พ.ย. 2561

EU General Data Protection Regulation (EU GDPR)

องค์ประกอบเล็ก ๆ ของ GDPR ที่มีความสำคัญมาก: รองรับการทำงานกับ USB แบบเข้ารหัสของ Kingston

จัดการภัยคุกคามและช่วยลดความเสี่ยงต่าง ๆ

มีหลากหลายรุ่นตามความต้องการทั้งสำรองใช้งานส่วนตัว สำหรับองค์กรหรือภาครัฐ

สื่อบันทึกข้อมูล USB แบบเข้ารหัสที่ได้มาตรฐาน 100%
ใช้งานง่าย ไม่ยุ่งยาก ไม่ต้องติดตั้งซอฟต์แวร์หรือไดร์เวอร์
ออกแบบมาให้ใช้งานได้อย่างรวดเร็วและมีประสิทธิภาพ

EU GDPR: ข้อสำคัญ 5 ประการที่ควรทราบ

การเข้ารหัส - มาตรฐานความปลอดภัยในการประมวลผลข้อมูล (Article 32, Security of processing)
แต่งตั้งหัวหน้าผู้ดูแลด้านการปกป้องข้อมูล (DPO)
กำหนดแผนงานด้านความปลอดภัยของระบบคอมพิวเตอร์
เอกสารบันทึกการดำเนินการที่ตรวจสอบได้
เข้าใจประเด็นด้านการให้ความยินยอม

มีโทษใดบ้างหากไม่ปฏิบัติตาม

Are there any penalties for non-compliance?

ภายใต้ GDPR การละเมิดหลักเกณฑ์ GDPR อาจถูกเรียกค่าปรับสูงสุด 4% ของรายได้ทั่วโลกต่อปีหรือประมาณ $21,952 ล้านเหรียญสหรัฐฯ (€20 ล้าน - พิจารณาตามกรณีที่สูงกว่า)
บริษัทอาจถูกเรียกค่าปรับถึง 2% เนื่องจากไม่มีระเบียนข้อมูล (มาตรา 28) ไม่แจ้งหน่วยงานกำกับดูแลและผู้เกี่ยวข้องกับข้อมูลกรณีการละเมิดหรือไม่ประเมินผลกระทบที่อาจเกิดขึ้น
หลักเกณฑ์เหล่านี้มีผลทั้งกับผู้กำกับดูแลและผู้ประมวลผลข้อมูล ซึ่งหมายถึงระบบ ‘Cloud’ จะไม่ได้รับการยกเว้นจากเงื่อนไขของ GDPR

ฉันต้องทราบอะไรบ้าง

จะส่งผลต่อธุรกิจของฉันอย่างไรบ้าง

บริษัทที่ทำงานกับข้อมูลที่เกี่ยวกับประชากรของ EU จะต้องปฏิบัติตาม
หลักเกณฑ์เหล่านี้มีผลทั้งกับผู้กำกับดูแลและผู้ประมวลผลข้อมูล ซึ่งหมายถึงระบบ ‘Cloud’ จะไม่ได้รับการยกเว้นจากเงื่อนไขของ GDPR
มีผลกับหน่วยงานทัง้หมด ไม่ว่าจะของ EU หรือไม่ก็ตามที่มีการประมวลผลข้อมูลประชากรของ EU
กำหนดให้หน่วยงานต่าง ๆ ที่ประมวลผลหรือเก็บรักษาข้อมูลระบุตัวบุคคลจะต้องกำหนดมาตรการด้านความปลอดภัยที่เหมาะสมเพื่อป้องกันข้อมูลส่วนบุคคลสูญหาย

ธุรกิจของฉันจะต้องทำอย่างไรเพื่อให้เป็นไปตามเงื่อนไข

ประเมินตนเอง - จะต้องมีการกำหนดหัวหน้าฝ่ายการปกป้องข้อมูลสำหรับบริษัทที่มีพนักงาน 250 คนขึ้นไป หน่วยงานต่าง ๆ จะต้องมีการพิจารณาทบทวนมาตรการการจัดการข้อมูลระบุตัวบุคคลภายในองค์กรสำหรับพนักงานและลูกค้าของตน
จัดทำแผนผังโครงสร้างผลิตภัณฑ์/อุปกรณ์ทั้งภายในและภายนอกที่ใช้เพื่อจัดเก็บข้อมูล - บันทึกประวัติและกำหนดให้มีการใช้อุปกรณ์ของบริษัทภายใต้นโยบายดูแลความปลอดภัยข้อมูลของคุณ รวมทั้งใช้การเข้ารหัสข้อมูลร่วมด้วย ส่วนประกอบต่าง ๆ เช่น ฮาร์ดไดร์ฟ SSD แฟลชไดร์ฟ USB คอมพิวเตอร์และอุปกรณ์พกพา
การวิเคราะห์รายการคงคลัง - ประเมินปริมาณข้อมูลส่วนบุคคลโดยรวม
ล้างข้อมูล - ทำลายข้อมูลจัดเก็บแยกที่ไม่จำเป็นที่สามารถระบุตัวบุคคล (PII)
ผู้กำกับดูแลข้อมูล - พิจารณาทบทวนปัจจัยเสี่ยงด้านความเป็นส่วนตัวและประเมินผลกระทบ
สัญญาข้อตกลง - ปกป้องธุรกิจของคุณในอนาคตโดยการปรับใช้นโยบายภาคบังคับต่าง ๆ หลังวันบังคับใช้เดือนพฤษภาคม 2018
การละเมิดข้อมูล - ข้อบังคับกำหนดให้มีการแจ้งเหตุภายใน 72 ชั่วโมง

แนวทางแก้ไข - กำหนดมาตรการป้องกันที่เหมาะสม มาตรฐานด้านเทคนิคและนโยบายต่าง ๆ เช่น การเข้ารหัสข้อมูลส่วนบุคคล/ข้อมูลระบุตัวบุคคล (PII) เพื่อลดโอกาสเสี่ยงในการละเมิดมาตรฐาน (รายละเอียดเพิ่มเติม - แนวทางที่เหมาะสมเกี่ยวกับมาตรฐาน USB แบบเข้ารหัส)

การเข้ารหัสข้อมูล

ไดร์ฟ USB เข้ารหัส Kingston และ IronKey เป็นหนึ่งในผลิตภัณฑ์ที่ใช้เพื่อกำหนดมาตรฐานในการเข้ารหัสข้อมูล
เลือกใช้ “มาตรการด้านเทคนิคและโครงสร้างที่เหมาะสมเพื่อให้แน่ใจว่าระดับความปลอดภัยสอดคล้องกับความเสี่ยง รวมทั้ง...มีการเข้ารหัสข้อมูลส่วนบุคคลต่าง ๆ อย่างครบถ้วน" (Article 32, Security of processing)
การติดต่อเสนอให้หน่วยงานต่าง ๆ เข้ารหัสข้อมูลที่อ่อนไหวทั้งระหว่างนำส่งและพักเก็บไว้
กำหนดให้หน่วยงานต่าง ๆ ที่ประมวลผลหรือเก็บรักษาข้อมูลระบุตัวบุคคลของผู้พำนักใน EU จะต้องกำหนดมาตรการด้านความปลอดภัยที่เหมาะสมเพื่อป้องกันข้อมูลส่วนบุคคลสูญหาย
หน่วยงานต่าง ๆ จะต้องกำหนดมาตรฐานการประมวลผลข้อมูลที่ดีขึ้นในสัญญาข้อตกลงกับผู้ให้บริการจากภายนอก

เพิ่มขอบเขตพื้นที่ (มีผลภายนอกประเทศ)

ถือได้ว่าเป็นการเปลี่ยนแปลงข้อบังคับด้านความเป็นส่วนตัวของข้อมูลครั้งใหญ่ที่สุด

เพิ่มพื้นที่บังคับใช้ GDPR กับบริษัททุกแห่งที่ประมวลผลข้อมูลส่วนบุคคลของผู้ที่อาศัยในสหภาพยุโรปไม่ว่าจะอยู่ในประเทศใดก็ตาม

การแจ้งกรณีละเมิด

การแจ้งกรณีละเมิดข้อมูลจะต้องมีขึ้นภายใน 72 ชั่วโมงหลังจากทราบเหตุละเมิดหากสามารถทำได้ ทั้งนี้ไม่ได้กำหนดว่าจะต้องแจ้งกับ DPA หากไม่คาดว่าอาจกระทบสิทธิ์หรือเสรีภาพของบุคคลใด ๆ

สิทธิ์ใหม่ของผู้บริโภค

ข้อดีสำหรับผู้บริโภค

Consumer Benefits

GDPR ให้การป้องกันที่เหนือกว่า โดยผู้เกี่ยวข้องสามารถไม่เปิดเผยตัวตนได้
ให้สิทธิ์แก่ผู้บริโภคในการเลือกไม่เปิดเผยข้อมูลใด ๆ
สิทธิ์ที่เพิ่มเติมสำหรับผู้บริโภค เช่น - สิทธิ์ในการถูกลืม’ - สิทธิ์ในการเคลื่อนย้ายข้อมูล’ โดยกำหนดเงื่อนไขสำหรับบริษัทในการใช้ข้อมูลของตน
บริษัทต่าง ๆ ที่ไม่เคารพสิทธิ์ของผู้บริโภคนี้จะถูกดำเนินคดีโดยผู้บริโภคหรือโดยหน่วยงานทางกฎหมาย

การให้ความยินยอม

เพิ่มความเข้มข้นของเงื่อนไขการให้ความยินยอม โดยบริษัทต่าง ๆ จะไม่สามารถใช้ข้อกำหนดและเงื่อนไขที่เข้าใจได้ยากหรือเป็นภาษากฎหมายที่ซับซ้อน โดยการขอความยินยอมจะต้องแจ้งในรูปแบบที่เข้าถึงและเข้าใจได้ง่าย พร้อมแจ้งวัตถุประสงค์ในการประมวลผลข้อมูลร่วมกับการขอความยินยอมดังกล่าว

การขอความยินยอมจะต้องมีความชัดเจนและแยกเฉพาะจากประเด็นอื่น ๆ และจัดทำในรูปแบบที่เข้าถึงและเข้าใจได้ง่าย ใช้ภาษาที่ชัดเจนไม่กำกวม จะต้องสามารถถอนความยินยอมในภายหลังได้โดยง่าย

สิทธิ์ที่จะถูกลืม

หรือสิทธิ์ในการลบข้อมูล สิทธิ์ที่จะถูกลืมเป็นของเจ้าของข้อมูลเพื่อแจ้งผู้กำกับดูแลข้อมูลให้ลบข้อมูลส่วนบุคคลของตน หยุดการเผยแพร่ข้อมูล และให้บุคคลภายนอกใด ๆ หยุดการประมวลผลข้อมูลดังกล่าว เงื่อนไขในการลบข้อมูลตามที่ระบุใน (มาตรา 17) ครอบคลุมข้อมูลที่ไม่อยู่ในวัตถุประสงค์การประมวลผลเดิมอีกต่อไป หรือข้อมูลที่ผู้ให้ข้อมูลเพิกถอนความยินยอม

สิทธิ์นี้กำหนดให้ผู้กำกับดูแลจะต้องเปรียบเทียบสิทธิ์ของเจ้าของข้อมูลกับ “ผลประโยชน์ต่อสาธารณะในการจัดหาข้อมูลดังกล่าว” เมื่อมีการพิจารณาการร้องขอข้อมูลดังกล่าว

ข้อมูลระบุตัวบุคคล (PII) คืออะไร

ข้อมูลระบุตัวบุคคล (PII) หมายถึงข้อมูลที่ถูกจัดเก็บเกี่ยวกับประชากรของ EU ที่หากเปิดเผยแล้วอาจทำให้เกิดความเสียหายต่อผู้ที่ถูกละเมิดข้อมูลของตน PII อาจได้แก่ประวัติการแพทย์ ข้อมูลทางขีววิทยา หมายเลขหนังสือเดินทางและข้อมูลทางการเงินที่ระบุตัวตนได้ (PIFI) เช่น หมายเลขประกันสังคมหรือบัตรเครดิต ข้อมูลที่อาจไม่ถือเป็น PII ได้แก่ ชื่อและนามสกุลอาจถือเป็น PII หากเชื่อมโยงกับข้อมูลอื่น ๆ

ทรัพยากรข้อมูลของหน่วยงานใด ๆ จะต้องอยู่ภายใต้มาตรการประเมินความเสี่ยง รวมทั้งการประเมินแนวทางการจัดเก็บและสืบค้นข้อมูล ระดับความเสี่ยงที่มีและการพิจารณาว่าฐานข้อมูลมี PII อยู่หรือไม่ ทรัพยากรข้อมูลอาจถูกจัดเก็บในฐานะข้อมูลแอพพลิเคชั่น ระบบไฟล์เซิร์ฟเวอร์หรืออุปกรณ์ของผู้ใช้ทั่วไป

What is Personal Identifiable Information (PII)?

เนื้อหาที่นำเสนอ

หลักเกณฑ์เดียวที่มีผลกับ EU ทั้งหมด - กฎหมายเดียวกันด้านการปกป้องข้อมูลของ EU ที่คาดว่าจะช่วยลดค่าใช้จ่ายได้ถึง €2,300 ล้านต่อปี
หัวหน้าผู้ดูแลด้านการปกป้องข้อมูลมีหน้าที่ปกป้องข้อมูล และเป็นผู้ได้รับมอบหมายโดยหน่วยงานกำกับดูแลและภาคธุรกิจที่ดูแลด้านการประมวลผลข้อมูลในภาพรวมในการดูแลความปลอดภัยของข้อมูลเหล่านี้
ศูนย์รวมในการจัดการทุกด้าน - ธุรกิจต่าง ๆ ติดต่อกับหน่วยงานกำกับดูแลเพียงหน่วยงานเดียว (ในประเทศแถบ EU ที่เปิดดำเนินการเป็นหลัก)
หลักเกณฑ์ของ EU สำหรับบริษัทที่ไม่อยู่ใน EU - บริษัทภายนอก EU จะต้องปรับใช้หลักเกณฑ์เดียวกันเมื่อมีการนเสนอบริการหรือผลิตภัณฑ์ หรือติดตามพฤติกรรมผู้บริโภคใน EU
หลักเกณฑ์ที่ส่งเสริมด้านนวัตกรรม - รับประกันระบบการปกป้องข้อมูลภายในผลิตภัณฑ์และบริการตั้งแต่เริ่มต้นการพัฒนา (การออกแบบที่เตรียมพร้อมมาด้านการปกป้องข้อมูล)
เทคนิคที่ให้ความสำคัญด้านความเป็นส่วนตัว เช่น การปิดบังข้อมูลเชื่อมโยงบุคคล (ขณะระบุฟิลด์ในระเบียนข้อมูลที่แทนที่โดยรหัสบ่งชี้เทียมหนึ่งรายการขึ้นไป) และการเข้ารหัส (เข้ารหัสข้อมูลเพื่อให้บุคคลที่ได้รับอนุญาตเท่านั้นที่สามารถอ่านได้)
การประเมินผลกระทบ - ธุรกิจต่าง ๆ จะต้องทำการประเมินผลกระทบเมื่อมีการประมวลผลข้อมูลที่อาจมีความเสี่ยงสูงกระทบต่อสิทธิ์และเสรีภาพของบุคคล
การเก็บรักษาระเบียนข้อมูล - SME ไม่มีข้อกำหนดให้ต้องเก็บระเบียนข้อมูลการประมวลผลต่าง ๆ ยกเว้นเป็นการประมวลผลที่เกิดขึ้นเป็นประจำหรืออาจเกิดความเสี่ยงต่อการกระทบสิทธิ์และเสรีภาพของบุคคลที่ข้อมูลของตนถูกประมวลผล

เพิ่มเติม

กำหนดเวลาที่สำคัญภายใต้ General Data Protection Regulation (GDPR)

31 มกราคม 2018 PCI-DSS v3.2 – เงื่อนไขการตรวจรับรองแบบปลายปัจจัย (8.3.1) - มีผลกับหน่วยงานระดับข้ามชาติ
30 มิถุนายน 2018 PCI-DSS v3.2 – Requirements on upgrading SSL Encryption (2.2.3, 2.3, 4.1) - เงื่อนไขในการอัพเกรดการเข้ารหัส SSL (2.2.3, 2.3, 4.1) - มีผลกับหน่วยงานระดับข้ามชาติ
เมษายน 2018 PSD2 – หลักเกณฑ์เกี่ยวกับบริการด้านการชำระเงิน (Payment Services Directive 2) - มีผลกับธุรกิจในยุโรป
พฤษภาคม 2018 GDPR – หลักเกณฑ์ทั่วไปด้านการปกป้องข้อมูล - มีผลกับหน่วยงานระดับข้ามชาติ

ข้อมูลเพิ่มเติม

เรียนรู้เพิ่มเติมเกี่ยวกับ ไดร์ฟ USB เข้ารหัส - Kingston Technology

Kingston IronKey D500S แฟลชไดร์ฟ USB เข้ารหัสเชิงฮาร์ดแวร์
ระบบรักษาความปลอดภัย Military-grade FIPS 140-3 Level 3 (รอการรับรอง)

เข้ารหัสเชิงฮาร์ดแวร์ XTS-AES 256 บิต

มีจำหน่ายในรุ่น Managed

USB 3.2 Gen 1

8GB, 16GB, 32GB, 64GB, 128GB, 256GB, 512GB

อ่านสูงสุด 310MB/s เขียนสูงสุด 250MB/s
เรียนรู้เพิ่มเติม ซื้อ
Kingston IronKey Vault Privacy 50 Series
ระบบรักษาความปลอดภัยมาตรฐานสำหรับองค์กรขนาดใหญ่

เข้ารหัสเชิงฮาร์ดแวร์ XTS-AES 256 บิต

มีจำหน่ายทั้ง USB Type-A และ Type-C

USB 3.2 Gen 1

8GB, 16GB, 32GB, 64GB, 128GB, 256GB, 512GB

อ่านสูงสุด 310MB/s เขียนสูงสุด 250MB/s
เรียนรู้เพิ่มเติม ซื้อ
แฟลชไดร์ฟ DT4000G2 Encrypted USB
เข้ารหัส XTS-AES 256 บิต

USB 3.1 รุ่น 1 (USB 3.0)

8GB, 16GB, 32GB, 64GB, 128GB

อ่านสูงสุด 250MB/s เขียนสูงสุด 85MB/s
เรียนรู้เพิ่มเติม ซื้อ
แฟลชไดร์ฟ USB แบบเข้ารหัส Kingston IronKey S1000
On-device cryptochip

USB 3.1 รุ่น 1 (USB 3.0)

4GB, 8GB, 16GB, 32GB, 64GB, 128GB

อ่านสูงสุด 230MB/s เขียนสูงสุด 240MB/s

ระบบรักษาความปลอดภัยด้วยรหัสผ่านที่ซับซ้อนหรือรหัสผ่านแบบ passphrase
เรียนรู้เพิ่มเติม ซื้อ
แฟลชไดร์ฟ USB เข้ารหัส Kingston IronKey D300S Encrypted
ระบบความปลอดภัยขั้นสูง

มีจำหน่ายในรุ่น Managed

4GB, 8GB, 16GB, 32GB, 64GB, 128GB

ความเร็วมาตรฐาน USB 3.1 Gen 1
เรียนรู้เพิ่มเติม ซื้อ
Kingston IronKey Keypad 200 Series
ระบบรักษาความปลอดภัย Military-grade FIPS 140-3 Level 3 (รอการรับรอง)

เข้ารหัสเชิงฮาร์ดแวร์ XTS-AES 256 บิต

มีจำหน่ายทั้ง USB Type-A และ Type-C

ทำงานเป็นอิสระจากอุปกรณ์/OS

8GB, 16GB, 32GB, 64GB, 128GB, 256GB, 512GB

อ่านสูงสุด 280MB/s เขียนสูงสุด 200MB/s
เรียนรู้เพิ่มเติม ซื้อ