บทแนะนำ

Zoho มอบผลิตภัณฑ์ Software as a Service (SaaS) ให้กับผู้ใช้หลายล้านรายทั่วโลกเพื่อแก้ไขปัญหาทางธุรกิจของพวกเขา การรักษาความปลอดภัยคือองค์ประกอบหลักในข้อเสนอของเรา และถูกสะท้อนออกมาในบุคลากร กระบวนการ และผลิตภัณฑ์ของเรา เนื้อหาในหน้านี้ครอบคลุมถึงการรักษาความปลอดภัยของข้อมูล การรักษาความปลอดภัยการดำเนินการ และการรักษาความปลอดภัยทางกายภาพ เพื่ออธิบายวิธีการที่เรามอบการรักษาความปลอดภัยให้กับลูกค้าของเรา

อัปเดตเมื่อ: 29 ตุลาคม 2019

ภาพรวม

กลยุทธ์การรักษาความปลอดภัยของเราประไปด้วยองค์ประกอบดังต่อไปนี้

  •   ความปลอดภัยขององค์กร
  •   ความปลอดภัยทางกายภาพ
  •   ความปลอดภัยของโครงสร้างพื้นฐาน
  •   ความปลอดภัยของข้อมูล
  •   การควบคุมการระบุตัวตนและการเข้าถึง
  •   ความปลอดภัยการดำเนินการ
  •   การจัดการเหตุการณ์
  •   การเปิดเผยข้อมูลอย่างรับผิดชอบ
  •   การจัดการผู้ให้บริการ
  •   การควบคุมลูกค้าเพื่อความปลอดภัย

ความปลอดภัยขององค์กร

เรามีระบบจัดการความปลอดภัยของข้อมูล (Information Security Management System - ISMS) ซึ่งพิจารณาถึงวัตถุประสงค์ด้านความปลอดภัยของเรา และความเสี่ยงและการบรรเทาความเสียหายที่เกี่ยวข้องกับผู้ได้รับผลประโยชน์ทุกฝ่าย เราใช้นโยบายและกระบวนการที่เคร่งครัดซึ่งครอบคลุมถึงความปลอดภัย ความพร้อมให้บริการ การประมวลผล การผสานรวม และความลับของข้อมูลลูกค้า

การตรวจสอบประวัติพนักงาน

พนักงานแต่ละคนจะต้องผ่านกระบวนการพิสูจน์ยืนยันประวัติ เราว่าจ้างตัวแทนภายนอกที่มีชื่อเสียงในการดำเนินการตรวจสอบในนามของเรา เราดำเนินการดังนี้เพื่อตรวจสอบความถูกต้องของประวัติทางอาชญากรรม ประวัติการจ้างงานในอดีต (ถ้ามี) และประวัติด้านการศึกษา พนักงานจะไม่ได้รับมอบหมายงานที่อาจก่อให้เกิดความเสี่ยงต่อผู้ใช้ จนกว่าจะมีการดำเนินการตรวจสอบดังกล่าว 

ความตระหนักรู้ด้านความปลอดภัย

พนักงานแต่ละคน เมื่อได้รับเลือก จะต้องลงชื่อในข้อตกลงการเก็บรักษาความลับและนโยบายการใช้งานที่ยอมรับได้ หลังจากนั้นพวกเขาจะต้องเข้ารับการอบรมเกี่ยวกับความปลอดภัยของข้อมูล ความเป็นส่วนตัว และการปฏิบัติตามกฎ นอกจากนี้ เราจะประเมินความเข้าใจของพวกเขาผ่านแบบทดสอบและแบบสอบถามเพื่อระบุถึงหัวข้อที่พวกเขาจำเป็นต้องได้รับการอบรมเพิ่มเติม เราให้การอบรมเกี่ยวกับองค์ประกอบที่เฉพาะเจาะจงต่างๆ ของความปลอดภัย ซึ่งอาจจำเป็นสำหรับพวกเขาตามบทบาทหน้าที่

เราให้ความรู้กับพนักงานของเราอย่างต่อเนื่องเกี่ยวกับความปลอดภัยของข้อมูล ความเป็นส่วนตัว และการปฏิบัติตามกฎในชุมชนภายในของเรา ซึ่งพนักงานของเราจะต้องลงชื่อเข้าร่วมเป็นประจำ เพื่อให้พวกเขาได้รับข้อมูลล่าสุดเกี่ยวกับแนวปฏิบัติด้านความปลอดภัยขององค์กรอยู่เสมอ นอกจากนี้ เรายังจัดกิจกรรมต่างๆ เป็นการภายในเพื่อสร้างความตระหนักรู้และกระตุ้นนวัตกรรมเกี่ยวกับความปลอดภัยและความเป็นส่วนตัวอีกด้วย

ทีมความปลอดภัยและทีมความเป็นส่วนตัวโดยเฉพาะ

เรามีทีมความปลอดภัยและทีมความเป็นส่วนตัวโดยเฉพาะ ซึ่งจะเป็นผู้ปรับใช้และจัดการโปรแกรมความปลอดภัยและความเป็นส่วนตัวของเรา พวกเขาจะออกแบบและบำรุงรักษาระบบป้องกันของเรา พัฒนากระบวนการตรวจสอบด้านความปลอดภัย และตรวจตราเครือข่ายของเราอย่างต่อเนื่องเพื่อตรวจจับกิจกรรมที่น่าสงสัย พวกเขาจะมอบบริการให้คำปรึกษาที่เฉพาะเจาะจงสำหรับโดเมนรวมถึงคำแนะนำให้กับทีมวิศวกรรมของเรา

การตรวจสอบภายในและการปฏิบัติตามกฎ

เรามีทีมการปฏิบัติตามกฎที่สำหรับตรวจสอบกระบวนการและนโยบายภายใน Zoho โดยเฉพาะเพื่อปรับแนวทางให้เข้ากับมาตรฐานต่างๆ และเพื่อระบุว่ามีการควบคุม กระบวนการ และระบบใดบ้างที่จำเป็นต้องสอดคล้องกับมาตรฐานดังกล่าว นอกจากนี้ ทีมนี้ยังดำเนินการตรวจสอบภายในเป็นระยะและอำนวยความสะดวกให้กับการตรวจสอบและประเมินผลอิสระโดยบุคคลที่สามอีกด้วย

สำหรับรายละเอียดเพิ่มเติม โปรดตรวจสอบพอร์ตโฟลิโอการปฏิบัติตามกฎของเราของเรา

ความปลอดภัยที่ปลายทางการใช้งาน

เวิร์กสเตชันทั้งหมดที่ออกให้กับพนักงานของ Zoho ทำงานด้วยเวอร์ชันของ OS ที่ทันสมัย และได้รับการกำหนดค่าโดยซอฟต์แวร์ป้องกันไวรัส เวิร์กสเตชันทั้งหมดถูกกำหนดค่าให้สอดคล้องกับมาตรฐานความปลอดภัยของเรา ซึ่งกำหนดให้เวิร์กสเตชันทั้งหมดต้องได้รับการกำหนดค่าและแพทช์อย่างเหมาะสม รวมถึงติดตามและตรวจสอบโดยโซลูชันการจัดการปลายทางการใช้งานของ Zoho เวิร์กสเตชันเหล่านี้มีความปลอดภัยโดยค่าเริ่มต้น เนื่องจากกำหนดค่ามาให้เข้ารหัสข้อมูลในขณะไม่ได้ใช้งาน มีรหัสผ่านที่คาดเดาได้ยาก และจะถูกล็อคเมื่อไม่มีกิจกรรมเป็นเวลานาน อุปกรณ์เคลื่อนที่ที่ใช้เพื่อวัตถุประสงค์ทางธุรกิจจะต้องผ่านการลงทะเบียนในระบบจัดการอุปกรณ์ เพื่อให้มั่นใจว่าสอดคล้องกับมาตรฐานความปลอดภัยของเรา

ความปลอดภัยทางกายภาพ

ในสถานที่ทำงาน

เราควบคุมการเข้าถึงทรัพยากรของเรา (อาคาร โครงสร้างพื้นฐาน และสถานที่ตั้งสำนักงาน) ที่ซึ่งการเข้าถึงประกอบด้วยการบริโภค การเข้าสู่สถานที่ และการใช้ประโยชน์ ด้วยความช่วยเหลือของบัตรผ่านประตู เรามอบบัตรผ่านประตูที่แตกต่างกันหลายชนิดให้กับพนักงาน ผู้รับเหมา ผู้ให้บริการ และผู้เข้าชม ซึ่งอนุญาตให้ผ่านประตูเพื่อวัตถุประสงค์ที่เฉพาะเจาะจงของการเข้าถึงอาคารสถานที่ ทีมทรัพยากรบุคคล (HR) เป็นผู้สร้างและคงไว้ซึ่งวัตถุประสงค์ที่มีลักษณะเฉพาะสำหรับบทบาทต่างๆ เราเก็บรักษาบันทึกการเข้าถึงเพื่อตรวจจับและจัดการกับความผิดปกติ 

ที่ศูนย์ข้อมูล

ที่ศูนย์ข้อมูลของเรา ผู้ให้บริการสถานที่ร่วมเป็นผู้รับผิดชอบอาคาร การระบายความร้อน พลังงาน และความปลอดภัยทางกายภาพ ในขณะที่เรามอบเซิร์ฟเวอร์และพื้นที่จัดเก็บข้อมูล เราได้จำกัดการเข้าถึงศูนย์ข้อมูลของ Zoho อย่างเคร่งครัด โดยมีกลุ่มคนที่ได้รับอนุญาตเพียงไม่กี่คนที่เข้าไปได้ การเข้าถึงอื่นๆ จะถือว่าเป็นกรณีพิเศษ และอนุญาตเฉพาะหลังจากการอนุมัติของผู้จัดการของแต่ละฝ่ายเท่านั้น การตรวจรับรองความถูกต้องแบบสองปัจจัยและการตรวจรับรองความถูกต้องทางชีวมิติเป็นสิ่งจำเป็นในการเข้าสู่อาคารสถานที่ สามารถดูบันทึกการเข้าถึง ประวัติกิจกรรม และภาพจากกล้องได้ในกรณีที่เกิดปัญหา

การตรวจสอบ

เราตรวจสอบการเคลื่อนไหวเข้าและออกทุกครั้งทั้งหมดทั่วทั้งอาคารสถานที่ในศูนย์ธุรกิจและศูนย์ข้อมูลทั้งหมดของเราผ่านกล้อง CCTV ที่ติดตั้งไว้โดยสอดคล้องตามข้อบังคับท้องถิ่น ภาพวิดีโอสำรองจะพร้อมให้เข้าชมเป็นระยะเวลาหนึ่ง ขึ้นอยู่กับข้อกำหนดของสำหรับสถานที่นั้นๆ

ความปลอดภัยของโครงสร้างพื้นฐาน

ความปลอดภัยของเครือข่าย

ความปลอดภัยของเครือข่ายและเทคนิคการตรวจสอบของเราออกแบบมาเพื่อมอบการปกป้องและการป้องกันที่มีหลายเลเยอร์ เราใช้ไฟร์วอลล์เพื่อป้องกันเครือข่ายของเราจากการเข้าถึงที่ไม่ได้รับอนุญาตและปริมาณการเข้าชมที่ไม่พึงประสงค์ ระบบของแบ่งออกเป็นเครือข่ายที่แยกจากกันเพื่อปกป้องข้อมูลที่อ่อนไหว ระบบที่สนับสนุนกิจกรรมการทดสอบและการพัฒนาจะถูกโฮสต์ในเครือข่ายที่แยกออกจากระบบที่สนับสนุนโครงสร้างพื้นฐานด้านการผลิตของ Zoho

เราตรวจสอบการเข้าถึงไฟร์วอลล์โดยมีกำหนดการที่เคร่งครัดและเป็นประจำ วิศวกรเครือข่ายจะตรวจสอบความเปลี่ยนแปลงทั้งหมดที่ทำกับไฟร์วอลล์ทุกวัน นอกจากนี้ การเปลี่ยนแปลงเหล่านี้จะได้รับการตรวจสอบทุกๆ สามเดือนเพื่ออัปเดตและทบทวนกฎ ทีมศูนย์ดำเนินการเครือข่ายเฉพาะของเราตรวจสอบโครงสร้างพื้นฐานและแอปพลิเคชันเพื่อหาความขัดแย้งกันหรือกิจกรรมที่น่าสงสัย พารามิเตอร์ที่สำคัญทั้งหมดจะได้รับการตรวจสอบอย่างต่อเนื่องโดยใช้เครื่องมือที่เป็นกรรมสิทธิ์ของเรา และการแจ้งเตือนจะถูกทริกเกอร์ในทุกกรณีของกิจกรรมที่ผิดปกติหรือน่าสงสัยในสภาพแวดล้อมการผลิตของเรา

เครือข่ายคู่ขนาน

ส่วนประกอบทั้งหมดของแพลตฟอร์มของเราจะมีระบบคู่ขนาน เราใช้สถาปัตยกรรมกริดแบบกระจายเพื่อปกป้องระบบและบริการของเราจากผลกระทบของความล้มเหลวของเครือข่ายที่อาจเกิดขึ้นได้ หากเกิดความล้มเหลวของระบบ ผู้ใช้สามารถสามารถทำงานต่อไปได้ตามปกติ เนื่องจากข้อมูลของพวกเขาและบริการของ Zoho จะยังคงพร้อมให้บริการต่อไป

นอกจากนี้ เรายังใช้สวิตช์ เราเตอร์ และเกตเวย์ความปลอดภัยหลายรายการเพื่อสร้างความมั่นใจถึงระบบคู่ขนานที่ระดับอุปกรณ์ วิธีการนี้จะป้องกันความล้มเหลวจากจุดเดียว (single-point failure) ในเครือข่ายภายใน

การปกป้องจาก DDoS

เราใช้เทคโนโลยีจากผู้ให้บริการที่มีชื่อเสียงและเชื่อถือได้เพื่อปกป้องการโจมตี DDoS บนเซิร์ฟเวอร์ เทคโนโลยีเหล่านี้มอบหลากหลายความสามารถในการบรรเทาภัย DDoS เพื่อป้องกันการหยุดชะงักของระบบที่เกิดจากปริมาณการเข้าใช้ที่ไม่เหมาะสม ในขณะที่อนุญาตให้การเข้าใช้ที่พึงประสงค์ผ่านได้ วิธีนี้ทำให้เว็บไซต์ แอปพลิเคชัน และ API มีความพร้อมให้บริการสูงและทำงานอยู่ตลอดเวลา

การเสริมความแข็งแกร่งของเซิร์ฟเวอร์

เซิร์ฟเวอร์ทั้งหมดที่จัดเตรียมไว้สำหรับกิจกรรมการพัฒนาและการทดสอบได้รับการเสริมความแข็งแกร่ง (ด้วยการปิดใช้งานพอร์ตและบัญชีที่ไม่ได้ใช้งาน ลบรหัสผ่านเริ่มต้น ฯลฯ) อิมเมจระบบปฏิบัติการ (OS) พื้นฐานมีการเสริมความแข็งแกร่งของเซิร์ฟเวอร์ในตัว และอิมเมจ OS นี้จะถูกจัดเตรียมในเซิร์ฟเวอร์ เพื่อสร้างความมั่นใจในความสอดคล้องกันระหว่างเซิร์ฟเวอร์

การตรวจจับและการป้องกันการบุกรุก

กลไกการตรวจจับการบุกรุกของเราจะบันทึกสัญญาณจากโฮสต์บนอุปกรณ์แต่ละชิ้น และสัญญาณจากเครือข่ายจากจุดตรวจสอบภายในเซิร์ฟเวอร์ของเรา การเข้าใช้ของผู้ดูแลระบบ การใช้คำสั่งที่ได้รับสิทธิพิเศษ และ system call บนเซิร์ฟเวอร์ทั้งหมดในเครือข่ายการผลิตจะถูกบันทึก กฎและระบบอัจฉริยะของเครื่องที่สร้างโดยต่อยอดจากข้อมูลนี้จะส่งคำเตือนให้กับวิศวกรความปลอดภัยถึงความเป็นไปได้ของปัญหา ที่เลเยอร์ของแอปพลิเคชัน เรามี WAF ที่เป็นกรรมสิทธิ์ของเราเอง ซึ่งจะทำงานกับทั้งกฎ whitelist และ blacklist

ที่ระดับผู้ให้บริการอินเทอร์เน็ต (Internet Service Providers - ISP) เราใช้แนวทางความปลอดภัยแบบหลายเลเยอร์ พร้อมด้วย Scrubbing, การกำหนดเส้นทางเครือข่าย, การจำกัดอัตรา และการกรอง เพื่อรับมือกับการโจมตีจากเลเยอร์เครือข่ายไปยังเลเยอร์แอปพลิเคชัน ระบบนี้จะให้ปริมาณการเข้าชมที่พึงประสงค์ ระบบพร็อกซีที่เชื่อถือได้ และการรายงานที่ฉับไวหากมีการโจมตีเกิดขึ้น 

ความปลอดภัยของข้อมูล

ความปลอดภัยตั้งแต่ขั้นการออกแบบ

การเปลี่ยนแปลงและคุณสมบัติใหม่ทั้งหมดจะได้รับการดูแลโดยนโยบายการจัดการการเปลี่ยนแปลง เพื่อสร้างความมั่นใจว่าการเปลี่ยนแปลงของแอปพลิเคชันทั้งหมดจะได้รับการอนุญาตก่อนนำไปใช้ในการผลิต คำสั่งในวงรอบอายุการใช้งานการพัฒนาซอฟต์แวร์ (Software Development Life Cycle - SDLC) ของเรายึดมั่นกับแนวทางการเขียนรหัสที่ปลอดภัย รวมถึงการกลั่นกรองการเปลี่ยนแปลงรหัสเพื่อหาปัญหาด้านความปลอดภัยที่อาจเกิดขึ้น ด้วยเครื่องมือวิเคราะห์รหัส เครื่องมือสแกนช่องโหว่ และกระบวนการตรวจสอบด้วยตนเอง

เฟรมเวิร์กด้านความปลอดภัยที่แข็งแกร่งของเรา ซึ่งยึดมาตรฐาน OWASP และปรับใช้ในเลเยอร์แอปพลิเคชัน มอบฟังก์ชันสำหรับบรรเทาภัยคุกคามต่างๆ เช่น SQL Injection, การทำสคริปต์ข้ามไซต์ และการโจมตีด้วย DOS ที่เลเยอร์แอปพลิเคชัน 

การแยกข้อมูล

เฟรมเวิร์กของเรากระจายและรักษาพื้นที่คลาวด์สำหรับลูกค้าของเรา ข้อมูลการบริการลูกค้าแต่ละรายจะถูกแยกออกจากข้อมูลของลูกค้ารายอื่นๆ ในทางตรรกะ โดยใช้ชุดของโปรโตคอลความปลอดภัยในเฟรมเวิร์ก วิธีนี้สร้างความมั่นใจว่าจะไม่มีข้อมูลบริการลูกค้าใดที่สามารถเข้าถึงได้โดยลูกค้ารายอื่น

ข้อมูลการบริการจะถูกจัดเก็บไว้บนเซิร์ฟเวอร์ของเราเมื่อคุณใช้บริการของเรา คุณเป็นเจ้าของข้อมูลของคุณ ไม่ใช่ Zoho เราจะไม่แบ่งปันข้อมูลนี้กับบุคคลที่สามใดๆ โดยไม่ได้รับความยินยอมจากคุณ

การเข้ารหัส

ระหว่างการส่ง: ข้อมูลลูกค้าทั้งหมดที่ส่งไปยังเซิร์ฟเวอร์ของเราผ่านเครือข่ายสาธารณะจะได้รับการปกป้องโดยใช้โปรโตคอลการเข้ารหัสที่แข็งแกร่ง เราสั่งการให้การเชื่อมต่อทั้งหมดที่มายังเซิร์ฟเวอร์ของเราใช้การเข้ารหัสแบบ Transport Layer Security (TLS 1.2/1.3) ที่มี Cipher ที่มีประสิทธิภาพสำหรับการเชื่อมต่อทั้งหมด ซึ่งประกอบด้วยการเข้าถึงเว็บ, การเข้าถึง API, แอปมือถือของเรา และการเข้าถึงไคลเอนต์อีเมล IMAP/POP/SMTP วิธีนี้สร้างความมั่นใจถึงการเชื่อมต่อที่ปลอดภัย ด้วยการอนุญาตการตรวจรับรองความถูกต้องของทั้งสองฝ่ายที่มีส่วนในการเชื่อมต่อและด้วยการเข้ารหัสข้อมูลที่ต้องการส่ง นอกจากนี้ สำหรับอีเมล บริการของเราใช้ประโยชน์จาก TLS เชิงโอกาสโดยค่าเริ่มต้น TLS จะเข้ารหัสและส่งอีเมลอย่างปลอดภัย บรรเทาการลักลอบขโมยข้อมูลระหว่างเซิร์ฟเวอร์อีเมล ซึ่งบริการเพียร์ต่างๆ สนับสนุนโปรโตคอลนี้

เรามีการสนับสนุนอย่างเต็มรูปแบบสำหรับ Perfect Forward Secrecy (PFS) ด้วยการเชื่อมต่อที่เข้ารหัสของเรา ซึ่งจะสร้างความมั่นใจว่าแม้เราจะถูกมุ่งร้ายด้วยวิธีใดก็ตามในอนาคต จะไม่มีการสื่อสารในอดีตถูกถอดรหัสแต่อย่างใด เราได้เปิดใช้งานส่วนหัว HTTP Strict Transport Security (HSTS) ให้กับการเชื่อมต่อเว็บทั้งหมดของเรา วิธีนี้จะบอกเบราว์เซอร์ที่ทันสมัยทั้งหมดให้เชื่อมต่อกับเราผ่านการเชื่อมต่อที่เข้ารหัสเท่านั้น แม้ในกรณีที่คุณพิมพ์ URL ไปยังหน้าที่ไม่ปลอดภัยที่ไซต์ของเรา นอกจากนี้ เรายังแฟล็กคุกกี้การตรวจรับรองความถูกต้องทั้งหมดของเราว่าปลอดภัยอีกด้วย

ระหว่างไม่มีการใช้งาน: ข้อมูลลูกค้าระหว่างไม่มีการใช้งานถูกเข้ารหัสโดยใช้มาตรฐานการเข้ารหัสขั้นสูง (Advanced Encryption Standard - AES) แบบ 256 บิต เราเป็นเจ้าของและเก็บรักษาคีย์โดยใช้บริการการจัดการคีย์ (Key Management Service - KMS) ภายในองค์กรของเรา เรามอบเลเยอร์ของการรักษาความปลอดภัยพิเศษด้วยการเข้ารหัสคีย์การเข้ารหัสข้อมูลโดยใช้คีย์ต้นแบบ คีย์ต้นแบบและคีย์การเข้ารหัสข้อมูลจะถูกแยกจากกันและจัดเก็บในเซิร์ฟเวอร์ที่ต่างกัน โดยมีการเข้าถึงอย่างจำกัด

เราเข้ารหัสข้อมูลที่สองระดับหลักๆ:

  1. 1. การเข้ารหัสที่เลเยอร์แอปพลิเคชัน: การเข้ารหัสฐานข้อมูลเชิงสัมพันธ์ การจัดเก็บไฟล์ ข้อมูลสำรอง บันทึก และแคช
  2. 2. การเข้ารหัสทั้งดิสก์โดยยึดฮาร์ดแวร์

โปรดคลิกที่นี่สำหรับข้อมูลโดยละเอียดเกี่ยวกับการเข้ารหัสที่ Zoho

การเก็บรักษาและการกำจัดข้อมูล

เราจะเก็บข้อมูลไว้ในบัญชีของคุณตราบเท่าที่คุณเลือกใช้บริการของ Zoho เมื่อคุณยุติการใช้งานบัญชีผู้ใช้ Zoho ข้อมูลของคุณจะถูกลบจากฐานข้อมูลที่ใช้งานอยู่ในช่วงการล้างข้อมูลครั้งถัดไปซึ่งจะดำเนินการทุก 6 เดือน ข้อมูลที่ถูกลบออกจากฐานข้อมูลที่ใช้งานอยู่จะถูกลบออกจากระบบสำรองข้อมูลหลังผ่านไป 3 เดือน ในกรณีของบัญชีที่ไม่มีการชำระเงินซึ่งไม่ได้ใช้งานต่อเนื่องกันเป็นเวลา 120 วัน เราจะยุติบัญชีนั้นหลังจากแจ้งเตือนคุณล่วงหน้าและให้ทางเลือกที่จะสำรองข้อมูลของคุณ

ผู้ให้บริการที่ได้รับการยืนยันและอนุมัติแล้วจะดำเนินการกำจัดอุปกรณ์ที่ไม่สามารถใช้งานได้ จนกว่าจะถึงเวลาดังกล่าว เราจะแบ่งหมวดหมู่และจัดเก็บอุปกรณ์ดังกล่าวที่สถานที่ที่ปลอดภัย ข้อมูลใดๆ ที่อยู่ในอุปกรณ์ดังกล่าวจะถูกฟอร์แมตก่อนการกำจัด เราจะลบสภาพแม่เหล็กของฮาร์ดไดรฟ์ จากนั้นจึงกำจัดในทางกายภาพโดยใช้เครื่องฉีกบด เราจะลบรหัสและฉีกบดเพื่อทำลายอุปกรณ์โซลิดสเตท (SSD) ที่ล้มเหลว

การควบคุมการระบุตัวตนและการเข้าถึง

การลงชื่อเข้าใช้ครั้งเดียว (Single Sign-On - SSO)

Zoho ใช้การลงชื่อเข้าใช้ครั้งเดียว (SSO) ซึ่งอนุญาตให้ผู้ใช้เข้าถึงหลายบริการโดยใช้หน้าลงชื่อเข้าใช้และข้อมูลการตรวจรับรองความถูกต้องเดียวกันได้ เมื่อคุณลงชื่อเข้าใช้บริการ Zoho ใดๆ จะต้องดำเนินการผ่านบริการการระบุตัวตนและการเข้าถึง (Identity and Access Management - IAM) ของเราเท่านั้น และเรายังสนับสนุน SAML สำหรับการลงชื่อเข้าใช้ครั้งเดียวที่ทำให้ลูกค้าไม่สามารถผสานรวมผู้ให้บริการระบุตัวตนของบริษัทของตนได้ เช่น LDAP หรือ ADFS เมื่อพวกเขาเข้าสู่ระบบบริการของ Zoho

SSO ทำให้กระบวนการเข้าสู่ระบบง่ายขึ้น สร้างความมั่นใจในการปฏิบัติตามกฎ ให้การควบคุมและการรายงานการเข้าถึงที่มีประสิทธิภาพ และลดความเสี่ยงของการต้องจดจำรหัสผ่านจำนวนมากที่นำมาซึ่งการตั้งรหัสผ่านที่คาดเดาได้ง่าย

การยืนยันตัวตนแบบหลายขั้นตอน

วิธีนี้จะมอบเลเยอร์ความปลอดภัยเพิ่มเติมด้วยการกำหนดให้ลูกค้าต้องมีข้อมูลการยืนยันเพิ่มเติม นอกเหนือจากรหัสผ่าน วิธีนี้สามารถลดความเสี่ยงต่อการเข้าถึงโดยไม่ได้รับอนุญาตในกรณีที่รหัสผ่านของผู้ใช้ถูกขโมย ในขณะนี้ เราสนับสนุนโหมดต่างๆ เช่น Touch ID หรือ Face ID ทางชีวมิติ, การแจ้งเตือนแบบพุช, QR โค้ด และ OTP แบบอิงตามเวลา

การเข้าถึงของผู้ดูแลระบบ

เราใช้การควบคุมการเข้าถึงทางเทคนิคและนโยบายภายในเพื่อห้ามไม่ให้พนักงานเข้าถึงข้อมูลของผู้ใช้โดยพลการ เรายึดหลักการของสิทธิ์ขั้นต่ำสุดและการให้อนุญาตโดยอิงตามบทบาท เพื่อลดความเสี่ยงต่อการเปิดเผยข้อมูล

การเข้าถึงสภาพแวดล้อมการผลิตได้รับการบำรุงรักษาโดยไดเรกทอรีกลางและตรวจรับรองความถูกต้องโดยใช้การผสมผสานของรหัสผ่านที่คาดเดาได้ยาก การตรวจรับรองความถูกต้องแบบสองปัจจัย และคีย์ SSH ที่ปกป้องด้วยข้อความรหัสผ่าน นอกจากนี้ เรายังอำนวยความสะดวกให้กับการเข้าถึงดังกล่าวผ่านเครือข่ายแยก ซึ่งมีกฎที่เคร่งครัดมากขึ้นและอุปกรณ์ที่เสริมความแข็งแกร่ง นอกจากนี้ เรายังบันทึกการดำเนินการทั้งหมดและตรวจสอบบันทึกดังกล่าวเป็นระยะอีกด้วย

ความปลอดภัยการดำเนินการ

การบันทึกและการตรวจสอบ

เราตรวจสอบและวิเคราะห์ข้อมูลที่รวบรวมจากบริการต่างๆ ปริมาณการเข้าชมภายในเครือข่ายของเรา และการใช้งานของอุปกรณ์และเทอร์มินัล เราบันทึกข้อมูลนี้ในรูปแบบของบันทึกเหตุการณ์ บันทึกการตรวจสอบ บันทึกข้อผิดพลาด บันทึกของผู้ดูแลระบบ และบันทึกของผู้ปฏิบัติงาน บันทึกเหล่านี้ได้รับการตรวจสอบและวิเคราะห์โดยอัตโนมัติจนถึงระดับที่สมเหตุสมผล ซึ่งจะช่วยเราระบุความผิดปกติต่างๆ เช่น กิจกรรมที่ผิดปกติในบัญชีของพนักงาน หรือการพยายามเข้าถึงข้อมูลของลูกค้า เราจัดเก็บบันทึกเหล่านี้ในเซิร์ฟเวอร์ที่ปลอดภัยซึ่งแยกออกจากการเข้าถึงระบบเต็มรูปแบบ เพื่อจัดการการควบคุมการเข้าถึงจากศูนย์กลางและสร้างความมั่นใจถึงความพร้อมให้บริการ 

ลูกค้าสามารถดูการบันทึกการตรวจสอบโดยละเอียดที่ครอบคลุมถึงการอัปเดตและการลบทั้งหมดที่ดำเนินการโดยผู้ใช้ได้ในบริการทั้งหมดของ Zoho

การจัดการช่องโหว่

เรามีกระบวนการจัดการช่องโหว่โดยเฉพาะ ซึ่งจะสแกนหาภัยคุกคามด้านความปลอดภัยอย่างต่อเนื่องโดยใช้การผสมผสานของเครื่องมือสแกนของบุคคลที่สามที่ได้รับใบอนุญาตและเครื่องมือภายในองค์กร และด้วยความพยายามทดสอบการลักลอบเข้าสู่ระบบทั้งแบบอัตโนมัติและด้วยตนเอง นอกจากนี้ ทีมความปลอดภัยของเราจะตรวจทานรายงานความปลอดภัยขาเข้าอย่างต่อเนื่อง และตรวจสอบรายการส่งอีเมลสาธารณะ โพสต์ในบล็อก และ Wiki เพื่อสังเกตหาเหตุการณ์ด้านความปลอดภัยซึ่งอาจส่งผลกระทบต่อโครงสร้างพื้นฐานของบริษัท

เมื่อเราระบุช่องโหว่ที่จำเป็นต้องได้รับการบรรเทาได้แล้ว ระบบจะบันทึกการระบุนั้นโดยจัดลำดับความสำคัญตามความร้ายแรง และมอบหมายให้กับเจ้าของ เราระบุความเสี่ยงที่เกี่ยวข้องเพิ่มเติมและติดตามช่องโหว่จนกว่าจะถูกปิดด้วยการแพทช์ระบบที่บกพร่อง หรือนำการควบคุมที่เกี่ยวข้องไปใช้

การปกป้องจากมัลแวร์และสแปม

เราสแกนไฟล์ทั้งหมดของผู้ใช้โดยใช้ระบบสแกนอัตโนมัติที่ออกแบบมาเพื่อหยุดการกระจายมัลแวร์ผ่านระบบนิเวศของ Zoho ระบบป้องกันมัลแวร์ที่กำหนดเองของเราจะได้รับอัปเดตเป็นประจำจากแหล่งข้อมูลลับของภัยคุกคามภายนอก และสแกนไฟล์เพื่อป้องกันลายเซ็นที่ขึ้นบัญชีดำและรูปแบบที่น่าสงสัย นอกจากนี้ ระบบตรวจจับที่เป็นกรรมสิทธิ์ของเราจะทำงานร่วมกับเทคนิคการเรียนรู้ของเครื่อง เพื่อสร้างความมั่นใจว่าข้อมูลของลูกค้าจะได้รับการปกป้องจากมัลแวร์ 

Zoho สนับสนุนการตรวจรับรองความถูกต้อง การรายงาน และการปฏิบัติตามกฎของข้อความ (Domain-based Message Authentication, Reporting, and Conformance - DMARC) ในฐานะแนวทางการป้องกันสแปม DMARC ใช้ SPF และ DKIM เพื่อยืนยันว่าข้อความนั้นเชื่อถือได้ และเราใช้ระบบตรวจจับที่เป็นกรรมสิทธิ์ของเราสำหรับการระบุการละเมิดบริการของ Zoho เช่น กิจกรรมการฟิชชิ่งและสแปม นอกจากนี้ เรายังมีทีมป้องกันสแปมโดยเฉพาะที่จะคอยตรวจสอบสัญญาณจากซอฟต์แวร์และจัดการกับคำร้องเรียนเรื่องการละเมิดอีกด้วย สำหรับข้อมูลเพิ่มเติม โปรดคลิกที่นี่

ข้อมูลสำรอง

เราดำเนินการสำรองข้อมูลเต็มรูปแบบสัปดาห์ละหนึ่งครั้ง และการสำรองข้อมูลเพิ่มเติมทุกวัน ข้อมูลสำรองใน DC จะถูกจัดเก็บในตำแหน่งเดียวกันและจะถูกเข้ารหัสในขณะที่ไม่มีการใช้งาน เช่นเดียวกับข้อมูลต้นฉบับ เราคืนค่าและตรวจสอบความถูกต้องของข้อมูลสำรองเพิ่มเติมทุกวัน ข้อมูลสำรองทั้งหมดจะถูกเก็บรักษาไว้เป็นเวลาสามเดือน

หากมีลูกค้าร้องขอให้กู้คืนข้อมูลภายในระยะเวลาการเก็บรักษา เราจะคืนค่าข้อมูลของพวกเขาจากข้อมูลสำรองและเตรียมข้อมูลนั้นให้พร้อมสำหรับพวกเขา

การกู้คืนหลังภัยพิบัติและความต่อเนื่องของธุรกิจ

ข้อมูลแอปพลิเคชันจะถูกจัดเก็บไว้บนพื้นที่จัดเก็บที่ทนทาน ซึ่งมีการคัดลอกไว้ในศูนย์ข้อมูลหลายแห่ง ข้อมูลใน DC หลักจะถูกคัดลอกใน DC สำรองแบบใกล้เคียงเรียลไทม์ ในกรณีที่เกิดความล้มเหลวของ DC หลัก DC สำรองจะทำหน้าที่แทนเพื่อการดำเนินการที่ราบรื่น โดยมีการสูญเสียเวลาน้อยที่สุดหรือไม่มีเลย ศูนย์ข้อมูลทั้งสองแห่งเพียบพร้อมด้วย ISP หลายราย

เรามีการสำรองพลังงาน ระบบควบคุมอุณหภูมิ และระบบป้องกันอัคคีภัยเป็นมาตรการทางกายภาพ เพื่อสร้างความมั่นใจถึงความต่อเนื่องของธุรกิจ มาตรการเหล่านี้ช่วยเราให้บรรลุผลด้านความทนทาน นอกจากการทำสำเนาข้อมูลแล้ว เรายังมีแผนความต่อเนื่องของธุรกิจสำหรับการดำเนินการหลักๆ ของเราด้วย เช่น การสนับสนุน และการจัดการโครงสร้างพื้นฐาน

การจัดการเหตุการณ์

การรายงาน

เรามีทีมจัดการเหตุการณ์ปัญหาโดยเฉพาะ เราจะแจ้งเตือนคุณเกี่ยวกับเหตุการณ์ในสภาพแวดล้อมของเราซึ่งเกี่ยวข้องกับคุณ รวมถึงการดำเนินการที่เหมาะสมที่คุณควรกระทำ เราติดตามและปิดประเด็นปัญหาด้วยการดำเนินการแก้ไขที่เหมาะสม เมื่อใดก็ตามที่เป็นไปได้ เราจะแสดงหลักฐานที่จำเป็นต่อคุณซึ่งเกี่ยวข้องกับเหตุการณ์ที่เกี่ยวข้องกับคุณ นอกจากนี้ เราใช้การควบคุมเพื่อป้องกันการเกิดซ้ำของสถานการณ์ที่คล้ายคลึงกัน

เราจะตอบสนองต่อเหตุการณ์ด้านความปลอดภัยและความเป็นส่วนตัวที่คุณรายงานถึงเราผ่าน incidents@zohocorp.com โดยมีลำดับความสำคัญสูง โดยเราจะแจ้งเตือนผู้ใช้ถึงเหตุการณ์ทั่วไปผ่านบล็อก กระดานสนทนา และโซเชียลมีเดีย และเราจะแจ้งให้ผู้ที่เกี่ยวข้องทราบถึงเหตุการณ์ที่เฉพาะเจาะจงกับผู้ใช้รายบุคคลหรือองค์กรผ่านทางอีเมล (โดยใช้ที่อยู่อีเมลหลักของผู้ดูแลระบบขององค์กรที่ลงทะเบียนไว้กับเรา) 

การแจ้งเตือนการละเมิด

ในฐานะผู้ควบคุมข้อมูล เราจะแจ้งเตือนหน่วยงานกำกับดูแลการปกป้องข้อมูลถึงละเมิดข้อมูลภายใน 72 ชั่วโมงหลังจากทราบเหตุ โดยสอดคล้องตามข้อบังคับในการปกป้องข้อมูลทั่วไป (General Data Protection Regulation - GDPR) โดยขึ้นอยู่กับข้อกำหนดที่เฉพาะเจาะจง เราจะแจ้งเตือนลูกค้าด้วยเช่นกันเมื่อจำเป็น ในฐานะผู้ประมวลผลข้อมูล เราจะให้ข้อมูลกับผู้ควบคุมข้อมูลที่เกี่ยวข้องอย่างทันท่วงที 

การเปิดเผยข้อมูลอย่างรับผิดชอบ

โปรแกรมรายงานช่องโหว่ใน "Bug Bounty" เพื่อเข้าถึงชุมชนของผู้วิจัยนั้นพร้อมให้บริการ ซึ่งจะรู้จำและให้รางวัลกับงานของผู้วิจัยด้านความปลอดภัย เรามุ่งมั่นที่จะทำงานร่วมกับชุมชนนี้เพื่อยืนยัน ผลิตซ้ำ ตอบสนอง ทำให้สอดคล้องกับกฎ และปรับใช้โซลูชันที่เหมาะสมสำหรับช่องโหว่ที่ได้รับรายงาน

หากคุณพบช่องโหว่ใดๆ โปรดส่งประเด็นปัญหาไปที่ https://bugbounty.zoho.com/ หากคุณต้องการรายงานถึงช่องโหว่กับเราโดยตรง ส่งอีเมลถึงเราได้ที่ security@zohocorp.com 

การจัดการผู้ให้บริการและซัพพลายเออร์บุคคลที่สาม

เราประเมินและตรวจสอบคุณสมบัติของผู้ให้บริการโดยอิงตามนโยบายการจัดการผู้บริการของเรา เราทำการออนบอร์ดผู้ให้บริการรายใหม่หลังจากทำความเข้าใจกระบวนการของพวกเขาสำหรับการส่งมอบบริการให้กับเรา จากนั้นจึงดำเนินการประเมินความเสี่ยง เราดำเนินขั้นตอนที่เหมาะสมเพื่อยืนยันในการรักษาหลักการด้านความปลอดภัยของเรา ด้วยการจัดทำข้อตกลงที่กำหนดให้ผู้ให้บริการยึดมั่นในข้อผูกพันด้านความลับ ความพร้อมให้บริการ และความซื่อตรงที่เรามีต่อลูกค้าของเรา เราตรวจสอบการดำเนินการที่มีประสิทธิภาพของกระบวนการและมาตรการด้านความปลอดภัยขององค์กรด้วยการดำเนินการตรวจสอบการควบคุมของพวกเขาเป็นระยะ

การควบคุมลูกค้าเพื่อความปลอดภัย

นับจนถึงตอนนี้ เราได้กล่าวถึงสิ่งที่เราทำเพื่อมอบความปลอดภัยบนหลากหลายพื้นฐานให้แก่ลูกค้าของเรา ต่อไปนี้คือสิ่งที่คุณในฐานะลูกค้าสามารถทำได้เพื่อสร้างความมั่นใจถึงความปลอดภัยจากตำแหน่งของคุณ:

  •   เลือกรหัสผ่านที่มีลักษณะเฉพาะซึ่งคาดเดาได้ยาก และเก็บรักษาให้ดี
  •   ใช้การตรวจสอบสิทธิ์หลายปัจจัย
  •   ใช้เวอร์ชันล่าสุดของเบราว์เซอร์ ระบบปฏิบัติการมือถือ และแอปพลิเคชันมือถือที่อัปเดต เพื่อให้มั่นใจว่าระบบเหล่านี้ได้รับการแพทช์เพื่อป้องกันช่องโหว่และเพื่อใช้คุณสมบัติด้านความปลอดภัยที่ทันสมัยที่สุด
  •   ดำเนินการตามมาตรการเบื้องต้นที่สมเหตุสมผลในขณะแบ่งปันข้อมูลจากสภาพแวดล้อมบนคลาวด์
  •   จัดหมวดหมู่ข้อมูลออกเป็นข้อมูลส่วนตัวหรือข้อมูลที่อ่อนไหว และตั้งชื่อหมวดหมู่เหล่านี้โดยสอดคล้องกับลักษณะนั้นๆ
  •   ตรวจสอบอุปกรณ์ที่เชื่อมโยงกับบัญชีของคุณ เซสชันเว็บที่ทำงานอยู่ และการเข้าถึงของบุคคลที่สามเพื่อตรวจจับความผิดปกติในกิจกรรมภายในบัญชีของคุณ และจัดการบทบาทและสิทธิ์ของบัญชีของคุณ
  •   ตระหนักรู้ถึงการทำฟิชชิ่งและภัยจากมัลแวร์ด้วยการเฝ้าระวังอีเมล เว็บไซต์ และลิงก์ที่ไม่คุ้นเคย ซึ่งอาจใช้ประโยชน์จากข้อมูลที่อ่อนไหวของคุณด้วยการปลอมแปลงเป็น Zoho หรือบริการอื่นๆ ที่คุณไว้วางใจ

บทสรุป

ความปลอดภัยของข้อมูลของคุณเป็นสิทธิ์ของคุณและภารกิจที่ไม่มีวันจบของ Zoho เราจะยังคงทำงานหนักต่อไปเพื่อรักษาความปลอดภัยของข้อมูลของคุณ ดังเช่นที่เราได้ทำมาตลอด สำหรับคำถามเพิ่มเติมเกี่ยวกับหัวข้อนี้ โปรดอย่าลังเลที่จะติดต่อเราที่ security@zohocorp.com