การตรวจสอบประวัติอาชญากรรมของผู้สมัครงาน เป็นกิจกรรมหนึ่งที่หลายองค์กรดำเนินการเป็นประจำ โดยเฉพาะตำแหน่งที่มีความสำคัญหรือเกี่ยวข้องกับการเงินหรือระบบสารสนเทศขององค์กร ซึ่งการตรวจสอบดังกล่าวยังเป็นมาตรการควบคุมหนึ่งที่สำคัญตามมาตรฐาน ISO/IEC 27001 อีกด้วย นอกจากการใช้แบบฟอร์ม ที่กำหนดโดยหน่วยงานราชการแล้ว ควรมีการตรวจสอบด้วยว่าในแบบฟอร์มดังกล่าว ผู้สมัครยินยอม ให้นายจ้าง จัดเก็บ ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคล ของผู้สมัคร หรือไม่ หรือถ้าหากไม่มี ก็ควรมีการขอความยินยอมเพิ่มเติ

สตรีรายหนึ่งในประเทศเยอรมันนีเสียชีวิตระหว่างเกิดเหตุการณ์การโจมตีทางไซเบอร์ ในรูปแบบการเรียกค่าไถ่ข้อมูลหรือที่เรียกกันว่า Ransomware ดังที่เกิดเหตุเป็นข่าวดังในประเทศไทยเมื่อสัปดาห์ที่แล้ว ซึ่งการเสียชีวิตของสตรีรายนี้ นับว่าเป็นครั้งแรกที่เกิดการเสียชีวิตที่มีสาเหตุมาจากการโจมตีทางไซเบอร์ เพราะว่าโรงพยาบาลมหาวิทยาลัยดุสเซลดอร์ฟมีความจำเป็นต้องปฏิเสธการรับรักษาสตรีรายดังกล่าว ที่มีอาการสาหัสพอสมควร เธอเลยต้องเดินทางไปอีกโรงพยาบาลนอกเมืองที่ห่างไปอีกราว 32 กิโลเมตร ก่อนจะเสี

โรงแรมอาจมีการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ เพื่อวัตถุประสงค์ต่างๆ ซึ่งโรงแรมควรจะดูว่ามีข้อมูลอะไรบ้างที่จำเป็นต้องมีการเก็บรวบรวม และนำไปใช้เพื่อวัตถุประสงค์อะไรบ้างและกำหนดฐานหรือเหตุผลตามกฎหมายตาม PDPA เพื่อการดำเนินการตามวัตถุประสงค์นั้นๆ เช่น ชื่อ นามสกุล ที่อยู่ หรือข้อมูลบัตรเครดิต เพื่อการออกใบแจ้งหนี้หรือการรับชำระค่าที่พักผ่านบัตรเครดิต อาจใช้ฐานสัญญา ชื่อ นามสกุล เบอร์โทรศัพท์หรือ Email เพื่อการประชาสัมพันธ์โปรโมชั่นต่างๆ

การบริหารจัดการการเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้งานระบบสารสนเทศ (User access management) ตาม ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๓ ข้อ 5 (3) การบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) เพื่อควบคุม การเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาตแล้ว ประกอบไปด้วยขั้นตอนดังนี้ 1.การลงทะเบียนและการเพิกถอนทะเบียนผู้ใช้ 2.การจัดการสิทธิของผู้ใช้งาน 3.การบริหารจัดการสิทธิการเข้าถึงระดับสูง 4

การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities) เพื่อป้องกัน การเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูล ส่วนบุคคล การลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล ตาม ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๓ โดยหน้าที่รับผิดชอบของผู้ใช้งานระบบสารสนเทศ คือความรับผิดชอบในการใช้ข้อมูลความลับหรือรหัสผ่านในการพิสูจน์ตัวตนของผู้ใช้งาน โดยผู้ใช้ง

Availability กับผลกระทบที่ทำให้เกิดความเสียหายหรือเกิดการสูญหายของข้อมูลส่วนบุคคล เช่น ไฟล์ excel ที่เก็บข้อมูลลูกค้า เกิดความเสียหาย เนื่องจากโปรแกรม Windows หรือโปรแกรม Microsoft Word ทำงานผิดพลาด (Crash) ต้องแก้ไขโดยการนำเอาไฟล์ข้อมูลที่ Backup ไว้กลับมาใช้แทน หรือหากไม่มีการ Backup ไว้ อาจจะต้องเอาข้อมูลที่เคยบันทึกไว้ในกระดาษมา Re-key ใส่เข้าไปในโปรแกรม หรือมากไปกว่านั้นอาจจะต้องใช้โปรแกรมกู้ข้อมูลที่เสียหายกลับคืนมา แต่หากไม่มีทั้งการ Backup ข้อมูล แถมยังไม่สามารถกู้ข้อ

ผลกระทบต่อสิทธิขั้นพื้นฐานและอิสระเสรีภาพของเจ้าของข้อมูล ที่ผู้ควบคุมข้อมูล (Data Controller) หรือผู้ประมวลผลข้อมูล (Data Processor) ต้องประเมิน เพราะผลกระทบเหล่านั้นจะมีผลต่อความปลอดภัยของข้อมูลส่วนบุคคล โดยที่ผลกระทบประกอบด้วยสี่ระดับ ต่ำ ปานกลาง สูง สูงมาก เช่น ผลกระทบระดับต่ำ หมายถึง ทำให้มีผลกระทบกับเจ้าของข้อมูล โดยผลกระทบนั้นอาจจะทำให้เจ้าของข้อมูลรู้สึกได้ถึงความไม่สะดวก เช่น เคยให้ข้อมูลกับผู้ควบคุมข้อมูลไปแล้วกลับต้องให้ข้อมูลซ้ำอีกครั้ง ซึ่งอาจะเกิดจากผู้ควบคุมข้อ

ภัยคุกคาม คือสิ่งที่เกิดขึ้นแล้วอาจส่งผลกระทบต่อความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่งผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลต้องรู้และเข้าใจ ว่ามีภัยคุกคามใดบ้างที่อาจเกิดขึ้นกับการประมวลผลข้อมูลส่วนบุคคล ซึ่งตนเป็นผู้ดำเนินการและรับผิดชอบ ไม่ว่าจะเป็นทั้งภายในและภายนอกองค์กรและประเมินโอกาสที่จะเกิดภัยคุกคามนั้น ซึ่งภัยคุกคามแต่ละชนิดจะมีผลกระทบต่อ ความถูกต้องครบถ้วน (Integrity) การรักษาความลับ (Confidentiality) และความพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคล การประเมินโอ

ก่อนจะบันทึกภาพและวีดีโอของผู้เข้าร่วมงานสัมมนา ต้องแจ้งให้ผู้เข้าร่วมงานรับทราบโดยมีป้ายแจ้งเตือน Privacy Notice ภายในงานหรือในใบลงทะเบียนเข้างานสัมมนา #PDPA #ALPHASEC

Q1: PCI DSS คืออะไร? A: The Payment Card Industry Data Security Standard (PCI DSS) คือกลุ่มของมาตรฐานด้านความมั่นคงปลอดภัยที่ออกแบบมาสำหรับทุกองค์กรที่ รับ ประมวลผล จัดเก็บ และส่งต่อข้อมูลบัตรเครดิต เพื่อให้สามารถมั่นใจว่า หากได้ทำตามมาตรฐานแล้วจะทำให้ระบบขององค์กรมีความมั่นคงปลอดภัย และจะช่วยลดโอกาสและผลกระทบที่อาจเกิดขึ้นจากการรั่วไหลของข้อมูลบัตรเครดิต The Payment Card Industry Data Security Standard (PCI DSS) เกิดขึ้นเมื่อวันที่ 7 กันยายน 2006 เพื่อบริหารจัดการให้การดำเน