ข้ามไปเนื้อหา

แบบสอบถามความปลอดภัย & ความเป็นส่วนตัว

Sathorn โดย Quoral · อัปเดต กรกฎาคม 2026

เอกสารนี้ตอบแบบสอบถามความปลอดภัยไว้ล่วงหน้าเพื่อให้ฝ่ายจัดซื้อ/ความปลอดภัยของคุณตรวจได้เร็ว ทุกข้อตอบตามที่ระบบทำได้จริง — “มี” พร้อมหลักฐาน หรือ “ยังไม่มี” อย่างตรงไปตรงมา เราไม่กลบช่องว่างและไม่อ้างมาตรฐานที่เราไม่ได้ถือ

มี 14 ข้อ ยังไม่มี 10 ข้อ (บอกตรงๆ)

สรุปการไหลของข้อมูล & ผู้ประมวลผลย่อย

ทุกข้อความของลูกค้าถูกส่งไปประมวลผลที่ OpenAI ในสหรัฐฯ เพื่อสร้างคำตอบ (ไม่ถูกนำไปใช้ฝึกโมเดล) จัดเก็บบน Supabase รับ-ส่งผ่าน LINE/Meta และรับชำระเงินผ่าน Stripe — บทสนทนาเก็บไม่เกิน ~180 วันโดยค่าเริ่มต้น

ผู้ประมวลผลย่อย: OpenAI (สหรัฐฯ) · Supabase · LINE · Meta (Facebook) · Stripe · Google · รายละเอียด /trust/subprocessors

การควบคุมการเข้าถึง (Access Control)

มี
แบ่งบทบาทผู้ใช้ (RBAC)?
owner / manager / staff บังคับที่ระดับฐานข้อมูล (org_members + Row-Level Security)
ยังไม่มี
ระบบล็อกอินองค์กรรวมศูนย์ (SSO / SAML / SCIM)?
ยังไม่มี — ใช้อีเมล + คำเชิญแบบจำกัดโดเมนเป็นทางเลือกแทน
ยังไม่มี
บังคับยืนยันตัวตนสองชั้น (MFA)?
ล็อกอินด้วยอีเมลผ่าน Supabase Auth; ยังไม่บังคับ MFA

การเข้ารหัส (Encryption)

มี
เข้ารหัสข้อมูลขณะจัดเก็บ (at rest)?
คีย์ช่องทาง (LINE/Facebook token) เข้ารหัสก่อนบันทึกลงฐานข้อมูล; ฐานข้อมูลเข้ารหัสที่ผู้ให้บริการ (Supabase)
มี
เข้ารหัสข้อมูลระหว่างส่ง (in transit)?
HTTPS/TLS ทุกการเชื่อมต่อ และบังคับใช้ HTTPS เสมอ (HSTS)

การแยกข้อมูลผู้เช่า (Multi-tenant Isolation)

มี
แยกข้อมูลแต่ละร้านออกจากกัน?
Row-Level Security ระดับฐานข้อมูล + ชุดทดสอบข้ามร้านอัตโนมัติที่รันก่อน deploy ทุกครั้ง

บันทึกและการตรวจสอบ (Audit & Logging)

มี
บันทึกการกระทำสำคัญ (admin audit log) แบบร้านแก้ย้อนหลังไม่ได้?
audit_log บังคับ RLS (ร้าน/ผู้ใช้อ่านอย่างเดียว); การเข้าถึงโดยผู้ก่อตั้งถูกบันทึก; เจ้าของร้านเปิดดูและส่งออกได้เอง

ความเป็นส่วนตัว & PDPA

มี
กำหนดระยะเวลาเก็บข้อมูล (retention)?
บทสนทนาเก็บไม่เกิน ~180 วันโดยค่าเริ่มต้น
มี
รองรับสิทธิลบข้อมูล (right to erasure)?
เจ้าของส่งออก/ลบข้อมูลได้เอง; ลบร้านลบข้อมูลแบบลูกโซ่; รองรับคำขอ PDPA §30/§33
มี
มีข้อตกลงประมวลผลข้อมูล (DPA)?
DPA ตาม PDPA §40 มีให้ (ธุรกิจ = ผู้ควบคุมข้อมูล, Sathorn = ผู้ประมวลผล)

ผู้ประมวลผลย่อย & ที่ตั้งข้อมูล (Sub-processors & Residency)

มี
เปิดเผยรายชื่อผู้ประมวลผลย่อย?
เผยแพร่พร้อมแผนภาพการไหลของข้อมูลที่ /trust/subprocessors: OpenAI (สหรัฐฯ) / Supabase / LINE / Meta / Stripe / Google
ยังไม่มี
เก็บข้อมูลในประเทศ (data residency)?
ยังไม่มี — ทุกข้อความประมวลผลที่ OpenAI ในสหรัฐฯ (เปิดเผยตรงไปตรงมาใน DPA และนโยบายความเป็นส่วนตัว)

การพัฒนาที่ปลอดภัย (Secure Development)

มี
สแกนหา secret รั่วในโค้ด?
gitleaks ตั้งค่าให้ล้มทั้ง build หากพบ secret
มี
ชุดทดสอบอัตโนมัติก่อนขึ้นระบบ?
หลายร้อยการทดสอบรันก่อน deploy ทุกครั้ง
มี
ป้องกันสาขาหลัก + บังคับผ่านการตรวจ (branch protection)?
บังคับผ่าน PR และ CI เขียวครบก่อน merge เข้า main

การจัดการช่องโหว่ (Vulnerability Management)

มี
มีนโยบายเปิดรับการแจ้งช่องโหว่ (VDP)?
เผยแพร่ที่ /trust/vdp + /.well-known/security.txt พร้อม safe-harbor
ยังไม่มี
มีโปรแกรมจ่ายรางวัลช่องโหว่ (bug bounty) แบบมีเงิน?
ยังไม่มี — รับแจ้งทุกกรณีและให้เครดิตผู้แจ้งหากต้องการ
ยังไม่มี
มีการทดสอบเจาะระบบโดยบุคคลที่สาม (penetration test)?
ยังไม่มี — อยู่ในแผนเมื่อมีดีลที่ต้องการ

ใบรับรองมาตรฐาน (Compliance Certifications)

ยังไม่มี
SOC 2?
ยังไม่มี — เหมาะกับองค์กรขนาดใหญ่และมีค่าใช้จ่ายสูง เราชดเชยด้วยมาตรการที่ตรวจสอบได้จริง
ยังไม่มี
ISO 27001?
ยังไม่มี
ยังไม่มี
HIPAA?
ยังไม่มี — ระบบไม่ได้ออกแบบสำหรับข้อมูลสุขภาพที่อยู่ภายใต้การกำกับ
ยังไม่มี
PCI DSS?
เราไม่ได้ถือใบรับรอง PCI DSS เอง; การรับชำระด้วยบัตรทำผ่าน Stripe และเราไม่จัดเก็บข้อมูลบัตร

ความต่อเนื่องของบริการ (Availability)

ยังไม่มี
รับประกัน uptime 99.9% แบบสัญญา (SLA)?
ไม่รับประกันตัวเลข 99.9% แบบสัญญา — เผยแพร่ uptime ที่วัดได้จริงที่หน้าสถานะระบบแทน
มี
มีหน้าสถานะสาธารณะ (status page)?
/status — uptime ที่วัดได้จริงของเว็บ / ระบบ AI / การเชื่อมต่อ LINE

มีคำถามเพิ่มเติมด้านความปลอดภัย/การปฏิบัติตามข้อกำหนด? เขียนมาที่ security@quoral.co · ดูเพิ่ม ศูนย์ความน่าเชื่อถือ · ความปลอดภัย · DPA

ตั้งค่าคุกกี้

เลือกได้ว่าจะให้เก็บอะไรบ้าง เปลี่ยนใจภายหลังได้ทุกเมื่อจากลิงก์ “ตั้งค่าคุกกี้” ท้ายเว็บ

หมวดคุกกี้
จำเป็น (เปิดเสมอ)

จำเป็นต่อการเข้าสู่ระบบ จดจำการตั้งค่าที่คุณเลือกเอง และจดจำการเลือกคุกกี้นี้ — ไม่ใช่การติดตามตัวคุณ

จดจำว่าคุณรู้จักเราจากช่องทางไหน (เช่น ค้นหา / โซเชียล / ผู้ช่วย AI) เก็บไว้ในเครื่องคุณเอง (sathorn_attr) และแนบตอนสมัครเพื่อให้เรารู้ว่าช่องทางไหนได้ผล — ไม่ส่งให้เครือข่ายโฆษณา ไม่ขาย