การทำความเข้าใจความรับผิดชอบร่วมกันกับ Zoho

การจัดการการระบุตัวตนและการเข้าถึง

เรามีโครงสร้างพื้นฐานสำหรับการจัดการบัญชีผู้ใช้ผ่านบริการการระบุตัวตนและการเข้าถึง (Identity and Access Management - IAM) โดยอำนวยความสะดวกให้กับ:

• การลงทะเบียนผู้ใช้ ตัวเลือกการยกเลิกการลงทะเบียน และข้อมูลจำเพาะเกี่ยวกับวิธีการใช้งาน
• ฟังก์ชันสำหรับการจัดการสิทธิ์การเข้าถึงของผู้ใช้ระบบคลาวด์ของคุณ
• เทคนิคการตรวจสอบสิทธิ์ที่เข้มงวด เช่น การตรวจสอบสิทธิ์หลายปัจจัยและการจำกัดที่อยู่ IP

คุณมีหน้าที่รับผิดชอบใน:

• การใช้งานการควบคุมการจัดการการเข้าถึงของผู้ใช้ที่มีประสิทธิภาพ
• การกำหนดค่ารหัสผ่านที่คาดเดายากตามนโยบายขององค์กรและการปกป้องรหัสผ่าน
• การเปิดใช้งานการตรวจสอบสิทธิ์หลายปัจจัยสำหรับผู้ใช้ในองค์กรของคุณ
• การดูแลบัญชีผู้ใช้และสิทธิ์—การกำหนดค่าบทบาทผู้ใช้ตามหลักการของสิทธิ์ขั้นต่ำสุด
• การกำหนดผู้ดูแลระบบของบัญชีขององค์กรและการมีกระบวนการที่เหมาะสมสำหรับการโอนความเป็นเจ้าของ การดำเนินการตามขั้นตอนที่จำเป็นเพื่อให้มั่นใจว่าองค์กรของคุณจะไม่สูญเสียการควบคุมบัญชีผู้ดูแลระบบ
• การตรวจสอบรายชื่อผู้ใช้ที่มีสิทธิ์เข้าถึงข้อมูลและการลบสิทธิ์สำหรับผู้ที่ไม่ควรมีสิทธิ์เป็นระยะ
• การตรวจสอบอุปกรณ์ที่เชื่อมโยงกับบัญชีผู้ใช้ในองค์กรและลบอุปกรณ์ที่ไม่ได้ใช้งานหรือไม่ได้รับอนุญาตเป็นประจำ
• การตรวจสอบบัญชีผู้ใช้ในองค์กรของคุณสำหรับการเข้าถึงหรือการใช้งานที่เป็นอันตราย
• การแจ้ง Zoho ให้ทราบถึงการใช้งานบัญชีในองค์กรของคุณโดยไม่ได้รับอนุญาต
• การให้การศึกษากับผู้ใช้ของคุณเกี่ยวกับความสำคัญของการจัดการรหัสผ่านที่ดี ความเสี่ยงเกี่ยวกับการใช้ข้อมูลประจำตัวซ้ำ การเข้าสู่ระบบโซเชียล และการโจมตีด้วยฟิชชิ่ง

การจัดการข้อมูล

เรามีแพลตฟอร์มสำหรับให้คุณจัดการข้อมูลของคุณพร้อมด้วย:

• คุณสมบัติการแบ่งปันข้อมูลสำหรับการควบคุมระดับผู้ดูแลระบบและผู้ใช้
• คุณสมบัติการตรวจสอบข้อมูลลูกค้าเพื่อให้เกิดความโปร่งใสในกิจกรรมที่สำคัญและเพื่อติดตามการเปลี่ยนแปลง
• การทำงานร่วมกันของข้อมูล—ตัวเลือกในการสำรองข้อมูลและการกำหนดค่าทั้งหมดเพื่อย้ายข้อมูลของคุณทั้งหมดหรือบางส่วนไปยังผู้ให้บริการ SaaS รายอื่น
• การเก็บรักษาและการกำจัดข้อมูล—เราจะเก็บข้อมูลไว้ในบัญชีของคุณตราบเท่าที่คุณเลือกใช้บริการของ Zoho เมื่อคุณยุติการใช้งานบัญชีผู้ใช้ Zoho ข้อมูลของคุณจะถูกลบจากฐานข้อมูลที่ใช้งานอยู่ในช่วงการล้างข้อมูลครั้งถัดไปซึ่งจะดำเนินการทุก 6 เดือน ข้อมูลที่ถูกลบออกจากฐานข้อมูลที่ใช้งานอยู่จะถูกลบออกจากระบบสำรองข้อมูลหลังผ่านไป 3 เดือน
• คุณสมบัติการจำกัดการเข้าถึงเพื่อจำกัดพนักงานไม่ให้เข้าถึงข้อมูลของลูกค้าและทำให้มั่นใจว่าพนักงานสามารถเข้าถึงได้เฉพาะเมื่อมีเหตุผลที่เฉพาะเจาะจงเท่านั้น

คุณเป็นผู้รับผิดชอบต่อ:

• การตรวจสอบวิเคราะห์สถานะในขณะประมวลผลข้อมูลที่อยู่ในหมวดหมู่พิเศษ (เช่น ข้อมูลส่วนตัว/ข้อมูลอ่อนไหว) โดยใช้การควบคุมที่เหมาะสมเพื่อให้เป็นไปตามข้อกำหนดของกฎหมายที่บังคับใช้
• การกำหนดค่าสิทธิ์การแบ่งปันและการดูที่เหมาะสม
• การตรวจสอบรายงานการตรวจสอบเป็นประจำเพื่อระบุกิจกรรมที่น่าสงสัย
• การรักษาข้อมูลผู้ติดต่อล่าสุดกับ Zoho
• การนำข้อมูลของคุณออกจากระบบเมื่อคุณหยุดใช้บริการของเรา มิฉะนั้นจะถูกลบออกอย่างถาวรโดยไม่มีการกู้คืนสำหรับขอบเขตใดๆ

การจัดการข้อมูลกับบุคคลอื่น

เราทำงานเพื่อให้การผนวกรวมและส่วนขยายแอปพลิเคชันของเรามีความปลอดภัยโดย:

• แอปพลิเคชัน Marketplace: การทดสอบการทำงาน การทดสอบความปลอดภัย และการทดสอบความเป็นส่วนตัวเมื่อมีการส่งแอปพลิเคชันมาถึงเรา นอกจากนั้นเรายังทำการตรวจสอบผลิตภัณฑ์และตรวจสอบเนื้อหาอีกด้วย
• ผู้ให้บริการประมวลผลย่อย: การประเมินการรักษาความปลอดภัยและแนวปฏิบัติด้านความเป็นส่วนตัวของผู้ให้บริการประมวลผลย่อยที่เราต้องการทำสัญญาด้วย เพื่อให้แน่ใจว่าสอดคล้องกับมาตรฐานความปลอดภัยและความเป็นส่วนตัวของข้อมูลของ Zoho จากนั้นเราจะปฏิบัติตามข้อตกลงการปกป้องข้อมูลที่เหมาะสมกับผู้ให้บริการเหล่านั้น
• เราตรวจสอบนโยบายความเป็นส่วนตัวและข้อกำหนดการบริการของผู้จำหน่ายของเรา และทำให้มั่นใจว่าการปฏิบัติงานของผู้จำหน่ายยึดตามนโยบายและข้อกำหนดดังกล่าว

เราคาดหวังให้คุณ:

• เปิดใช้งานหรือปิดใช้งานการผนวกรวมบุคคลที่สามหลังจากพิจารณาข้อมูลที่ใช้ร่วมกันในสภาพแวดล้อมบุคคลที่สามแล้ว คุณต้องตรวจสอบข้อกำหนดและนโยบายความเป็นส่วนตัวของบริการบุคคลที่สามเกี่ยวกับการจัดเก็บ การใช้ หรือการเปิดเผยข้อมูล
• ทำเครื่องหมายการกำหนดลักษณะของคุณว่าคุณต้องการแบ่งปันรายละเอียดของคุณกับผู้จำหน่ายทุกครั้งที่มีการติดตั้งส่วนขยายหรือไม่
• ประเมินความเหมาะสมของแอป Marketplace และความสมเหตุสมผลของสิทธิ์ที่ร้องขอก่อนการติดตั้ง
• แจ้งให้ Zoho ทราบถึงลักษณะการทำงานที่เป็นอันตรายที่พบในแอป Marketplace

สิทธิ์ของเจ้าของข้อมูล

เราเป็นผู้รับผิดชอบต่อ:

• การนำเสนอคุณสมบัติที่ช่วยให้ลูกค้าสามารถดูแลและปกป้องสิทธิ์ของลูกค้าของคุณได้
• แจ้งให้คุณทราบถึงคำขอจากลูกค้าของคุณเมื่อพวกเขาติดต่อเราโดยตรงเพื่อใช้สิทธิ์

คุณมีหน้าที่:

• ยอมรับและจัดการคำขอจากลูกค้าสำหรับการเข้าถึงข้อมูล การแก้ไข การลบ และการจำกัดในการประมวลผลข้อมูลส่วนตัว

การเข้ารหัส

เราปกป้องข้อมูลของคุณโดยใช้การเข้ารหัสในระหว่างการส่งและในขณะที่ไม่มีการใช้งานด้วยวิธีต่อไปนี้:

• ข้อมูลในระหว่างการส่ง: ข้อมูลลูกค้าที่ส่งไปยังเซิร์ฟเวอร์ของเราผ่านเครือข่ายสาธารณะจะได้รับการปกป้องโดยใช้โปรโตคอลการเข้ารหัสที่แข็งแกร่ง เราสั่งการให้การเชื่อมต่อทั้งหมดที่มายังเซิร์ฟเวอร์ของเราใช้การเข้ารหัสแบบ Transport Layer Security (TLS 1.2/1.3) ที่มี Cipher ที่มีประสิทธิภาพสำหรับการเชื่อมต่อทั้งหมด ซึ่งประกอบด้วยการเข้าถึงเว็บ, การเข้าถึง API, แอปมือถือของเรา และการเข้าถึง IMAP/POP/SMTP
• ข้อมูลระหว่างไม่มีการใช้งาน: ข้อมูลที่อ่อนไหวของลูกค้าจะถูกเข้ารหัสระหว่างไม่มีการใช้งานโดยใช้อัลกอริธึมมาตรฐานการเข้ารหัสขั้นสูง (Advanced Encryption Standard - AES) แบบ 256 บิต ข้อมูลที่ถูกเข้ารหัสเมื่อไม่มีการใช้งานจะแตกต่างกันไปตามบริการที่คุณสมัครใช้งาน เราเป็นเจ้าของและเก็บรักษาคีย์โดยใช้บริการจัดการคีย์ภายในองค์กร (Key Management Service - KMS) ของเรา

เราขอแนะนำให้คุณ:

• ระบุความต้องการเข้ารหัสของคุณ สำหรับข้อมูลระหว่างไม่มีการใช้งาน ในหลายกรณีขณะใช้บริการของเรา คุณอาจต้องรับผิดชอบในการกำหนดฟิลด์ที่จำเป็นต้องเข้ารหัส
• เมื่อข้อมูลจากระบบคลาวด์ของเราถูกดาวน์โหลดหรือส่งออกไปยังสภาพแวดล้อมของคุณหรือถูกซิงค์ภายในการผนวกรวมใน Zoho หรือกับการผนวกรวมบุคคลที่สามอื่นๆ คุณต้องตรวจสอบให้มั่นใจว่ามีการใช้การควบคุมการเข้ารหัสที่เกี่ยวข้อง ตัวอย่างเช่น เปิดใช้งานการเข้ารหัสดิสก์บนอุปกรณ์ของคุณ และใช้คุณสมบัติส่งออกที่เปิดใช้การปกป้องด้วยรหัสผ่าน ฯลฯ

การสำรองข้อมูล

เรามีระบบที่แข็งแกร่งเพื่อ:

• รักษาการสำรองข้อมูลระดับระบบที่เข้ารหัสด้วยอัลกอริธึม AES แบบ 256 บิตและจัดเก็บอย่างปลอดภัย ดำเนินการตรวจสอบความสมบูรณ์และความถูกต้องของการสำรองข้อมูลเต็มรูปแบบโดยอัตโนมัติ
• เปิดใช้งานคำขอสำหรับการกู้คืนข้อมูลและให้การเข้าถึงที่ปลอดภัยภายในระยะเวลาการเก็บรักษา นำเสนอคุณสมบัติในการส่งออกและการสำรองข้อมูลให้กับลูกค้า

จากตำแหน่งของคุณ คุณสามารถ:

• กำหนดเวลาสำรองข้อมูลของคุณ ส่งออกข้อมูลจากบริการ Zoho ที่เกี่ยวข้อง และจัดเก็บข้อมูลไว้ภายโครงสร้างพื้นฐานของคุณ หากจำเป็น คุณมีหน้าที่รับผิดชอบในการจัดเก็บในลักษณะที่ปลอดภัย

การจัดการเหตุการณ์

จากฝั่งของเรา เราจะ:

• รายงานเหตุการณ์การละเมิดทั้งหมดที่เราทราบและเหตุการณ์ที่เกี่ยวข้องกับคุณพร้อมรายละเอียดผลกระทบและการดำเนินการที่เหมาะสม และเราจะแจ้งให้ผู้ที่เกี่ยวข้องทราบถึงเหตุการณ์ที่เฉพาะเจาะจงกับผู้ใช้รายบุคคลหรือองค์กรผ่านทางอีเมลที่ลงทะเบียนไว้กับเรา
• ติดตามและปิดเหตุการณ์ดังกล่าว
• ใช้การควบคุมเพื่อป้องกันการเกิดซ้ำของสถานการณ์ที่คล้ายคลึงกัน
• หากมีคำขอ เราจะแสดงหลักฐานเพิ่มเติมที่เกี่ยวข้องกับเหตุการณ์ที่เกี่ยวข้องกับคุณ

เราคาดหวังให้คุณ:

• ดำเนินการตามที่ Zoho แนะนำหากเกิดการละเมิด
• ปฏิบัติตามข้อกำหนดในการเปิดเผยและการแจ้งเตือนการละเมิดข้อมูล เช่น การแจ้งผู้ใช้ของคุณและหน่วยงานการปกป้องข้อมูลเมื่อเกี่ยวข้อง
• รายงานเหตุการณ์ความปลอดภัยและความเป็นส่วนตัวที่คุณทราบไปยัง incidents@zohocorp.com

ความตระหนักรู้และการอบรม

เรามีหน้าที่รับผิดชอบอย่างเต็มที่ใน:

• การอบรมพนักงานของเราให้ตระหนักถึงความปลอดภัยและยึดมั่นในมาตรฐานการพัฒนาที่ปลอดภัย พนักงานที่จ้างใหม่จะเข้ารับการอบรมที่จำเป็นสำหรับความปลอดภัยและความเป็นส่วนตัว นอกเหนือจากการรับการอบรมความตระหนักรู้ด้านความปลอดภัยตามปกติผ่านทางอีเมลที่ให้ข้อมูล การนำเสนอ และแหล่งข้อมูลที่มีอยู่บนอินทราเน็ตของเรา
• การอบรมพนักงานของเราเกี่ยวกับการจัดการข้อมูลลูกค้าของบริการคลาวด์อย่างเหมาะสม

คุณมีหน้าที่รับผิดชอบในการอบรมผู้ใช้ระบบคลาวด์เกี่ยวกับ:

• มาตรฐานและขั้นตอนกระบวนการในการใช้บริการของเรา
• วิธีการจัดการความเสี่ยงที่เกี่ยวข้องกับบริการของเรา
• ความเสี่ยงในระบบทั่วไปและสภาพแวดล้อมเครือข่าย
• ข้อพิจารณาด้านกฎหมายและกฎระเบียบที่เกี่ยวข้อง

นโยบายและการปฏิบัติตามกฎ

เราปฏิบัติตามแนวทางต่างๆ เช่น:

• เรามีโปรแกรมการจัดการความเสี่ยงที่ครอบคลุมและนำการควบคุมไปใช้อย่างมีประสิทธิภาพ
• เราดำเนินงานภายใต้กฎหมายของเขตอำนาจศาลต่างๆ ที่เราดำเนินงาน
• เราแสดงหลักฐานการปฏิบัติตามกฎหมายที่บังคับใช้และเป็นไปตามข้อกำหนดตามสัญญาของเรา
• เราจะช่วยเหลือในการประเมิน DPIA ของลูกค้าของเราตามขอบเขตที่กฎหมายที่บังคับใช้อนุญาต

เราคาดหวังให้คุณ:

• ประเมินกฎระเบียบและกฎหมายที่เกี่ยวข้องกับคุณและตรวจสอบการปฏิบัติตามกฎระเบียบและมาตรฐานที่จำเป็นสำหรับธุรกิจของคุณ คุณสามารถขอข้อมูลเพิ่มเติมเพื่อใช้เป็นหลักฐานการปฏิบัติตามกฎระเบียบของเราได้
• ทำความเข้าใจนโยบายของเรา วิธีการประเมินนโยบายของเรา และวิธีที่เราประมวลผลข้อมูล
• ดำเนินการ DPIA ตามที่กำหนดโดยกฎหมายการปกป้องข้อมูลที่บังคับใช้กับองค์กรของคุณก่อน / ขณะประมวลผลข้อมูล
• ก่อนที่คุณจะประมวลผลข้อมูลส่วนตัว/ข้อมูลอ่อนไหว ให้ประเมินตามหลักเกณฑ์ที่ชอบด้วยกฎหมายของคุณ ในกรณีที่หลักเกณฑ์ที่ชอบด้วยกฎหมายของคุณเป็นการขอความยินยอม ให้ตรวจสอบว่าคุณได้รับความยินยอมจากลูกค้าของคุณแล้ว
• ประเมินความเหมาะสมของบริการบนระบบคลาวด์ของเราโดยอิงจากข้อมูลที่เรานำเสนอ และตรวจสอบให้มั่นใจว่าเพียงพอที่จะตอบสนองความต้องการด้านการปฏิบัติตามกฎระเบียบของคุณ
• ทำความเข้าใจโปรไฟล์ความเสี่ยงและระดับความอ่อนไหวของข้อมูลที่โฮสต์ในบริการ Zoho และใช้การควบคุมที่เหมาะสม

ความปลอดภัยของข้อมูล

• เรามีหน้าที่รับผิดชอบในการแยกข้อมูลของคุณที่จัดเก็บไว้กับเรา ข้อมูลการบริการลูกค้าแต่ละรายจะถูกแยกออกจากข้อมูลของลูกค้ารายอื่นๆ ในทางตรรกะ โดยใช้ชุดของโปรโตคอลความปลอดภัยในเฟรมเวิร์ก
• เรามีหน้าที่รับผิดชอบในการรักษาความลับข้อมูลของคุณที่จัดเก็บไว้กับเราเมื่อไม่ได้ใช้งาน ในการรับส่ง และระหว่างการประมวลผล
• เรามีหน้าที่รับผิดชอบในความสมบูรณ์ของข้อมูลของคุณและข้อมูลระบบ เช่น บันทึกและข้อมูลการกำหนดค่า
• เรามีหน้าที่รับผิดชอบในการติดตามและควบคุมข้อมูลของคุณ โดยไม่ว่าในเวลาใดก็ตาม จะสามารถทราบตำแหน่งทางกายภาพและการประมวลผลข้อมูลได้

ความพร้อมให้บริการ

• เรามีหน้าที่รับผิดชอบในการทำให้มั่นใจว่าบริการของเราพร้อมใช้งานตาม SLA ด้านเวลาทำงาน 99.9% ของเราโดยการจัดการความล้มเหลวของฮาร์ดแวร์/ซอฟต์แวร์และการคุกคาม เช่น การโจมตีเพื่อให้ปฏิเสธการบริการ
• ในฐานะลูกค้า คุณสามารถเยี่ยมชม zohostatus.com ได้ตลอดเวลาเพื่อดูสถานะไซต์ปัจจุบัน รวมถึงการหยุดชะงักที่ผ่านมา

ความต่อเนื่องทางธุรกิจ

• เรามีหน้าที่รับผิดชอบในการเตรียมแผนความต่อเนื่องของธุรกิจสำหรับการดำเนินหลักของเรา เช่น การสนับสนุนและการจัดการโครงสร้างพื้นฐาน
• เราจะทำให้มั่นใจว่าข้อมูลแอปพลิเคชันที่จัดเก็บบนพื้นที่จัดเก็บที่ทนทานจะถูกคัดลอกไปยังศูนย์ข้อมูลต่างๆ ข้อมูลใน DC หลักจะถูกคัดลอกใน DC สำรองแบบใกล้เคียงเรียลไทม์ และเราสามารถสลับไปยัง DC สำรองในกรณีที่เกิดภัยพิบัติใดๆ

การควบคุมเครือข่าย

เรามีหน้าที่รับผิดชอบในการดำเนินงานเครือข่ายการผลิตที่ปลอดภัย เราใช้ไฟร์วอลล์เพื่อป้องกันเครือข่ายของเราจากการเข้าถึงที่ไม่ได้รับอนุญาตและปริมาณการเข้าชมที่ไม่พึงประสงค์ การเข้าถึงเครือข่ายการผลิตมีการควบคุมอย่างเข้มงวด

โครงสร้างพื้นฐานของโฮสต์

เรามีหน้าที่รับผิดชอบในการปกป้องและรักษาความปลอดภัยโครงสร้างพื้นฐานของโฮสต์ เซิร์ฟเวอร์ทั้งหมดที่จัดเตรียมไว้ในเครือข่ายการผลิตได้รับการเสริมความแข็งแกร่งตามมาตรฐาน การจัดการแพทช์ระบบปฏิบัติการ การกำหนดค่าพื้นฐาน และเทคโนโลยีตรวจจับการบุกรุกโฮสต์ถูกนำมาใช้เพื่อรักษาโครงสร้างพื้นฐานให้ปลอดภัย

ความปลอดภัยทางกายภาพ

เรามีหน้าที่รับผิดชอบในทำให้มั่นใจว่าโครงสร้างพื้นฐานของเราได้รับการปกป้องจากการเข้าถึงทางกายภาพโดยไม่ได้รับอนุญาต การบุกรุก และภัยพิบัติ