PDPA

Authentication vs Authorization

Authentication และ Authorization คืออะไร? ต่างกันอย่างไร? . . การทำกิจกรรมต่างๆบนโลกไซเบอร์นั่น แทบทุกครั้งเลยที่เราต้องมีการลงชื่อเข้าใช้ หรือที่เรียกว่าการ Log in ไม่มีใครหลีกเลี่ยงได้เลย มันอยู่ในชีวิตประจำวันของเราตลอด เวลาเราจะเล่น social media เราก็ต้องล็อคอิน เวลาเราซื้อของออนไลน์ เราก็ต้องล็อคอิน หรือถ้าเราจะโอนเงินไปหาใครผ่านแอปธนาคารเราก็ต้องล็อคอิน เพื่อเป็นการยืนยันนะว่าเราเนี้ยเป็นคนใช้มันเอง ซึ่งมันก็คือการทำ Authentication และการทำ Authorization นั่นเอง โดยมันก็มีการปรับใช้ในหลายๆอย่าง เช่น การทำงาน เราก็ต้องกำหนดว่า พนักงานคนไหนมีสิทธิ์ในการทำหรือเข้าถึงข้อมูลเหล่านี้ หากเราไม่มีการทำ Authentication และการทำ Authorization ก็เท่ากับเราเปิดประตูบ้านให้ใครก็ได้เข้ามาในบ้าน โดยที่ไม่ได้ล็อคกุญแจหรือมียามเฝ้าบ้านนั่นเอง ดังนั้นมันจึงมีความสำคัญมากๆกับการทำกิจกรรมกับโลกไซเบอร์ในปัจจุบัน อีกทั้งยังเป็นส่วนสำคัญในการทำ PDPA อีกด้วย . . Authentication . Authentication คือ ระบบการยืนยันตัวตนที่เมื่อเราจะเข้าใช้งานในเว็บไซต์ แอปพลิเคชั่นหรืออะไรก็ตามบนโลกออนไลน์ พูดง่ายๆก็คือ การ Log- in นั้นเองเช่น การเข้าสู่ระบบ Email, การเข้าสู่ระบบ Internet Banking และการเข้าสู่ระบบ social media ต่างๆ เพื่อเป็นการยืนยันตัวตนว่าเราคือคนๆนี้และกำลังจะใช้บริการต่างๆในฐานะคนนี้ พร้อมทั้งทำการตรวจสอบสิทธิ์ว่าผู้ใช้งานระบบนั้นมีสิทธิ์ใช้ได้และเป็นเจ้าของข้อมูลเหล่านั้นจริงๆ โดยการยืนยันนั้นก็จะมีการใส่ Username และ Password ไม่ว่าจะเป็นแบบที่เรากำหนดตั้งเองหรือแบบที่ระบบกำหนดมาให้เราใช้ตาม มันมีชื่อเรียกสั้นๆว่า...

Read More

Microsoft 365 ช่วยองค์กรปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้อย่างไร   เตรียมความพร้อม สําหรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล   ปัจจุบันการคุ้มครองข้อมูลส่วนบุคคล เป็นประเด็นที่ทุกประเทศทัวโลกตระหนักและให้สําคัญ โดย ่ประเทศไทยเองก็ได้ตราเป็นพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่ต่อไปนี้จะเรียกว่าPDPA(Personal Data Protection Act 2019)สาระสําคัญของ PDPA นันไม่ได้ห้ามไม่ให้องค์กร ้ต่างๆ ใช้ประโยชน์จากข้อมูลส่วนบุคคล เพียงแต่จะต้องอธิบายการใช้ข้อมูลได้ตามฐานทางกฎหมาย และมีมาตรการในการรักษาความปลอดภัยกับข้อมูลดังกล่าวให้เพียงพอเพื่อเป็นการคุ้มครองสิทธิต่างๆ ของเจ้าของข้อมูลส่วนบุคคล PDPA ได้กําหนดหน้าที่ต่างๆ กับองค์กรที่ใช้ข้อมูลส่วนบุคคลเอาไว้หลายประการ เช่น การประมวลผลข้อมูลตามวัตถุประสงค์ที่ชัดเจนการใช้ข้อมูลเท่าที่จําเป็น การดําเนินการตามคําขอของเจ้าของข้อมูล การขอสําเนาข้อมูลส่วนบุคคลการขอแก้ไขข้อมูลให้ถูกต้อง หรือการที่จะต้องแจ้ง ต่อหน่วยงานที่เกี่ยวข้องเมื่อมีการละเมิดข้อมูลส่วนบุคคล เป็นต้น   ขันตอนสู่การปกป้องข้อมูลส่วนบุคคล เพื่อช่วยองค์กรในการปฏิบัติตามกฎหมายฉบับนี้ไมโครซอฟท์จึงได้พัฒนาชุดเครื่องมือที่ช่วยให้องค์กรที่ใช้งาน Microsoft 365 สามารถปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้อย่าง สมบูรณ์แบบ โดยขันตอนการจัดการข้อมูล ้ส่วนบุคคลในองค์กร ขอแบ่งเป็น 4 กระบวนการประกอบด้วย 1. การตรวจสอบและจําแนกประเภทข้อมูลส่วนบุคคลที่มีในองค์กร (Discover) เครื่องมือที่อยู่ภายใต้ Info Protection &Governance ได้แก่ Sensitive Info Typeที่ช่วยกําหนดประเภทของข้อมูลส่วนบุคคลที่องค์กร มีการจัดเก็บ จากนันเราสามารถทําการค้นหาด้วย ้Content Explorer ระบบจะสามารถสแกนหาข้อมูลส่วนบุคคลที่กระจายอยู่ในระบบไอทีส่วนต่างๆขององค์กรไม่ว่าจะอยู่ใน Office 365 รวมถึงแอปพลิเคชันบนระบบคลาวด์ รวมไปถึงยังมีเครื่องมือที่ช่วยค้นหาไฟล์ที่อยู่บน...

Read More
ตอบโจทย์ พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ด้วย Microsoft 365

ตอบโจทย์ พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ด้วย Microsoft 365   . . ในยุค "data is the new oil” ข้อมูลลูกค้ากลายเป็นปัจจัยสำคัญที่ช่วยขับเคลื่อนธุรกิจ การเก็บข้อมูลลูกค้ากลายเป็นสิ่งที่หลีกเลี่ยงไม่ได้ ในขณะที่ลูกค้าเองก็มีความตื่นตัวเรื่องความเป็นส่วนตัวมากขึ้น ในปีที่ผ่านมา มีกฎหมายที่ผ่านการพิจารณาโดยสภานิติบัญญัติแห่งชาติ (สนช.) คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act หรือ PDPA) ซึ่งพุ่งเป้าไปที่การเก็บและรักษาความปลอดภัยข้อมูลส่วนบุคคลของลูกค้าที่องค์กรนำมาเก็บไว้ โดยจะมีผลบังคับใช้ในวันที่ 27 พฤษภาคม 2563 นี้ ปัญหาคือประเทศไทยไม่มีเคยมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลลักษณะนี้มาก่อน องค์กรต่าง ๆ ควรปรับตัวเพื่อปฏิบัติตามกฎหมายฉบับนี้ได้อย่างไร บทความนี้มีคำตอบให้ . . กฎหมาย PDPA ของไทยที่ถอดแบบมาจาก GDPR ของยุโรป ที่ผ่านมา องค์กรมีกรอบคิดด้านการเก็บข้อมูลลูกค้าว่า แค่แจ้งเตือนให้ทราบและขอความยินยอม (notice and consent) จากลูกค้าก็เพียงพอแล้ว เราทุกคนย่อมเคยเห็นเอกสาร "เงื่อนไขและข้อตกลงการใช้งาน" (terms and condition) ที่ยาวจนเรามักจะเลื่อนผ่าน ๆ แล้วกดยอมรับครั้งเดียวจบ และในบางครั้ง หากกดไม่ยอมรับ ก็จะไม่สามารถใช้บริการนั้นได้เลย แต่การมาถึงของ GDPR (General Data Protection Regulation) กรอบกฎหมายด้านการคุ้มครองข้อมูลของสหภาพยุโรป ได้เปลี่ยนวิธีคิดดังกล่าวไปอย่างมาก เพราะลูกค้ามีทางเลือกมากขึ้น...

Read More