ความปลอดภัยและการปฏิบัติตามกฎระเบียบ
ภาพรวม
ingfah ออกแบบโดยให้ความปลอดภัยเป็นอันดับแรก และรองรับข้อกำหนด Compliance ระดับองค์กร
ความปลอดภัยของโครงสร้างพื้นฐาน
| ด้าน | รายละเอียด |
|---|---|
| Cloud Provider | AWS ap-southeast-1 |
| ข้อมูลที่จัดเก็บ | เข้ารหัส AES-256 |
| ข้อมูลที่รับส่ง | บังคับใช้ TLS 1.2+ |
| การควบคุมการเข้าถึง | RBAC หลักการ Least Privilege |
| การจัดการช่องโหว่ | Scan สม่ำเสมอ Triage ตาม CVSS |
การจัดการข้อมูล
ingfah ประมวลผลเฉพาะข้อมูลที่จำเป็นต่อการให้บริการ:
- ข้อมูลที่จัดเก็บ: ชื่อ เบอร์โทรศัพท์ และ Transcript การสนทนา (เพื่อความต่อเนื่องของ Session)
- ข้อมูลที่ไม่จัดเก็บ: ข้อมูลบัตรเครดิต เลขบัญชีธนาคาร หรือเลขบัตรประชาชน
- การเก็บรักษา: ตั้งค่าได้ตามลูกค้าแต่ละราย ค่าเริ่มต้น: 90 วันสำหรับ Transcript
- การลบข้อมูล: ลบแบบ Cryptographic เมื่อได้รับการร้องขอหรือครบกำหนดเก็บรักษา
Authentication
- Request ทุกรายการต้องใช้ Bearer Token
- Webhook Endpoint ตรวจสอบ Signature ของ Provider (CXOne HMAC, Twilio Signature)
- Credentials ของลูกค้าจะไม่ถูกบันทึกใน Log
Compliance
โปรแกรมความปลอดภัยของ ingfah สอดคล้องกับ:
- ISO 27001
- CoBIT
- NIST Cybersecurity Framework
มีการประเมินความปลอดภัยโดยบุคคลที่สามเป็นประจำ สามารถขอเอกสารได้สำหรับลูกค้าระดับ Enterprise
การตอบสนองต่อเหตุการณ์
| ความรุนแรง | เวลาตอบสนอง |
|---|---|
| Critical | 1 ชั่วโมง |
| High | 4 ชั่วโมง |
| Medium | 24 ชั่วโมง |
แจ้งปัญหาด้านความปลอดภัย: security@ingfah.ai