหมด รวมถึงพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ของประเทศไทย ซึ่งอาจมีการแก้ไขเพิ่มเติมเป็นครั้งคราว
นโยบายฉบับนี้ไม่มีวัตถุประสงค์เพื่อขัดขวางไม่ให้ฝ่ายใดฝ่ายหนึ่งปฏิบัติตามหน้าที่ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่บังคับใช้อยู่
- 13.2 บทบาทของคู่สัญญา
เพื่อวัตถุประสงค์ตาม PDPA:
ก) ลูกค้าเป็น ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) สำหรับข้อมูลส่วนบุคคลที่ประมวลผลภายในสภาพแวดล้อมของลูกค้า
ข) ผู้ให้บริการทำหน้าที่เป็น ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) เมื่อมีการประมวลผลข้อมูลส่วนบุคคลแทนลูกค้าในการให้บริการ
ผู้ให้บริการจะไม่กำหนดวัตถุประสงค์หรือวิธีการประมวลผลข้อมูลส่วนบุคคล นอกเหนือจากสิ่งที่จำเป็นต่อการให้บริการเท่านั้น
- 13.3 ขอบเขตการประมวลผลข้อมูลส่วนบุคคล
ผู้ให้บริการอาจประมวลผลข้อมูลส่วนบุคคล เฉพาะเท่าที่จำเป็น เพื่อ:
ให้บริการตามที่ตกลงไว้
ดำเนินการด้านการเฝ้าระวัง การสนับสนุน การรักษาความปลอดภัย และการกู้คืนระบบ
ปฏิบัติตามข้อกำหนดทางกฎหมายหรือข้อบังคับที่เกี่ยวข้อง
ข้อมูลส่วนบุคคลที่อาจมีการประมวลผล รวมถึงแต่ไม่จำกัดเพียง:
ตัวระบุผู้ใช้งาน (เช่น ชื่อผู้ใช้ ที่อยู่อีเมล)
ตัวระบุอุปกรณ์
บันทึกระบบและข้อมูลด้านความปลอดภัย (Security Telemetry)
ผู้ให้บริการจะ ไม่นำข้อมูลส่วนบุคคลไปใช้เพื่อการตลาดของตนเอง หรือเพื่อวัตถุประสงค์อื่นที่ไม่เกี่ยวข้องกับการให้บริการ
- 13.4 มาตรการรักษาความปลอดภัย
ผู้ให้บริการจะดำเนินการใช้มาตรการด้านเทคนิคและด้านองค์กรที่เหมาะสม เพื่อปกป้องข้อมูลส่วนบุคคลจาก:
การเข้าถึงโดยไม่ได้รับอนุญาต
การสูญหาย
การนำไปใช้โดยมิชอบ
การเปลี่ยนแปลงแก้ไข
การเปิดเผยข้อมูล
โดยพิจารณาจากลักษณะของบริการ ระดับความเสี่ยง และมาตรการควบคุมที่สอดคล้องกับ ISO/IEC 27001:2022
- 13.5 การรักษาความลับ
ผู้ให้บริการจะรับรองว่าบุคลากรที่ได้รับอนุญาตให้ประมวลผลข้อมูลส่วนบุคคล:
อยู่ภายใต้ข้อผูกพันด้านการรักษาความลับ
ประมวลผลข้อมูลส่วนบุคคลตามนโยบายฉบับนี้และข้อตกลงที่เกี่ยวข้องเท่านั้น
14. การจัดการและการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล
- 14.1 ความหมายของเหตุละเมิดข้อมูลส่วนบุคคล
“เหตุละเมิดข้อมูลส่วนบุคคล” หมายถึง การละเมิดด้านความปลอดภัยที่ก่อให้เกิดการทำลาย สูญหาย เปลี่ยนแปลง เปิดเผย หรือเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต ไม่ว่าจะเกิดขึ้นโดยไม่ตั้งใจหรือโดยมิชอบ สำหรับข้อมูลส่วนบุคคลที่มีการประมวลผลภายใต้การให้บริการ
- 14.2 การตอบสนองต่อเหตุละเมิด
เมื่อผู้ให้บริการทราบถึงเหตุละเมิดข้อมูลส่วนบุคคลที่ต้องสงสัยหรือได้รับการยืนยันแล้ว ซึ่งเกี่ยวข้องกับข้อมูลส่วนบุคคลที่ผู้ให้บริการประมวลผลแทนลูกค้า ผู้ให้บริการจะดำเนินการดังต่อไปนี้:
ก) ดำเนินการอย่างสมเหตุสมผลเพื่อควบคุม ลดผลกระทบ และตรวจสอบเหตุการณ์
ข) เก็บรักษาหลักฐานที่เกี่ยวข้อง
ค) ประเมินผลกระทบที่อาจเกิดขึ้นกับข้อมูลส่วนบุคคล
- 14.3 การแจ้งเหตุละเมิด (สอดคล้องกับ PDPA)
ในกรณีที่ผู้ให้บริการประเมินโดยสมเหตุสมผลว่าเหตุละเมิดข้อมูลส่วนบุคคลอาจก่อให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูล ผู้ให้บริการจะแจ้งให้ลูกค้าทราบโดยไม่ล่าช้าเกินสมควร หลังจากทราบถึงเหตุการณ์ดังกล่าว
การแจ้งเตือนจะรวมถึงข้อมูลที่สามารถจัดหาได้อย่างสมเหตุสมผล เช่น:
ลักษณะของเหตุละเมิด
ประเภทของข้อมูลส่วนบุคคลที่ได้รับผลกระทบ
ผลกระทบที่อาจเกิดขึ้น
มาตรการแก้ไขหรือบรรเทาผลกระทบที่ได้ดำเนินการหรือเสนอให้ดำเนินการ
ผู้ให้บริการจะสนับสนุนลูกค้าในการปฏิบัติตามหน้าที่ในการแจ้งต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) และเจ้าของข้อมูลที่ได้รับผลกระทบ ตามที่กฎหมาย PDPA กำหนด
- 14.4 ความรับผิดชอบในการแจ้งของลูกค้า
ลูกค้ายังคงมีหน้าที่รับผิดชอบในการ:
พิจารณาว่ามีความจำเป็นต้องแจ้งต่อ PDPC หรือเจ้าของข้อมูลตามกฎหมายหรือไม่
ดำเนินการแจ้งต่อหน่วยงานกำกับดูแลหรือเจ้าของข้อมูลตามที่กฎหมายกำหนด
เว้นแต่จะมีการตกลงเป็นลายลักษณ์อักษรเป็นอย่างอื่น
- 14.5 ข้อยกเว้น
ผู้ให้บริการจะไม่รับผิดชอบต่อเหตุละเมิดข้อมูลส่วนบุคคลที่เกิดจาก:
ระบบหรือการตั้งค่าของลูกค้าที่อยู่นอกขอบเขตการให้บริการ
การกระทำของพนักงาน ผู้รับจ้าง หรือซัพพลายเออร์ของลูกค้า
บริการของบุคคลที่สามที่ผู้ให้บริการไม่ได้เป็นผู้ดูแล
การที่ลูกค้าไม่ปฏิบัติตามคำแนะนำด้านความปลอดภัยของผู้ให้บริการ
15. ที่ตั้งของข้อมูลและการโอนข้อมูลข้ามประเทศ
- 15.1 ที่ตั้งของข้อมูล
ข้อมูลส่วนบุคคลอาจมีการประมวลผลและจัดเก็บภายในประเทศไทย หรือในประเทศอื่นตามความจำเป็นในการให้บริการ รวมถึงผ่านผู้ให้บริการระบบคลาวด์หรือบริการด้านความปลอดภัย
- 15.2 การโอนข้อมูลข้ามประเทศ
ในกรณีที่มีการโอนข้อมูลส่วนบุคคลออกนอกประเทศไทย ผู้ให้บริการจะดำเนินการตามขั้นตอนที่สมเหตุสมผลเพื่อให้การโอนข้อมูลดังกล่าวเป็นไปตามข้อกำหนดของกฎหมาย PDPA โดยอาจรวมถึงการใช้:
มาตรการคุ้มครองตามสัญญาที่เหมาะสม หรือ
มาตรฐานการคุ้มครองข้อมูลที่ได้รับการยอมรับ
16. การเก็บรักษาและการลบข้อมูล
- 16.1 การเก็บรักษาข้อมูล
ข้อมูลส่วนบุคคลจะถูกเก็บรักษาไว้ เฉพาะเท่าที่จำเป็น เพื่อวัตถุประสงค์ดังต่อไปนี้:
การให้บริการตามที่ตกลงไว้
การปฏิบัติตามข้อกำหนดทางกฎหมาย ระเบียบ หรือการตรวจสอบ
การสนับสนุนด้านความปลอดภัยและการตรวจสอบเหตุการณ์
- 16.2 การลบหรือส่งคืนข้อมูล
เมื่อสิ้นสุดการให้บริการ ผู้ให้บริการจะดำเนินการภายในระยะเวลาที่เหมาะสม และภายใต้ข้อผูกพันตามกฎหมายที่เกี่ยวข้อง โดยจะ:
ลบข้อมูลส่วนบุคคลที่ประมวลผลแทนลูกค้าอย่างปลอดภัย หรือทำให้ไม่สามารถระบุตัวบุคคลได้
หรือส่งคืนข้อมูลส่วนบุคคลให้แก่ลูกค้า ในกรณีที่สามารถดำเนินการได้ทางเทคนิคและมีการตกลงร่วมกัน
17. คำชี้แจงความรับผิดชอบร่วมตาม PDPA และ ISO
ลูกค้ารับทราบว่าการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) และมาตรฐาน ISO/IEC 27001:2022 เป็นไปตามหลัก ความรับผิดชอบร่วม (Shared Responsibility Model) โดย:
ผู้ให้บริการรับผิดชอบมาตรการควบคุมที่อยู่ภายในขอบเขตของบริการ
ลูกค้ายังคงรับผิดชอบด้านโครงสร้างองค์กร ทรัพยากรบุคคล กฎหมาย ความปลอดภัยทางกายภาพ และกระบวนการทางธุรกิจ
18. กฎหมายที่ใช้บังคับและเขตอำนาจศาล (ประเทศไทย)
- 18.1 กฎหมายที่ใช้บังคับ
นโยบายฉบับนี้ ข้อตกลง และภาระผูกพันใด ๆ ที่เกิดขึ้นนอกเหนือจากสัญญา ซึ่งเกิดจากหรือเกี่ยวข้องกับนโยบายหรือข้อตกลงดังกล่าว จะอยู่ภายใต้บังคับและตีความตามกฎหมายของราชอาณาจักรไทย โดยไม่คำนึงถึงหลักกฎหมายว่าด้วยความขัดแย้งของกฎหมาย
- 18.2 เขตอำนาจศาล
ภายใต้ข้อ 18.3 (การระงับข้อพิพาททางเลือก) คู่สัญญาตกลงโดยไม่อาจเพิกถอนได้ว่า ศาลในราชอาณาจักรไทยจะมีเขตอำนาจศาลแต่เพียงผู้เดียวในการพิจารณาและตัดสินข้อพิพาท ข้อเรียกร้อง หรือความขัดแย้งใด ๆ ที่เกิดจากหรือเกี่ยวข้องกับนโยบายฉบับนี้หรือข้อตกลง
- 18.3 การแก้ไขข้อพิพาทโดยสุจริต
ก่อนการดำเนินคดีทางกฎหมายอย่างเป็นทางการ คู่สัญญาตกลงที่จะพยายามแก้ไขข้อพิพาทโดยสุจริต ผ่านขั้นตอนดังต่อไปนี้:
ก) การยกระดับเรื่องไปยังผู้บริหารระดับสูง
ข) การเจรจาอย่างสมเหตุสมผลภายในระยะเวลา 30 วัน นับจากวันที่มีการแจ้งเป็นลายลักษณ์อักษรเกี่ยวกับข้อพิพาท
- 18.4 การไกล่เกลี่ย (ทางเลือกที่แนะนำสำหรับข้อตกลงทางธุรกิจ)
หากข้อพิพาทไม่สามารถยุติได้ผ่านการเจรจาโดยสุจริต ฝ่ายใดฝ่ายหนึ่งอาจเสนอให้มีการไกล่เกลี่ยในประเทศไทย โดยใช้ผู้ไกล่เกลี่ยที่คู่สัญญาเห็นชอบร่วมกัน
การเข้าร่วมการไกล่เกลี่ยจะไม่เป็นการตัดสิทธิ์ของฝ่ายใดฝ่ายหนึ่งในการขอรับคำสั่งคุ้มครองชั่วคราวหรือการเยียวยาในลักษณะอื่นที่จำเป็นเร่งด่วนตามกฎหมาย
- 18.5 ภาษา
นโยบายฉบับนี้และข้อตกลงอาจจัดทำเป็นภาษาอังกฤษ
ในกรณีที่มีความไม่สอดคล้องกันระหว่างฉบับภาษาอังกฤษและคำแปลภาษาไทย ให้ยึดถือฉบับภาษาอังกฤษเป็นหลัก เว้นแต่กฎหมายไทยที่ใช้บังคับจะกำหนดไว้เป็นอย่างอื่น
- 18.6 การบังคับตามคำพิพากษา
คำพิพากษาหรือคำสั่งของศาลที่มีเขตอำนาจศาลในประเทศไทย สามารถนำไปบังคับใช้กับคู่สัญญาได้ตามกฎหมายที่เกี่ยวข้อง
ภาคผนวก A — แพ็กเกจ Bronze
การปกป้องอุปกรณ์พื้นฐาน (Essential Endpoint Protection)
A1. วัตถุประสงค์การใช้งาน
แพ็กเกจ Bronze ออกแบบมาสำหรับองค์กรที่ต้องการความปลอดภัยพื้นฐาน และการสนับสนุนด้าน IT แบบมืออาชีพในช่วงเวลาทำการปกติ
A2. บริการที่รวมอยู่
ระบบป้องกันอุปกรณ์ปลายทางขั้นพื้นฐาน (EDR)
การอัปเดตแพตช์ระบบปฏิบัติการและแอปพลิเคชันมาตรฐาน
การติดตามสถานะอุปกรณ์ (เฉพาะเวลาทำการ)
การสนับสนุนระยะไกลในเวลาทำการ
รายงานมาตรฐาน
ฟีเจอร์ผู้ใช้งาน Microsoft K365 ระดับมาตรฐาน
A3. ระดับการให้บริการ (SLA)
| ระดับความสำคัญ | คำอธิบาย | เวลาในการตอบสนอง |
| ปานกลาง | ปัญหาอุปกรณ์ที่ไม่เร่งด่วน | วันทำการถัดไป |
| ต่ำ | คำขอทั่วไป | ตามแผนที่กำหนด |
แพ็กเกจ Bronze ไม่มีการรับประกันเวลาในการตอบสนองสำหรับเหตุการณ์ระดับวิกฤต
A4. สิ่งที่ไม่รวม (Bronze)
การเฝ้าระวังตลอด 24×7
การตอบสนองเหตุการณ์และการตรวจพิสูจน์ทางดิจิทัล
ระบบสำรองข้อมูลและการกู้คืนภัยพิบัติ
การสนับสนุนด้าน Compliance หรือการตรวจสอบ
การสนับสนุนหน้างาน (On-site)
A5. คำแนะนำในการอัปเกรด
ลูกค้าที่ประสบปัญหาระบบหยุดทำงานบ่อย การแจ้งเตือนด้านความปลอดภัยจำนวนมาก หรือมีข้อกำหนดด้าน Compliance ควรพิจารณาแพ็กเกจ Gold หรือ Platinum
ภาคผนวก B — แพ็กเกจ Gold
ความปลอดภัยระดับธุรกิจและการสนับสนุนการดำเนินงาน
B1. วัตถุประสงค์การใช้งาน
แพ็กเกจ Gold เหมาะสำหรับองค์กรที่พึ่งพาระบบ IT ในการดำเนินงานประจำวัน และต้องการการเฝ้าระวังเชิงรุก การตอบสนองที่รวดเร็วขึ้น และความมั่นคงของระบบที่สูงขึ้น
B2. บริการที่รวมอยู่
ระบบป้องกันอุปกรณ์ปลายทางขั้นสูง (EDR)
การเฝ้าระวังตลอด 24×7 (SOC-lite)
การจัดการแพตช์ พร้อมอัปเดตด้านความปลอดภัยแบบเร่งด่วน
ระบบสำรองข้อมูลอุปกรณ์พร้อมการทดสอบการกู้คืน
การจัดการผู้ใช้งาน (เข้า–ออกระบบ)
การบังคับใช้นโยบายความปลอดภัย
รายงานและแดชบอร์ดขั้นสูง
การสนับสนุนระยะไกลในเวลาทำการ
การขยายเวลาสนับสนุนเพิ่มเติม (ตามข้อตกลง)
B3. ระดับการให้บริการ (SLA)
| ระดับความสำคัญ | คำอธิบาย | เวลาในการตอบสนอง |
| ปานกลาง | ปัญหาอุปกรณ์ที่ไม่เร่งด่วน | วันทำการถัดไป |
| ต่ำ | คำขอทั่วไป | ตามแผนที่กำหนด |
B4. สิ่งที่ไม่รวม (Gold)
เว้นแต่จะมีการตกลงเพิ่มเติมเป็นลายลักษณ์อักษร:
การตอบสนองเหตุการณ์เต็มรูปแบบและการตรวจพิสูจน์
การวางแผนกู้คืนภัยพิบัติ (DR Planning)
การบริหารจัดการการตรวจสอบด้าน Compliance
การสนับสนุนฉุกเฉินหน้างาน
ระบบ OT / ICS
B5. คำแนะนำในการอัปเกรด
แพ็กเกจ Gold ไม่เหมาะสำหรับสภาพแวดล้อมที่การหยุดชะงักของ IT ส่งผลกระทบต่อการผลิตหรือซัพพลายเชน
ลูกค้าในลักษณะดังกล่าวควรพิจารณาแพ็กเกจ Platinum
ภาคผนวก C — แพ็กเกจ Platinum
ความต่อเนื่องของซัพพลายเชนและระบบสำคัญ
C1. วัตถุประสงค์การใช้งาน
แพ็กเกจ Platinum ออกแบบมาสำหรับองค์กรที่การหยุดชะงักของ IT ส่งผลกระทบโดยตรงต่อการผลิต โลจิสติกส์ หรือข้อผูกพันกับลูกค้า เช่น โรงงานและธุรกิจส่งออก
C2. บริการที่รวมอยู่
การเฝ้าระวัง SOC เต็มรูปแบบตลอด 24×7 พร้อม Threat Hunting
การตอบสนองเหตุการณ์และการตรวจพิสูจน์ทางดิจิทัล
ระบบสำรองข้อมูลระดับองค์กร การกู้คืนภัยพิบัติ และการกำหนด RTO / RPO ชัดเจน
รายงานด้าน Compliance และ Audit-ready
การจัดการวงจรผู้ใช้งาน รวมถึงผู้รับเหมาและซัพพลายเออร์
นโยบายความปลอดภัยเฉพาะสำหรับโรงงาน
แผนตอบสนองเหตุการณ์ที่ออกแบบเฉพาะองค์กร
รายงานสำหรับผู้บริหารและฝ่ายจัดการ
ศูนย์ช่วยเหลือ (Helpdesk) ตลอด 24×7
การสนับสนุนหน้างานและกรณีฉุกเฉินแบบลำดับความสำคัญ
บริการเฉพาะทาง (Bespoke) ตามความต้องการด้านการดำเนินงาน
C3. ระดับการให้บริการ (SLA)
| ระดับความสำคัญ | คำอธิบาย | เวลาในการตอบสนอง |
| วิกฤต | กระทบการผลิตหรือซัพพลายเชน | ภายใน 1 ชั่วโมง |
| สูง | ความเสี่ยงด้านความปลอดภัยหรือการดำเนินงาน | 4 ชั่วโมง |
| ปานกลาง | ปัญหาที่ไม่เร่งด่วน | วันทำการถัดไป |
| ต่ำ | การเปลี่ยนแปลงตามแผน | ตามกำหนดการ |
C4. คำจำกัดความบริการเฉพาะทาง (Bespoke)
บริการเฉพาะทางหมายถึงบริการด้านการดำเนินงาน ความปลอดภัย และ Compliance ที่ออกแบบให้เหมาะกับสภาพแวดล้อมของลูกค้า โดยอยู่ภายใต้ขอบเขตการให้บริการที่สมเหตุสมผล
C5. การใช้งานอย่างเป็นธรรม (Platinum)
แพ็กเกจ Platinum มีความยืดหยุ่นสูง อย่างไรก็ตาม หากมีการใช้งานต่อเนื่องนอกขอบเขตที่ตกลงไว้อย่างมีนัยสำคัญ อาจต้องมีการทบทวนหรือปรับเงื่อนไขการให้บริการ
ปรับปรุงล่าสุด: 16/01/2026
