แนวทางการป้องกันข้อมูลส่วนบุคคลบนระบบคลาวด์สาธารณะภายใต้กรอบ ISO 27018

วิวัฒนาการด้านระบบ IT ในประเทศไทยที่เห็นชัดเจนที่สุดในตอนนี้คือ การนำระบบ Cloud เข้ามาใช้งานในองค์กร ไม่ว่าจะเป็นการย้าย Data Center ไปยังระบบ Cloud หรือให้บริการเซอร์วิสผ่านระบบ Cloud เป็นต้น เหล่านี้ ทำให้ข้อมูลของพนักงานและข้อมูลของลูกค้ามีการเคลื่อนย้ายไปยังระบบ Cloud ยิ่งในปัจจุบัน ข้อมูลต่างๆ มีแนวโน้มที่จะไปอยู่บนคลาวด์หมด และคลาวด์ก็เป็นส่วนหนึ่งของบริการที่มีผู้ใช้งานจำนวนมาก ก็ยิ่งเป็นปัจจัยที่ทำให้เกิดความเสี่ยงต่อข้อมูลของผู้ใช้งานมากขึ้น ดังนั้น มาตรฐานและกรอบการดำเนินงานด้านความมั่นคงปลอดภัยสมัยใหม่ เช่น ISO 27018 ซึ่งเป็นมาตรฐานสากลด้านความเป็นส่วนตัวในระบบคลาวด์ ที่จะช่วยสร้างความเชื่อมั่นให้กับผู้ใช้งานในการเลือกใช้บริการคลาวด์ได้อย่างมั่นใจ มาตรฐานนี้เป็นข้อปฏิบัติสำหรับการปกป้องข้อมูลส่วนบุคคล (PII) บนระบบ Cloud สาธารณะ โดยมีการขยายความเพิ่มเติมจาก ISO 27002 และเพิ่มมาตรการควบคุมจาก ISO 29100 เข้าไป ยิ่งถ้าหากอยู่ในความประมาท ข้อมูลส่วนตัวก็อาจจะตกไปอยู่ในมือของผู้ไม่หวังดี ฉะนั้นเราควรจะรู้ว่าผู้ให้บริการคลาวด์มีมาตรการดูแลข้อมูลของเราเพียงใด ให้ปลอดภัย และสามารถเชื่อมั่นในบริการนั้นๆได้

คำสำคัญ : Cloud , ความปลอดภัย , ข้อมูลส่วนบุคคล , ความเชื่อมั่น

ภาพประกอบที่ 1–1 ISO 27018 [3]

ISO 27018 คือ เป็นมาตรฐานสากลสำหรับความเป็นส่วนตัวและการปกป้องข้อมูลที่จะใช้กับผู้ให้บริการคลาวด์ เช่น Dropbox Microsoft หรือ AWS ที่ต้องมีการประมวลผลข้อมูลส่วนบุคคลในนามของลูกค้าของบริษัท และให้พื้นฐานสำหรับคำถามหรือข้อกำหนดเกี่ยวกับสัญญาและกฎระเบียบทั่วไปสำหรับลูกค้า ถึงแม้ว่ามาตรฐานดังกล่าวจะฟังดูเป็นเรื่องเทคนิค แต่มาตรฐานดังกล่าวนี้มีความสำคัญและเป็นประโยชน์กับลูกค้าองค์กรของเราทั่วโลก โดยมาตรฐาน ISO/IEC 27018 นี้ พัฒนาขึ้นโดยองค์การระหว่างประเทศว่าด้วยการมาตรฐานสากล (ISO) เพื่อกำหนดแนวทางมาตรฐานระดับโลกในด้านการรักษาความเป็นส่วนตัวของข้อมูลส่วนบุคคลที่จัดเก็บในระบบคลาวด์

ภาพประกอบที่ 1–2 ISO [4]

ISO คืออะไร [1]

ISO ย่อมาจาก International Organization for Standardization คือ องค์การมาตรฐานสากล หรือองค์การระหว่างประเทศว่าด้วยการมาตรฐาน เป็นองค์กรที่ออกมาตรฐานต่างๆ ที่เกี่ยวข้องกับธุรกิจ และอุตสาหกรรม ส่วนมาตรฐานที่องค์กรนี้ออกมา ก็ใช้ชื่อนำหน้าว่า ISO เช่น ISO 9000 และ ISO 14000 ซึ่งก็เป็นมาตรฐานที่ว่าด้วยระบบบริหารคุณภาพ และระบบบริหารสิ่งแวดล้อม

ISO จะมีสมาชิกจากหลายๆ ประเทศทั่วโลก และสมาชิกก็แบ่งเป็นระดับๆ แตกต่างกันไปอีก ซึ่งเป็นองค์กรระหว่างประเทศ และมาตรฐานต่างๆ ที่ออกมาก็เป็นมาตรฐานระหว่างประเทศ (International Standard) นอกจากนี้มาตรฐาน ISO ยังสามารถประยุกต์ใช้ได้กับทุกองค์กร ไม่ว่าจะเป็นองค์กรชนิดใด

ขนาดใหญ่ หรือ เล็ก ผลิตสินค้าอะไร หรือ ให้บริการอะไร ตัวอย่างเช่น มาตรฐาน ISO-10646–1 เป็นมาตรฐานที่โปรแกรมในปัจจุบันได้เริ่มออกแบบให้สามารถใช้ได้หลายภาษา (multilingual) โดยใช้ มาตรฐานของตัวอักษร ของ ISO/IEC 10646 (Universal Multi-octet Coded Character Set — UCS) ซึ่งเป็นระบบสาหรับเก็บข้อมูลตัวอักษรสากลในระบบ 8 Bit (หรือ byte) ซึ่งอาจอยู่ในรูป 8 bit หลาย ๆ ตัวต่อกัน และรู้จักกันดีในชื่อ Unicode UCS หรือ UTF-8

ประโยชน์ของ มาตรฐาน ISO

1. องค์กร/บริษัท

• การจัดการองค์กร การบริหารงาน การผลิต ตลอดจนการให้บริการมีระบบ และมีประสิทธิภาพ
• ผลิตภัณฑ์และบริการ เป็นที่พึงพอใจของลูกค้าหรือผู้รับบริการและได้รับการยอมรับ
• ก่อให้เกิดภาพลักษณ์ที่ดีแก่องค์กร — ประหยัดค่าใช้จ่ายในระยะยาว

2. พนักงานภายในองค์กร/บริษัท

• มีการทางานเป็นระบบ
• เพิ่มประสิทธิภาพในการทางาน
• พนักงานมีจิตสานึกในเรื่องของคุณภาพมากขึ้น
• มีวินัยในการทางาน
• พัฒนาการทางานเป็นทีมหรือเป็นกลุ่มมีการประสานงานที่ดี และสามารถ พัฒนาตนเองตลอดจน เกิดทัศนคติที่ดีต่อการทางาน

3. ผู้ซื้อ/ผู้บริโภค

• มั่นใจในผลิตภัณฑ์และบริการ ว่ามีคุณภาพตามที่ต้องการ
• สะดวกประหยัดเวลาและค่าใช้จ่ายโดยไม่ต้องตรวจสอบคุณภาพซ้า
• ได้รับการคุ้มครองด้านคุณภาพความปลอดภัยและการใช้งาน

มาตรฐาน ISO 27018 ช่วยปกป้องความเป็นส่วนตัวอย่างไร [2]

การรับรองมาตรฐาน ISO 27018 นี้ จะช่วยปกป้องสิทธิด้านความเป็นส่วนตัวของลูกค้าองค์กรในหลายรูปแบบ ดังนี้

• สามารถควบคุมการใช้งานข้อมูลของตัวคุณเอง: ภายใต้มาตรฐานนี้ ผู้บริการจะใช้งานข้อมูลที่ระบุตัวบุคคลภายใต้เงื่อนไขที่ลูกค้ากาหนดไว้เท่านั้น
• สามารถรู้สถานะของข้อมูลของตนเอง: เราได้วางนโยบายและแนวทางที่โปร่งใส ชัดเจน ในด้านการคืน ถ่ายโอน และลบข้อมูลส่วนบุคคลที่คุณจัดเก็บไว้ในศูนย์ข้อมูลของบริษัท นอกจากจะแจ้งให้ทราบ
• ว่าข้อมูลจัดเก็บไว้ที่ใดแล้ว เรายังรายงานให้คุณทราบว่ามีบริษัทใดบ้างที่ต้องการเข้าถึงข้อมูลของคุณ ในกรณีที่มีการเข้าถึงข้อมูลที่ระบุตัวบุคคลได้ หรือระบบที่ใช้จัดเก็บหรือประมวลผลข้อมูลดังกล่าว จนนาไปสู่การสูญเสีย หลุดรั่ว หรือเปลี่ยนแปลงตัวข้อมูลดังกล่าว บริษัทจะมีการแจ้งให้คุณทราบด้วยเช่นกัน
• รักษาข้อมูลของคุณให้ปลอดภัย: มาตรฐาน ISO 27018 ครอบคลุมถึงมาตรการรักษาความปลอดภัยที่สาคัญหลายประการ โดยรวมถึงข้อบังคับในด้านการปฏิบัติงานกับข้อมูลที่ระบุตัวบุคคลได้ ทั้งในด้านการถ่ายโอนข้อมูลดังกล่าวบนเครือข่ายสาธารณะและอุปกรณ์พกพา และกระบวนการในการกู้คืนและซ่อมแซมข้อมูล นอกจากนี้ บุคคลที่ต้องทางานกับข้อมูลที่ระบุตัวบุคคลได้ทุกคน แม้แต่พนักงานของบริษัทเอง จะต้องตกลงรักษาข้อมูลเหล่านี้ไว้เป็นความลับเสมอ
• ข้อมูลของคุณจะไม่ถูกนาไปใช้เพื่อการโฆษณา: ลูกค้าองค์กรจานวนมากได้แสดงความกังวลถึงการที่ผู้ให้บริการคลาวด์บางรายนาเอาข้อมูลของพวกเขาไปใช้ในการโฆษณาโดยไม่ได้รับอนุญาต การรับรองมาตรฐานดังกล่าวนี้ถือเป็นการตอกย้าจุดยืนของบริษัทที่จะไม่ใช้ข้อมูลของลูกค้าองค์กรเพื่อการโฆษณา
• เราจะแจ้งให้คุณทราบหากหน่วยงานของรัฐขอเข้าถึงข้อมูลของคุณ: มาตรฐาน ISO 27018 กาหนดให้ผู้ให้บริการต้องชี้แจงให้ลูกค้าองค์กรทราบในกรณีที่หน่วยงานภาครัฐ เช่นเจ้าหน้าที่ตารวจ ต้องการเข้าถึงข้อมูลที่ระบุตัวบุคคลได้ นอกเสียจากว่าการชี้แจงดังกล่าวจะเป็นการมิชอบด้วยกฎหมาย ทั้งนี้ บริษัทได้ปฏิบัติตามหลักการนี้มาโดยตลอด และการรับรองมาตรฐานใหม่นี้ถือเป็นการตอกย้าความมุ่งมั่นของเราให้ชัดเจนยิ่งขึ้น

การให้บริการของ Cloud Provider มั่นใจได้จริงหรือ?

ในยุคนี้ บริการคลาวด์มาแรงและมีบทบาทต่อวิถีชีวิตของเราอย่างมาก ทุกๆ ท่านซึ่งทางาน หาข้อมูลความรู้ หาข้อมูลบันเทิง และอื่นๆ ผ่าน Internet ต้องเคยใช้บริการคลาวด์อย่างน้อย 1 บริการแน่นอน Cloud computing เป็นเทคโนโลยีมาแรงติดต่อกัน 6 ปี และยังคงความแรงต่อเนื่อง เพราะสามารถช่วยลดต้นทุน และช่วยย่นระยะเวลาในการสร้างระบบคอมพิวเตอร์ขององค์กรไม่ว่าจะเป็นองค์กรใหญ่หรือเล็ก

ภาพประกอบที่ 1–3 บริการ Cloud computing [5]

ไม่ว่าจะมองในมุมขององค์กรที่จัดทาคลาวด์ส่วนตัว (Private Cloud) หรือใช้บริการคลาวด์สารณะ (Public Cloud) จากผู้ให้บริการต่างๆ หรือมองในมุมของผู้ให้บริการคลาวด์ (Cloud Provider) ต่างจาเป็นต้องจัดทาบริการคลาวด์ให้มีเสถียรภาพสูงทั้งด้านประสิทธิภาพและความปลอดภัย เพื่อให้ผู้ใช้บริการมั่นใจในบริการคลาวด์ องค์กรระดับโลก อาทิ EuroCloud Star Audit (ECSA), Cloud Security Alliance (CSA), International Organization for Standardization (ISO) ได้จัดทามาตรฐานเพื่อให้ผู้ให้บริการคลาวด์ใช้เป็น

แนวทางในการบริหารจัดการ และเป็นเครื่องหมายยืนยันให้ผู้ใช้บริการเกิดความมั่นใจและไว้วางใจ โดยแต่ละหน่วยงานได้ออกมาตรฐานที่มีจุดเด่นต่างกันไป

สรุป

การสร้างความเชื่อมั่น ไว้ใจ หรือทรัสต์ ให้แก่ผู้รับบริการ ถือเป็นเรื่องสาคัญอย่างยิ่ง และสิ่งที่จะทาให้ลูกค้าเกิดความเชื่อมั่นได้ จะต้องประกอบไปด้วยซีเคียวริตี้ หรือความปลอดภัย ส่วนเรื่องของความเป็นส่วนตัวนั้น ควรที่จะรักษาข้อมูลของลูกค้าเอาไว้ ภายใต้กรอบกฎหมายที่กาหนดของแต่ละประเทศ และตรงกับมาตรฐาน ISO/IEC 27018 ซึ่งเป็นมาตรฐานสากลด้านความเป็นส่วนตัวในระบบคลาวด์ ที่จะช่วยสร้างความเชื่อมั่นให้กับผู้ใช้งานในการเลือกใช้บริการคลาวด์ได้อย่างมั่นใจ การรับรองมาตรฐานในครั้งนี้เป็นเพียงอีกหนึ่งในมาตรการที่ควรนามาใช้งานเพื่อปกป้องสิทธิด้านความปลอดภัยของข้อมูลและการปฏิบัติตามกฎข้อบังคับต่างๆ ให้กับผู้ใช้คลาวด์

บรรณานุกรม

[1] http://wachum.com/dewey/000/iso1.htm. ISO คืออะไร. วันที่สืบคืน 16 ธ.ค. 2560,

[2] https://news.microsoft.com/th-th/2015/02/18/privacy_standard_th/ . ไมโครซอฟท์นามาตรฐานนานาชาติแรกของโลกมาปฏิบัติอะไร. วันที่สืบคืน 16 ธ.ค. 2560,

[3] https://aws.amazon.com/compliance/iso-27018-faqs/ . ISO 27018 compliance. วันที่สืบคืน 16 ธ.ค. 2560,

[4] https://www.dropbox.com/th_TH/business/trust/compliance/certifications-compliance การปฏิบัติตามข้อกาหนดมาตรฐานและกฎระเบียบ. วันที่สืบคืน 16 ธ.ค. 2560,

[5] https://www.acinfotec.com/2015/12/03/cloud-provider/. การให้บริการของ Cloud Provider มั่นใจได้จริงหรือ? . วันที่สืบคืน 16 ธ.ค. 2560,