ความปลอดภัยที่ Omise
Omise มุ่งมั่นที่จะปกป้องข้อมูลลูกค้าที่ละเอียดอ่อนด้วยแนวทางปฏิบัติด้านความปลอดภัยชั้นนำของอุตสาหกรรม การรับรองการปฏิบัติตามข้อกำหนด และการตรวจสอบความปลอดภัยอย่างต่อเนื่อง
ภาพรวม
ในฐานะผู้ให้บริการโครงสร้างพื้นฐานการชำระเงิน ความปลอดภัยเป็นพื้นฐานของทุกสิ่งที่เราทำ เราใช้การปกป้องหลายชั้นเพื่อให้แน่ใจว่าข้อมูลการชำระเงินของลูกค้าของคุณยังคงปลอดภัยตลอดวงจรชีวิตของธุรกรรม
จุดเด่นด้านความปลอดภัย:
- ได้รับการรับรอง PCI DSS ระดับ 1 (ระดับสูงสุด)
- ปฏิบัติตาม NIST Cybersecurity Framework
- การเข้ารหัส AES-256 สำหรับข้อมูลที่เก็บไว้
- TLS 1.2+ สำหรับข้อมูลที่ส่ง
- การตรวจสอบความปลอดภัย 24/7
- การทดสอบเจาะระบบโดยบุคคลที่สามเป็นประจำ
การปฏิบัติตามข้อกำหนดและมาตรฐาน
PCI DSS ระดับ 1
Omise รักษาการรับรอง PCI DSS ระดับ 1 ซึ่งเป็นระดับสูงสุดของการปฏิบัติตามข้อกำหนดอุตสาหกรรมบัตรชำระเงิน การรับรองนี้ต้องการ:
- การประเมินในสถานที่ประจำปีโดยผู้ประเมินความปลอดภัยที่ผ่านการรับรอง (QSA)
- การสแกนเครือข่ายรายไตรมาสโดยผู้จำหน่ายการสแกนที่ได้รับการอนุมัติ (ASV)
- การควบคุมความปลอดภัยที่ครอบคลุมในทุกระบบ
- การทดสอบเจาะระบบและการประเมินช่องโหว่เป็นประจำ
ตรวจสอบการรับรองของเรา:
เมื่อคุณใช้ Omise ข้อมูลบัตรจะไม่ผ่านเซิร์ฟเวอร์ของคุณ ซึ่งลดขอบเขตการปฏิบัติตาม PCI ของคุณอย่างมาก - โดยทั่วไปจะเป็น SAQ A (แบบสอบถามการประเมินตนเองที่ง่ายที่สุด)
NIST Cybersecurity Framework
เราปฏิบัติตาม NIST Cybersecurity Framework ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ:
- ระบุ - การจัดการสินทรัพย์และการประเมินความเสี่ยง
- ปกป้อง - การควบคุมการเข้าถึงและความปลอดภัยของข้อมูล
- ตรวจจับ - การตรวจสอบอย่างต่อเนื่องและการตรวจจับความผิดปกติ
- ตอบสนอง - ขั้นตอนการตอบสนองเหตุการณ์
- กู้คืน - การวางแผนความต่อเนื่องทางธุรกิจ
กฎระเบียบการปกป้องข้อมูล
Omise ปฏิบัติตามกฎหมายคุ้มครองข้อมูลในภูมิภาค:
| ภูมิภาค | กฎระเบียบ | ข้อกำหนด |
|---|---|---|
| ประเทศไทย | PDPA | การปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล |
| สิงคโปร์ | PDPA | การปฏิบัติตาม Personal Data Protection Act |
| ญี่ปุ่น | APPI | พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล |
| EU/EEA | GDPR | กฎระเบียบคุ้มครองข้อมูลทั่วไป (เมื่อมีผลบังคับใช้) |
แนวทางปฏิบัติการปกป้องข้อมูลของเรา:
- การลดข้อมูล - เราเก็บเฉพาะสิ่งที่จำเป็น
- การจำกัดวัตถุประสงค์ - ข้อมูลใช้เฉพาะตามวัตถุประสงค์ที่ระบุ
- นโยบายการเก็บรักษา - การลบอัตโนมัติหลังจากระยะเวลาที่กำหนด
- สิทธิ์ในการลบ - รองรับคำขอลบข้อมูล
- การแจ้งเตือนการละเมิด - การแจ้งเตือนทันทีหากเกิดเหตุการณ์
ความปลอดภัยของผลิตภัณฑ์
การยืนยันตัวตนหลายปัจจัย (MFA)
บัญชีแดชบอร์ดทั้งหมดรองรับ MFA:
- แอป TOTP - Google Authenticator, Authy ฯลฯ
- รหัส SMS - วิธีการยืนยันสำรอง
- Hardware keys - YubiKey และอุปกรณ์ที่คล้ายกัน (สำหรับองค์กร)
เราแนะนำอย่างยิ่งให้เปิดใช้งาน MFA สำหรับสมาชิกทีมทั้งหมดที่มีสิทธิ์เข้าถึงแด�ชบอร์ด ไปที่ การตั้งค่า > ความปลอดภัย > การยืนยันตัวตนสองปัจจัย
การควบคุมการเข้าถึงตามบทบาท (RBAC)
ควบคุมการเข้าถึงทีมด้วยสิทธิ์ที่ละเอียด:
| บทบาท | ความสามารถ |
|---|---|
| เจ้าของ | เข้าถึงเต็มที่ จัดการทีม การเรียกเก็บเงิน API keys |
| ผู้ดูแลระบบ | จัดการการตั้งค่า ดูข้อมูลทั้งหมด ประมวลผลการคืนเงิน |
| นักพัฒนา | เข้าถึง API keys ดูธุรกรรมทดสอบ |
| สนับสนุน | ดูธุรกรรม ความสามารถในการคืนเงินจำกัด |
| การเงิน | ดูรายงาน การชำระเงิน ไม่มีการเข้าถึง API |
| อ่านอย่างเดียว | การเข้าถึงแดชบอร์ดเพื่อดูอย่างเดียว |
การบันทึกการตรวจสอบ
กิจกรรมบัญชีทั้งหมดถูกบันทึก:
- ความพยายามเข้าสู่ระบบ (สำเร็จและล้มเหลว)
- การสร้างและลบ API key
- การเปลี่ยนแปลงการกำหนดค่า
- การดำเนินการคืนเงินและยกเลิก
- การเปลี่ยนแปลงสมาชิกทีม
- การแก้ไขสิทธิ์
เข้าถึงบันทึกการตรวจสอบใน แดชบอร์ด > การตั้งค่า > บันทึกกิจกรรม
ความปลอดภัยของข้อมูล
การเข้ารหัส
ข้อมูลที่เก็บไว้:
- การเข้ารหัส AES-256 สำหรับข้อมูลบัตรที่เก็บไว้ทั้งหมด
- การสำรองข้อมูลฐานข้อมูลที่เข้ารหัส
- Hardware Security Modules (HSM) สำหรับการจัดการคีย์
- นโยบายการหมุนเวียนคีย์
ข้อมูลที่ส่ง:
- TLS 1.2 ขั้นต่ำ (รองรับ TLS 1.3)
- Perfect Forward Secrecy (PFS)
- ชุดการเข้ารหัสที่แข็งแกร่งเท่านั้น
- การบังคับใช้ HSTS
ชุดการเข้ารหัส TLS ที่รองรับ:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
การสร้างโทเค็น
หมายเลขบัตรถูกแทนที่ด้วยโทเค็นที่สร้างแบบสุ่ม:
หมายเลขบัตร: 4242 4242 4242 4242
↓ การสร้างโทเค็น
โทเค็น: tokn_test_5xuy4w91xqz7d1w9u0t
ลักษณะของโทเค็น:
- ใช้ครั้งเดียวโดยค่าเริ่มต้น
- เฉพาะผู้ค้า (ไม่สามารถใช้ท��ี่อื่น)
- มีระยะเวลาจำกัด
- ไม่มีความสัมพันธ์ที่กลับคืนได้กับหมายเลขบัตร
- เก็บแยกจากข้อมูลบัตร
การแยกข้อมูลบัตร
มาตรการการแยก:
- เซกเมนต์เครือข่ายแยกสำหรับข้อมูลบัตร
- การเข้าถึงที่จำกัด (เฉพาะผู้ที่จำเป็นต้องรู้)
- ไม่มีการเข้าถึงฐานข้อมูลโดยตรง
- การเข้าถึงทั้งหมดผ่าน API
- การบันทึกที่ครอบคลุม
ความปลอดภัยโครงสร้างพื้นฐาน
ความปลอดภัยเครือข่าย
- ไฟร์วอลล์ - การปกป้องไฟร์วอลล์หลายชั้น
- การป้องกัน DDoS - การบรรเทาการโจมตีอัตโนมัติ
- WAF - Web Application Firewall สำหรับการปกป้อง API
- IDS/IPS - การตรวจจับและป้องกันการบุกรุก
- การแบ่งส่วนเครือข่าย - สภาพแวดล้อมการผลิตที่แยกออก
ความปลอดภัยเซิร์ฟเวอร์
- การแพตช์ความปลอดภัยระบบปฏิบัติการเป็นประจำ
- การกำหนดค่าเซิร์ฟเวอร์ที่เข้มงวด
- แพ็คเกจที่ติดตั้งขั้นต่ำ
- บริการที่ไม่จำเป็นถูกปิดใช้งาน
- การสแกนช่องโหว่เป็นประจำ
Mutual TLS (mTLS)
การสื่อสารระหว่างเซิร์ฟเวอร์ใช้ mutual TLS:
- ทั้งไคลเอนต์และเซิร์ฟเวอร์แสดงใบรับรอง
- ป้องกันการโจมตีแบบ man-in-the-middle
- ชั้นการยืนยันตัวตนเพิ่มเติม
- ใช้สำหรับการสื่อสารบริการภายใน
โปรแกรม Bug Bounty
เราร่วมมือกับ HackerOne สำหรับการวิจัยความปลอดภัยอย่างรับผิดชอบ:
ขอบเขต:
- api.omise.co
- vault.omise.co
- dashboard.omise.co
- cdn.omise.co
- Omise mobile SDK
รางวัล:
- ช่องโหว่ร้ายแรง: สูงสุด $5,000
- ความรุนแรงสูง: สูงสุด $2,000
- ความรุนแรงปานกลาง: สูงสุด $500
- ความรุนแรงต่ำ: สูงสุด $100
รายงานช่องโหว่: security@omise.co หรือผ่าน HackerOne
กรุณาอย่าเปิดเผยช่องโหว่ต่อสาธารณะจนกว่าเราจะมีเวลาแก้ไข เราตั้งเป้าหมายที่จะตอบกลับภายใน 24 ชั่วโมงและแก้ไขปัญหาร้ายแรงภายใน 7 วัน
ความปลอดภัยองค์กร
ความปลอดภัยของพนักงาน
- การตรวจสอบประวัติสำหรับพนักงานทุกคน
- การฝึกอบรมความปลอดภัยระหว่างการเริ่มงาน
- เซสชันการตระหนักรู้ด้านความปลอดภัยรายเดือน
- แคมเปญฟิชชิ่งจำลอง
- นโยบายโต๊ะสะอาดและหน้าจอ
การจัดการการเข้าถึง
- SSO (Single Sign-On) สำหรับทุกระบบ
- 2FA แบบ hardware สำหรับพนักงาน
- หลักการสิทธิ์ขั้นต่ำ
- การตรวจสอบการเข้าถึงเป็นประจำ
- การเพิกถอนทันทีเมื่อเลิกจ้าง
การตอบสนองเหตุการณ์
กระบวนการตอบสนอง
- ตรวจจับ - การตรวจสอบอัตโนมัติและการแจ้งเตือน
- คัดแยก - ประเมินความรุนแรงและผลกระทบ
- ควบคุม - จำกัดความเสียหายและป้องกันการแพร่กระจาย
- กำจัด - ลบภัยคุกคามออกจากระบบ
- กู้คืน - ฟื้นฟูการดำเนินงานปกติ
- หลังเหตุการณ์ - การวิเคราะห์และการปรับปรุง
การสื่อสาร
ในกรณีที่เกิดเหตุการณ์ด้านความปลอดภัยที่ส่งผลกระทบต่อข้อมูลของคุณ:
- การแจ้งเตือนภายใน 72 ชั่วโมง (หรือตามที่กฎหมายกำหนด)
- คำอธิบายที่ชัดเจ�นของสิ่งที่เกิดขึ้น
- ขั้นตอนที่เราดำเนินการเพื่อแก้ไข
- คำแนะนำสำหรับการตอบสนองของคุณ
- การอัปเดตอย่างต่อเนื่องจนกว่าจะแก้ไข
ทีมความปลอดภัย: security@omise.co
แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยสำหรับผู้ค้า
ปกป้อง API Keys ของคุณ
# แนะนำ: ใช้ตัวแปรสภาพแวดล้อม
export OMISE_SECRET_KEY="skey_live_..."
# ไม่แนะนำ: ฮาร์ดโค้ดในซอร์สโค้ด
const secretKey = "skey_live_..." // อย่าทำสิ่งนี้
เปิดใช้งานคุณสมบัติความปลอดภัยทั้งหมด
- เปิดใช้งาน MFA - สำหรับสมาชิกทีมทั้งหมด
- ใช้การเข้าถึงตามบทบาท - สิทธิ์ขั้นต่ำที่จำเป็น
- ตรวจสอบบันทึกการตรวจสอบ - ตรวจสอบความผิดปกติเป็นประจำ
- ใช้งาน Webhooks - ตรวจสอบเหตุการณ์ธุรกรรม
- เปิดใช้งาน 3D Secure - สำหรับธุรกรรมบัตร
รักษาความปลอดภัยการเชื่อมต่อของคุณ
- ใช้ HTTPS ทุกที่ (TLS 1.2+)
- ตรวจสอบลายเซ็น webhook
- ใช้การป้องกัน CSRF
- ใช้ Content Security Policy
- อัปเดตไลบรารีให้เป็นปัจจุบัน
- อย่าบันทึกข้อมูลที่ละเอียดอ่อน
FAQ
Omise เป็นไปตาม PCI หรือไม่?
ใช่ Omise ได้รับการรับรอง PCI DSS ระดับ 1 ซึ่งเป็นระดับสูงสุดของการปฏิบัติตาม PCI ซึ่งได้รับการตรวจสอบทุกปีโดยผู้ประเมินความปลอดภัยที่ผ่านการรับรอง (QSA)
ฉันต้องได้รับการรับรอง PCI เพื่อใช้ Omise หรือไม่?
เมื่อใช้ Omise.js หรือ mobile SDK ของเรา ข้อมูลบัตรจะไม่ผ่านเซิร์ฟเวอร์ของคุณ ซึ่งโดยทั่วไปจะลดขอบเขต PCI ของคุณเหลือ SAQ A (การประเมินตนเองที่ง่ายที่สุด) ปรึกษา QSA ของคุณสำหรับสถานการณ์เฉพาะของคุณ
ข้อมูลบัตรได้รับการปกป้องอย่างไร?
ข้อมูลบัตรถูกเข้ารหัสด้วย AES-256 เก็บไว้ในสภาพแวดล้อมที่แยกออก และได้รับการปกป้องโดยชั้นความปลอดภัยหลายชั้น หมาย�เลขบัตรถูกสร้างเป็นโทเค็นเพื่อให้ระบบของคุณไม่เห็นหมายเลขบัตรจริง
เกิดอะไรขึ้นถ้ามีการละเมิดความปลอดภัย?
เรามีขั้นตอนการตอบสนองเหตุการณ์ที่ครอบคลุม ผู้ที่ได้รับผลกระทบจะได้รับแจ้งภายใน 72 ชั่วโมงพร้อมรายละเอียดเกี่ยวกับเหตุการณ์และการดำเนินการที่แนะนำ
ฉันจะรายงานช่องโหว่ด้านความปลอดภัยได้อย่างไร?
ส่งอีเมลไปที่ security@omise.co หรือส่งผ่านโปรแกรม HackerOne ของเรา กรุณาให้เวลาเราแก้ไขปัญหาก่อนเปิดเผยต่อสาธารณะ
MFA จำเป็นหรือไม่?
MFA แนะนำอย่างยิ่งแต่ไม่บังคับโดยค่าเริ่มต้น องค์กรสามารถบังคับใช้ MFA สำหรับสมาชิกทีมทั้งหมดผ่านการตั้งค่าแดชบอร์ด
ทรัพยากรที่เกี่ยวข้อง
- การยืนยันตัวตน - ความปลอดภัยของ API key
- การป้องกันการฉ้อโกง - การป้องกันการฉ้อโกง
- 3D Secure - การยืนยันตัวตนบัตร
- ความปลอดภัย Webhook - การตรวจสอบ Webhook
มีคำถามเกี่ยวกับความปลอดภัยหรือไม่? ติดต่อ security@omise.co หรือติดต่อผู้จัดการบัญชีของคุณ