ความมั่นคงปลอดภัยไซเบอร์และ
การคุ้มครองข้อมูลส่วนบุคคล
ความท้าทาย และโอกาส
ความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลเป็นความท้าทายที่สำคัญสำหรับธุรกิจในยุคดิจิทัล เนื่องจากภัยคุกคามจากอาชญากรไซเบอร์ เช่น การโจมตีด้วยแรนซัมแวร์และวิศวกรรมสังคม ได้พัฒนาไปพร้อมกับเทคโนโลยีใหม่ ๆ อย่างปัญญาประดิษฐ์ (AI) ส่งผลให้เกิดภัยคุกคามใหม่ ๆ ที่องค์กรต้องรับมือ การละเมิดความมั่นคงปลอดภัยไซเบอร์อาจทำให้ระบบเกิดการหยุดชะงักหรือเกิดความเสียหายทางการเงินและชื่อเสียง นอกจากนี้ ยังมีผลกระทบต่อความเชื่อมั่นของลูกค้าและผู้มีส่วนได้เสียที่อาจลดลง
การรักษาความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลที่มีประสิทธิภาพช่วยสร้างความไว้วางใจจากผู้มีส่วนได้เสีย การใช้มาตรการที่เข้มงวดเพื่อป้องกันภัยคุกคาม และพัฒนาผลิตภัณฑ์และบริการที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล จะช่วยเสริมสร้างภาพลักษณ์ของเซ็นทรัล รีเทล ให้เป็นองค์กรที่มีความรับผิดชอบและสามารถปฏิบัติตามกฎหมายได้อย่างมีประสิทธิภาพ นอกจากนี้ ยังสามารถคุ้มครองข้อมูลส่วนบุคคลของลูกค้าและคู่ค้าจากภัยคุกคาม ซึ่งเป็นสิ่งที่ผู้มีส่วนได้เสียให้ความสำคัญอย่างมากในปัจจุบัน
เซ็นทรัล รีเทล ได้พัฒนามาตรการต่าง ๆ เช่น การใช้ระบบตรวจจับภัยคุกคามทางไซเบอร์ การใช้กระบวนการยืนยันตัวตน และเทคโนโลยีการเข้ารหัสขั้นสูง เพื่อเสริมสร้างความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล นอกจากนี้ ยังมีการฝึกอบรมพนักงานเพื่อเพิ่มความตระหนักด้านความมั่นคงปลอดภัยไซเบอร์ และส่งเสริมให้พนักงานสามารถระบุและรายงานภัยคุกคามได้อย่างมีประสิทธิภาพ การสร้างมาตรการการคุ้มครองข้อมูลส่วนบุคคลในผลิตภัณฑ์และบริการช่วยให้เซ็นทรัล รีเทล รักษาความไว้วางใจจากลูกค้าและปฏิบัติตามกฎระเบียบที่เกี่ยวข้องได้อย่างมีประสิทธิภาพ
แนวทางการบริหารจัดการ
โครงสร้างการกำกับดูแลความมั่นคงปลอดภัยไซเบอร์
เซ็นทรัล รีเทล จัดให้มีการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์ที่มีประสิทธิภาพ การใช้ระบบความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลในเซ็นทรัล รีเทล อย่างเหมาะสม รวมถึงมีโครงสร้างการกำกับดูแลความมั่นคงปลอดภัยไซเบอร์ โดยโครงสร้างนี้ประกอบไปด้วยคณะกรรมการนโยบายความเสี่ยง ประธานเจ้าหน้าที่บริหาร (CEO) ประธานเจ้าหน้าที่ความปลอดภัยทางข้อมูล (CISO) และคณะกรรมการเทคโนโลยีสารสนเทศ (ITC) โดยคณะกรรมการนโยบายความเสี่ยงนี้จะคอยดูแลภาพรวมของการจัดการความเสี่ยงองค์กร ซึ่งรวมถึงความเสี่ยงจากความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลในระดับคณะกรรมการบริษัท โดยมีนาย ญนน์ โภคทรัพย์ ซึ่งเป็นประธานเจ้าหน้าที่บริหารของเซ็นทรัล รีเทล และเป็นสมาชิกของคณะกรรมการบริษัทและคณะกรรมการนโยบายความเสี่ยง คอยดูแลและกำหนดกลยุทธ์ในการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล โดยประวัติของประธานกรรมการบริหาร จบการศึกษาด้านวิทยาศาสตร์คอมพิวเตอร์และวิศวกรรมซอฟต์แวร์ และมีประสบการณ์ในการทำงานเป็นผู้จัดการระบบมาก่อน สำหรับคณะกรรมการเทคโนโลยีสารสนเทศเป็นคณะกรรมการระดับผู้บริหาร โดยมีประธานเจ้าหน้าที่ความปลอดภัยทางข้อมูลเป็นผู้นำในการดำเนินมาตรการความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล ประธานเจ้าหน้าที่ความปลอดภัยทางข้อมูล คนปัจจุบันมีประสบการณ์มากมายในด้านความมั่นคงปลอดภัยไซเบอร์และเคยทำงานในตำแหน่งเดียวกันที่บริษัทค้าปลีกออนไลน์รายใหญ่รายอื่นมาก่อน สมาชิกรายอื่น ๆ ของคณะกรรมการเทคโนโลยีสารสนเทศยังมีผู้บริหารจากหน่วยธุรกิจต่าง ๆ ที่ดำเนินการมาตรการความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามแนวทางการบริหารความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลของเซ็นทรัล รีเทล ได้จริง ในขณะเดียวกันก็ดำเนินงานร่วมกับพนักงานภายในองค์กรที่มีความชำนาญการ ซึ่งเป็นสิ่งจำเป็นต่อการดำเนินการและสื่อสารมาตรการเหล่านี้ให้ทั่วถึงทั้งองค์กรและกลุ่มผู้มีส่วนได้เสีย ที่สำคัญ เซ็นทรัล รีเทล ได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) เพื่อให้คำแนะนำ กำกับดูแล และตรวจสอบการดำเนินการตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ของเซ็นทรัล รีเทล และแต่งตั้งคณะทำงานคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะ เพื่อการคุ้มครองข้อมูลส่วนบุคคลและการจัดการด้านความเป็นส่วนตัวของข้อมูลส่วนบุคคล
การจัดการความมั่นคงปลอดภัยไซเบอร์
เซ็นทรัล รีเทล ได้กำหนดพันธกิจและนโยบายด้านความปลอดภัยของเทคโนโลยีสารสนเทศ เพื่อแสดงความมุ่งมั่นในการสร้างความมั่นใจในระบบข้อมูลและบริการให้ได้ตามมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลลูกค้าและผู้มีส่วนได้เสีย โดยประยุกต์ใช้มาตรฐานสากลต่าง ๆ เช่น ISO 27001:2022 กรอบทำงานด้านความมั่นคงทางไซเบอร์จากสถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐ (NIST Cybersecurity Framework) และมาตรฐานของศูนย์ความปลอดภัยอินเทอร์เน็ต (Center for Internet Security Control: CIS) มาจัดทำเป็นนโยบายภายในและแนวทางให้พนักงานทุกคนและบุคลากรที่เกี่ยวข้องปฏิบัติตาม อันจะทำให้สามารถจัดการและคุ้มครองระบบสำคัญ และข้อมูลส่วนบุคคลได้อย่างปลอดภัย
เซ็นทรัล รีเทล ได้ปรับใช้แนวทางการบริหารจัดการความเสี่ยง เพื่อปกป้องและจัดการสภาพแวดล้อมของข้อมูลให้ทันกับสถานการณ์ โดยการบริหารสมดุลระหว่างการควบคุมและการใช้งานระบบ เซ็นทรัล รีเทล ได้จัดลำดับความสำคัญของข้อมูลที่มีความละเอียดอ่อนตามระดับความเสี่ยง ให้สามารถนำไปกำหนดระดับการป้องกันและมาตรการได้อย่างเหมาะสม มาตรการความมั่นคงทางไซเบอร์อื่น ๆ ที่ถูกนำมาใช้ยังรวมถึง การจัดการช่องโหว่ของเซิร์ฟเวอร์ การตรวจจับและตอบสนองต่อภัยคุกคามและการป้องกันไวรัสบนอุปกรณ์ของผู้ใช้ปลายทาง และการเข้ารหัสข้อมูล นอกจากนี้มาตรการรักษาความมั่นคงปลอดภัยไซเบอร์ยังควรถูกรวมเข้าเป็นส่วนหนึ่งของการจัดการทรัพยากรทางเทคโนโลยีสารสนเทศตลอดวงจรการใช้งาน ตั้งแต่กระบวนการจัดซื้อจัดหาไปจนถึงการทำลาย ในส่วนความปลอดภัยทางกายภาพ เซ็นทรัล รีเทล ได้ดำเนินการย้ายระบบสารสนเทศไปศูนย์คอมพิวเตอร์ที่มีมาตรฐานทั้งกระบวนการและระบบรักษาความมั่นคงปลอดภัยในระดับสากล เพื่อป้องกันความเสียหายทางกายภาพที่อาจเกิดขึ้นได้ ทั้งจากไฟไหม้ น้ำท่วม และเหตุฉุกเฉินอื่น ๆ รวมถึงการบุกรุกเข้าสู่ระบบโดยไม่ได้รับอนุญาต
กระบวนการความมั่นคงปลอดภัยไซเบอร์
การคุ้มครองข้อมูลส่วนบุคคล
เซ็นทรัล รีเทล คำนึงถึงความสำคัญในด้านการคุ้มครองข้อมูลส่วนบุคคล โดยมีการใช้มาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม (ทั้งในมาตรการเชิงองค์กรและมาตรการเชิงเทคนิค) เพื่อป้องกันการรั่วไหลของข้อมูลส่วนบุคคล และกำหนดให้มีระเบียบการใช้และจัดการข้อมูลส่วนบุคคลสำหรับใช้งานภายในองค์กรพนักงานและบุคลากรที่เกี่ยวข้องทุกคนจำเป็นต้องปฏิบัติตามเพื่อป้องกันการเกิดเหตุละเมิดและการใช้ข้อมูลส่วนบุคคลในทางที่ไม่เหมาะสม นอกจากนี้ เซ็นทรัล รีเทล ยังจัดให้มีการทำข้อตกลงกับคู่ค้าเพื่อควบคุมกิจกรรมต่าง ๆ ที่ดำเนินการโดยคู่ค้าและเพื่อให้แน่ใจว่าคู่ค้าปฏิบัติตามแนวทางการคุ้มครองข้อมูลส่วนบุคคลอย่างถูกต้อง โดยระเบียบการใช้และจัดการข้อมูลส่วนบุคคลนั้นครอบคลุมถึงเรื่องการเก็บบันทึกกิจกรรมการประมวลผลข้อมูล (Record of Processing Activity: ROPA) ระบบการจัดการความยินยอม การจัดการสิทธิของเจ้าของข้อมูลส่วนบุคคล ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล การดำเนินการเมื่อเกิดเหตุ การละเมิดข้อมูลส่วนบุคคล และอื่น ๆ ทั้งนี้เซ็นทรัล รีเทล ยังจัดให้มีการประกาศนโยบายความเป็นส่วนตัวต่อสาธารณชนผ่านทางเว็บไซต์และ ณ จุดติดต่อต่าง ๆ ที่มีการเก็บข้อมูลส่วนบุคคล ให้แน่ใจว่าจะมีความโปร่งใสในการจัดการข้อมูลส่วนบุคคล และเพื่อแจ้งให้ลูกค้าและผู้มีส่วนได้เสียทราบถึงสิทธิอันเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของตน โดยนโยบายความเป็นส่วนตัวดังกล่าวครอบคลุมหัวข้อต่าง ๆ ดังต่อไปนี้:
- ประเภทของข้อมูลส่วนบุคคล
- วัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
- หน่วยงานหรือบุคคลที่ เซ็นทรัล รีเทล อาจเปิดข้อมูลส่วนบุคคลให้
- การถ่ายโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
- ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
- มาตรการรักษาความมั่นคงปลอดภัย
- นโยบายการใช้งานคุกกี้
- สิทธิของเจ้าของข้อมูลส่วนบุคคล
- จุดบริการเพื่อติดต่อเกี่ยวกับการใช้สิทธิเกี่ยวกับข้อมูลส่วนบุคคล
ความยินยอม
เซ็นทรัล รีเทล จะประมวลผลข้อมูลส่วนบุคคลของลูกค้าและบุคคลที่เกี่ยวข้องโดยชอบด้วยกฎหมาย กรณีที่เซ็นทรัล รีเทล ไม่สามารถอาศัยฐานทางกฎหมายอื่น ๆ เพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ เซ็นทรัล รีเทล อาจดำเนินการขอความยินยอมจากลูกค้าและบุคคลที่เกี่ยวข้อง ยกตัวอย่างเช่น การประมวลผลข้อมูลส่วนบุคคลอ่อนไหว การประมวลผลข้อมูลเพื่อการวิเคราะห์หรือเพื่อดำเนินกิจกรรมทางการตลาด เป็นต้น
นอกจากนี้ เซ็นทรัล รีเทล ยังจัดให้มีช่องทางให้เจ้าของข้อมูลส่วนบุคคลสามารถยื่นเรื่องร้องเรียน สอบถามข้อมูล และใช้สิทธิเกี่ยวกับข้อมูลส่วนบุคคลของตน โดยจะจัดการแก้ไขเรื่องและข้อร้องเรียนที่ได้รับการยืนยันแล้วและดำเนินการทางวินัยต่อไป ในกรณีเจ้าของข้อมูลส่วนบุคคลมีคำถาม ข้อกังวล หรือประสงค์ที่จะใช้สิทธิเกี่ยวกับข้อมูลส่วนบุคคล สามารถติดต่อมายังเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของเซ็นทรัล รีเทล ได้ที่:
บริษัท เซ็นทรัล รีเทล คอร์ปอเรชั่น จำกัด (มหาชน)
Central Retail Corporate Marketing
อาคารเซ็นทรัลชิดลม ชั้น 8 เลขที่ 22 ซอยสมคิด ถนนเพลินจิต ลุมพินี ปทุมวัน กรุงเทพฯ 10330โทร: +66 2 650 3600
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
สำนักงานคุ้มครองข้อมูล กลุ่มเซ็นทรัล 22 ซอยสมคิด ถนนเพลินจิต ลุมพินี ปทุมวัน กรุงเทพฯ 10330อีเมล: dpo@central.co.th
มาตรการรักษาความมั่นคงปลอดภัยสำหรับการคุ้มครองข้อมูลส่วนบุคคล
เซ็นทรัล รีเทล ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคล โดยจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่มีประสิทธิภาพ ซึ่งแบ่งออกเป็นมาตรการเชิงเทคนิค มาตรการเชิงองค์กร และมาตรการทางกายภาพ เพื่อป้องกันมิให้เกิดการสูญหาย การเข้าถึง การลบหรือการทำลาย การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบด้วยกฎหมาย
เซ็นทรัล รีเทล ทบทวนมาตรการรักษาความมั่นคงปลอดภัยอย่างต่อเนื่อง และติดตามการเปลี่ยนแปลงของเทคโนโลยี เพื่อให้มีมาตรการในการรักษาความมั่นคงปลอดภัยที่มีประสิทธิภาพ โดยพิจารณาจากลักษณะ ขอบเขต บริบทและวัตถุประสงค์ รวมถึงระดับความเสี่ยงที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล
ทางเซ็นทรัล รีเทล มีการทดสอบระบบความมั่นคงทางไซเบอร์อย่างต่อเนื่อง โดยการดำเนินการวิเคราะห์ช่องโหว่ภายในและภายนอก รวมถึงการทดสอบการเจาะระบบ (ซึ่งรวมถึงการจำลองการโจมตีของแฮ็กเกอร์) เพื่อตรวจสอบและป้องกันการโจมตีทางไซเบอร์อย่างแข็งขัน การทดสอบเหล่านี้ดำเนินการโดยผู้เชี่ยวชาญที่ได้รับการยอมรับเป็นประจำทุกปี เพื่อช่วยระบุจุดอ่อนของระบบ นอกเหนือจากแผนความต่อเนื่องทางธุรกิจ เซ็นทรัล รีเทล ยังดำเนินการตรวจสอบการปฏิบัติตามกฎระเบียบด้านความเป็นส่วนตัวของข้อมูลอย่างสม่ำเสมอด้วย
เพื่อลดความเสี่ยงต่อความมั่นคงปลอดภัยไซเบอร์และความเป็นส่วนตัวของข้อมูลส่วนบุคคล เซ็นทรัล รีเทล ได้รวมความเสี่ยงเหล่านี้เป็นส่วนหนึ่งในกระบวนการบริหารความเสี่ยงองค์กรของกลุ่มเซ็นทรัล รีเทล ซึ่งถูกจัดขึ้นในทุกไตรมาส เพื่อให้แน่ใจว่าจะมีการตรวจสอบติดตามและจัดการความเสี่ยงเหล่านี้ นอกจากนี้ เซ็นทรัล รีเทล ยังจัดให้มีการการฝึกอบรมในหัวข้อด้านความมั่นคงทางไซเบอร์ เช่น ความปลอดภัยทางกายภาพ การโจมตีแบบฟิชชิ่ง และการป้องกันมัลแวร์ทางอีเมล แก่ผู้บริหารและพนักงานอยู่เป็นประจำ และจัดให้มีการคัดเลือกตัวแทนจากแต่ละหน่วยธุรกิจที่ทำหน้าที่ที่เกี่ยวข้องกับการจัดการข้อมูลส่วนบุคคล เพื่อเข้ารับการฝึกอบรมเกี่ยวกับหลักการในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) และการจัดการข้อมูลส่วนบุคคลอย่างเหมาะสม เพื่อให้พนักงานสามารถระบุและแจ้งเหตุการณ์เสี่ยงที่เกิดขึ้นหรืออาจเกิดขึ้นได้เมื่อเกิดการละเมิด ทำให้มีการรายงานต่อผู้มีอำนาจที่เกี่ยวข้องและดำเนินการแก้ไขเหตุการณ์อย่างเหมาะสม นอกจากนี้ยังมีการจัดให้มีการดำเนินการทางวินัยหากมีการกระทำผิดหรือการละเมิดโดยพนักงาน นอกจากนี้ความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลยังถูกพิจารณาให้เป็นส่วนหนึ่งของการประเมินผลการปฏิบัติงานประจำปีของพนักงานที่เกี่ยวข้องเพื่อให้มั่นใจว่าจะมีการพัฒนาปรับปรุงระบบการทำงานทั้งระบบอย่างต่อเนื่อง
นโยบายและพันธกิจด้านความปลอดภัยของเทคโนโลยีสารสนเทศ
นโยบายความเป็นส่วนตัว
โครงการสำคัญ
โครงการการฝึกอบรมความรู้พื้นฐานเกี่ยวกับ PDPA และการจัดการสิทธิการเข้าถึงข้อมูล
การฝึกอบรมความรู้พื้นฐานเกี่ยวกับ PDPA และการจัดการสิทธิการเข้าถึงข้อมูล มีวัตถุประสงค์เพื่อเสริมสร้างความเข้าใจในหลักการสำคัญและความรู้เกี่ยวกับการคุ้มครองข้อมูล นโยบายของเซ็นทรัล รีเทล หรือแนวปฏิบัติที่ดี โดยเฉพาะอย่างยิ่งสำหรับพนักงานที่เกี่ยวข้องซึ่งเป็นตัวแทนของทุกหน่วยธุรกิจในเซ็นทรัล รีเทล (ตัวแทน PDPA) หัวข้อการฝึกอบรมครอบคลุมหลักการพื้นฐานในการคุ้มครองข้อมูล หน้าที่ของผู้ควบคุมข้อมูล ผู้ประมวลผลข้อมูล และเจ้าหน้าที่คุ้มครองข้อมูล บทบาทและหน้าที่ของตัวแทน PDPA รวมถึงบทลงโทษตาม PDPA หนึ่งในหัวข้อสำคัญของการฝึกอบรมคือสิทธิของเจ้าของข้อมูลและกระบวนการจัดการคำขอใช้สิทธิของเจ้าของข้อมูล เพื่อให้แน่ใจว่าพนักงานเข้าใจวิธีการจัดการคำขอใช้สิทธิของเจ้าของข้อมูลอย่างครบถ้วนและเป็นไปตามกฎหมาย PDPA อย่างเคร่งครัด การฝึกอบรมนี้ถือเป็นมาตรการความปลอดภัยในองค์กรที่จำเป็นตามกฎหมาย ซึ่งมีบทบาทสำคัญในการลดความเสี่ยงจากการไม่ปฏิบัติตามกฎหมายและการถูกดำเนินคดี อีกทั้งยังแสดงถึงความมุ่งมั่นของเซ็นทรัล รีเทล ในการปกป้องข้อมูลของทั้งลูกค้าและพนักงาน
ผลการดำเนินงาน ปี 2567
จำนวนลูกค้า และพนักงานทั้งหมดที่ได้รับผลกระทบจากการละเมิดข้อมูลส่วนบุคคล
เรื่องราวของเรา
คณะกรรมการบริษัท และคณะกรรมการบรรษัทภิบาลและการพัฒนาเพื่อความยั่งยืน ลงพื้นที่จังหวัดเชียงใหม่ เยี่ยมชมธุรกิจในเครือ และโครงการด้านความยั่งยืน
การบริหารจัดการตามหลัก GRC (Governance, Risk, and Compliance)
