AuraSeaOS
ฉบับร่าง: เอกสารนี้เป็นฉบับร่าง อยู่ระหว่างการตรวจสอบโดยที่ปรึกษากฎหมาย หากมีข้อสงสัยติดต่อ hello@auraseaos.com

ความปลอดภัยและการคุ้มครองข้อมูล

ปรับปรุงล่าสุด: 1 พฤษภาคม 2569

การคุ้มครองข้อมูลธุรกิจของคุณเป็นรากฐานของ AuraSea OS หน้านี้อธิบายแนวปฏิบัติด้านความปลอดภัยและพันธสัญญาต่อเนื่องของเรา เราปรับปรุงหน้านี้เมื่อแนวปฏิบัติของเราพัฒนา

1. ข้อมูลของคุณอยู่ที่ไหน

ข้อมูลธุรกิจของลูกค้า — รวมถึงข้อมูลทั้งหมดที่คุณเชื่อมต่อหรือกรอกเข้าสู่ AuraSea OS — ถูกจัดเก็บใน Supabase ภูมิภาคสิงคโปร์ (Asia Pacific Southeast 1) ข้อมูลไม่ออกจากภูมิภาคนี้สำหรับการจัดเก็บหลัก การสำรองข้อมูลจัดการภายในภูมิภาคเดียวกันภายใต้การควบคุมการเก็บรักษาตามภูมิภาคของ Supabase

การโฮสต์เว็บไซต์การตลาด (auraseaos.com) ใช้ Vercel ซึ่งใช้เครือข่าย edge ทั่วโลกเพื่อการส่งมอบที่รวดเร็ว เว็บไซต์การตลาดไม่จัดเก็บข้อมูลธุรกิจของลูกค้า

2. การเข้ารหัส

ข้อมูลทั้งหมดที่ส่งระหว่างอุปกรณ์ของคุณกับเซิร์ฟเวอร์ของเราถูกเข้ารหัสระหว่างการส่งโดยใช้ TLS 1.2 ขึ้นไป ข้อมูลที่จัดเก็บในฐานข้อมูล Supabase ของเราถูกเข้ารหัสด้วย AES-256 การสำรองข้อมูลถูกเข้ารหัส รหัสผ่านไม่ได้ถูกจัดเก็บแบบ plaintext เราใช้การ hash ตามมาตรฐานอุตสาหกรรม (bcrypt หรือ argon2)

3. การควบคุมการเข้าถึง

การเข้าถึงระบบ production จำกัดเฉพาะสมาชิกทีม AuraSea ที่ได้รับอนุญาต ตามหลักการเฉพาะที่จำเป็นต้องรู้ เรากำหนดการยืนยันตัวตนหลายปัจจัย (MFA) บนบัญชี admin ทั้งหมด การเข้าถึง production ถูกบันทึกและตรวจสอบ เราไม่เข้าถึงบัญชีลูกค้ารายบุคคล เว้นแต่ในกรณีคำขอสนับสนุนที่ได้รับอนุญาต การบำรุงรักษาตามกำหนด หรือเพื่อตอบสนองต่อการฉ้อโกงหรือเหตุการณ์ความปลอดภัยที่ต้องสงสัย

4. การยืนยันตัวตน

บัญชีลูกค้ายืนยันตัวตนผ่านอีเมล + รหัสผ่าน หรือ LINE login เรารองรับการยืนยันตัวตนหลายปัจจัย (MFA) เราแนะนำให้เปิดใช้ MFA บนทุกบัญชี

5. การเชื่อมต่อบุคคลที่สาม

เมื่อคุณเชื่อมต่อระบบภายนอก (PMS, POS, channel manager) เข้ากับ AuraSea OS เราใช้ OAuth 2.0 หรือวิธีการยืนยันตัวตนที่ปลอดภัยอื่น ๆ ที่รองรับ เราขอเฉพาะสิทธิ์ขั้นต่ำที่จำเป็นในการให้บริการ คุณสามารถเพิกถอนการเข้าถึงได้ทุกเมื่อจากการตั้งค่าบัญชีของคุณ

6. การตอบสนองต่อเหตุการณ์

เราตรวจสอบระบบของเราเพื่อหาเหตุการณ์ความปลอดภัย หากเกิดการรั่วไหลของข้อมูลที่กระทบข้อมูลของคุณ เราจะแจ้งคุณภายใน 72 ชั่วโมงหลังจากค้นพบ ตามข้อกำหนดของ PDPA และรายงานต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ของประเทศไทยตามที่กำหนด

7. การลบข้อมูล

เมื่อคุณลบบัญชี ข้อมูลธุรกิจของคุณจะถูกลบออกจากระบบที่ใช้งานภายใน 30 วัน และจากการสำรองข้อมูลภายใน 90 วัน ข้อมูลบางส่วนอาจถูกเก็บไว้นานกว่านั้นตามที่กฎหมายไทยกำหนด (เช่น เอกสารการเงินเพื่อวัตถุประสงค์ทางภาษี) คุณสามารถขอลบเร็วกว่านั้นได้โดยติดต่อ hello@auraseaos.com

8. ความปลอดภัยของผู้ให้บริการ

ผู้ให้บริการของเรา (Vercel, Supabase, Resend, Omise, Google) มีการรับรองด้านความปลอดภัยของตนเอง รวมถึง SOC 2, ISO 27001 และการปฏิบัติตาม GDPR เราตรวจสอบสถานะความปลอดภัยของผู้ให้บริการประจำปี

9. การรายงานปัญหาความปลอดภัย

หากคุณค้นพบช่องโหว่ด้านความปลอดภัยหรือมีข้อกังวลด้านความปลอดภัย โปรดส่งอีเมลมาที่ security@auraseaos.com เรามุ่งมั่นที่จะตอบกลับภายใน 48 ชั่วโมง และจะไม่ดำเนินการทางกฎหมายต่อนักวิจัยด้านความปลอดภัยที่มีเจตนาดีและเปิดเผยปัญหาแก่เราอย่างมีความรับผิดชอบ

บริษัท ออร่า ซี จำกัด

เลขทะเบียนนิติบุคคล: 0305568007729

สำนักงานใหญ่: นครราชสีมา ประเทศไทย

hello@auraseaos.com