คำชี้แจงเกี่ยวกับมาตรการเชิงเทคนิคและมาตรการเชิงองค์กร

ดูเวอร์ชันก่อนหน้าของนโยบายนี้และนโยบายอื่นๆ ในที่เก็บเอกสารนโยบาย(เปิดในแท็บหรือหน้าต่างใหม่)ของเรา

คำชี้แจงเกี่ยวกับมาตรการเชิงเทคนิคและมาตรการเชิงองค์กรนี้รวมอยู่ในการอ้างอิงในภาคผนวกการประมวลผลข้อมูลของเรา ซึ่งจะอธิบายมาตรฐานความปลอดภัยขั้นต่ำที่ Canva ใช้กับบริการ Canva ภายใต้ข้อตกลงบริการที่มีการสมัครสมาชิก(เปิดในแท็บหรือหน้าต่างใหม่) คำที่ขึ้นต้นด้วยตัวพิมพ์ใหญ่ที่ใช้ แต่ไม่ได้ให้คำจำกัดความไว้ในคำชี้แจงมาตรการเชิงเทคนิคและมาตรการเชิงองค์กรนี้มีความหมายในภาคผนวกการประมวลผลข้อมูล(เปิดในแท็บหรือหน้าต่างใหม่) รวมถึง “ข้อมูล” (จำกัดไว้เฉพาะข้อมูลลูกค้าองค์กรเพื่อความชัดเจน เว้นแต่จะระบุไว้เป็นอย่างอื่นในข้อตกลงของคุณกับเรา)

1. มาตรการการใช้นามแฝงและการเข้ารหัสข้อมูลส่วนตัว

Canva เข้ารหัสข้อมูลที่ส่งระหว่างลูกค้าและแอพพลิเคชั่น Canva ผ่านเครือข่ายสาธารณะที่ใช้ TLS 1.2 เป็นต้นไป ข้อมูลลูกค้าที่จัดเก็บไว้ในเซิร์ฟเวอร์ของ Canva จะได้รับการเข้ารหัสโดยใช้มาตรฐานการเข้ารหัส AES 256 หรือมาตรฐานอื่นที่ที่แข็งแกร่งกว่า


2. มาตรการเพื่อการรับประกันการรักษาความลับ ความสมบูรณ์ถูกต้อง ความพร้อมใช้งาน และความยืดหยุ่นของระบบประมวลผลและบริการอย่างต่อเนื่อง

Canva มีบุคลากรที่รับผิดชอบในการดูแลรักษาความปลอดภัยและความเป็นส่วนตัว โดยเราได้แต่งตั้งหัวหน้าฝ่ายความปลอดภัย ความเป็นส่วนตัว และข้อมูล พร้อมด้วยคณะกรรมการรักษาความปลอดภัยข้อมูล ซึ่งจะประชุมทุกไตรมาสเพื่อหารือเกี่ยวกับความเสี่ยงด้านความเป็นส่วนตัวและความปลอดภัยที่ได้รับการจัดการในทะเบียนความเสี่ยง


3. มาตรการเพื่อการรับประกันความสามารถในการคืนสภาพความพร้อมใช้งานและการเข้าถึงข้อมูลส่วนตัวได้ทันเวลาในกรณีที่เกิดเหตุการณ์ทางกายภาพหรือทางเทคนิค

เพื่อรองรับความพร้อมใช้งานของบริการ Canva ใช้การปรับขนาดอัตโนมัติของ Amazon Web Services (AWS), Availability Zone ของ AWS, การตรวจสอบแอพพลิเคชั่นและโครงสร้างพื้นฐานที่ครอบคลุม และทะเบียนรายชื่อศูนย์สนับสนุนด้านแอพพลิเคชั่นทุกวันตลอด 24 ชั่วโมง

Canva ดูแลรักษาการสำรองข้อมูลของที่จัดเก็บข้อมูล รวมถึงข้อมูลลูกค้า ซึ่งรองรับฟังก์ชั่นการทำงานหลักของแอพพลิเคชั่น Canva การสำรองข้อมูลจะจัดเก็บไว้ในตำแหน่งทางภูมิศาสตร์ที่แยกจากตำแหน่งที่จัดเก็บข้อมูลหลัก

Canva รักษาความสามารถในการตอบสนองต่อเหตุการณ์ด้านความปลอดภัย ซึ่งรวมถึงแผนการตอบสนองต่อเหตุการณ์ข้อมูลส่วนตัวที่บันทึกไว้สำหรับเหตุการณ์ด้านความปลอดภัยที่เกี่ยวข้องกับข้อมูล การดำเนินการนี้จะกำหนดวิธีที่เราจัดเก็บ ตอบสนอง ประเมิน สื่อสารเกี่ยวกับเหตุการณ์ ตลอดจนบทบาทและความรับผิดชอบของบุคลากร Canva และข้อกำหนดสำหรับการตรวจสอบหลังจากเหตุการณ์สงบลง


4. กระบวนการทดสอบ ประเมิน และวัดประสิทธิผลของมาตรการเชิงเทคนิคและมาตรการเชิงองค์กรอย่างสม่ำเสมอ เพื่อรับประกันถึงความปลอดภัยของการประมวลผล

Canva ว่าจ้างผู้ทดสอบความปลอดภัยจากภายนอกที่เชี่ยวชาญเพื่อทำการทดสอบการเจาะระบบแอพพลิเคชั่นและโครงสร้างพื้นฐานประจำปี นอกจากนี้ Canva ยังใช้บริการสแกนช่องโหว่ของแอพพลิเคชั่นบุคคลที่สามและใช้โปรแกรมตรวจหาช่องโหว่ความปลอดภัยสาธารณะอีกด้วย


5. มาตรการเพื่อการระบุตัวตนและการอนุญาตผู้ใช้

ในกรณีที่บัญชีของลูกค้ามีพาสเวิร์ดสำหรับการตรวจสอบสิทธิ์ Canva จะจัดเก็บพาสเวิร์ดแบบเพิ่มข้อมูลต่อท้ายพาสเวิร์ดและแบบแฮชโดยใช้ฟังก์ชั่นแฮชพาสเวิร์ดมาตรฐานอุตสาหกรรม Canva รองรับการรวมการลงชื่อเข้าใช้แบบครั้งเดียว (SSO) กับผู้ให้บริการด้านตัวตนของลูกค้าโดยใช้ Security Assertion Markup Language (SAML)


6. มาตรการเพื่อการปกป้องข้อมูลระหว่างการส่งข้อมูล

ตามข้อที่ 1 Canva เข้ารหัสข้อมูลที่ส่งผ่านเครือข่ายสาธารณะระหว่างลูกค้าและแอพพลิเคชั่น Canva ที่ใช้ TLS 1.2 เป็นต้นไป


7. มาตรการเพื่อการปกป้องข้อมูลระหว่างการจัดเก็บ

ตามข้อที่ 1 ข้อมูลลูกค้าที่จัดเก็บไว้ในเซิร์ฟเวอร์ของ Canva จะได้รับการเข้ารหัสโดยใช้มาตรฐานการเข้ารหัส AES 256 หรือมาตรฐานอื่นที่ที่แข็งแกร่งกว่า


8. มาตรการเพื่อการรับรองความปลอดภัยทางกายภาพของสถานที่ที่ประมวลผลข้อมูลส่วนตัว

บริการนี้มีการโฮสต์และจัดเก็บข้อมูลไว้ในศูนย์ข้อมูลที่ให้บริการโดย Amazon Web Services (AWS) ด้วยเหตุนี้ Canva จึงอาศัยการควบคุมทางกายภาพ สภาพแวดล้อม และโครงสร้างพื้นฐานของ AWS Canva จะตรวจสอบใบรับรองและการรับรองจากบุคคลที่สามที่ AWS มอบให้เป็นระยะๆ ซึ่งเกี่ยวข้องกับประสิทธิภาพของการควบคุมศูนย์ข้อมูล


9. มาตรการเพื่อการรับรองการบันทึกเหตุการณ์

Canva เก็บรักษาบันทึกการตรวจสอบความปลอดภัยของแอพพลิเคชั่นและโครงสร้างพื้นฐาน ทั้งนี้ บันทึกการตรวจสอบจะได้รับการวิเคราะห์เพื่อตรวจหากิจกรรมที่ผิดปกติ


10. มาตรการเพื่อการรับรองการกำหนดค่าระบบ รวมถึงการกำหนดค่าเริ่มต้น

Canva เสริมความแข็งแกร่งให้กับโครงสร้างพื้นฐานของเซิร์ฟเวอร์โดยใช้มาตรฐานเสริมความปลอดภัยตามมาตรฐานอุตสาหกรรมทั่วไป ทั้งนี้ Canva จะใช้แพทช์รักษาความปลอดภัยกับเซิร์ฟเวอร์ตามขั้นตอนการจัดการช่องโหว่


11. มาตรการเพื่อการกำกับดูแลและการจัดการด้านไอทีและความปลอดภัยด้านไอทีภายในองค์กร

การเข้าถึงข้อมูลลูกค้าของพนักงาน Canva จะขึ้นอยู่กับบทบาทและเป็นไปตามหลักการกำหนดสิทธิ์เข้าถึงตามความจำเป็น โดยพนักงานจะได้รับการเข้าถึงข้อมูลลูกค้าอย่างเหมาะสมเพื่อให้สามารถปฏิบัติหน้าที่ได้อย่างมีประสิทธิภาพ การเข้าถึงเครือข่ายระยะไกลไปที่ระบบ Canva จำเป็นต้องมีการสื่อสารที่เข้าพาสเวิร์ดโปรโตคอลที่ปลอดภัย และใช้การรับรองความถูกต้องแบบหลายปัจจัย Canva ได้กำหนดและจะรักษาขั้นตอนการจัดการพาสเวิร์ดสำหรับบุคลากรของตน ซึ่งได้รับการออกแบบมาเพื่อให้แน่ใจว่าพาสเวิร์ดนั้นเป็นข้อมูลส่วนตัวของแต่ละคน และไม่สามารถเข้าถึงได้โดยบุคคลที่ไม่ได้รับอนุญาต ซึ่งอย่างน้อยรวมถึง:

- การป้องกันพาสเวิร์ดแบบเข้ารหัสเมื่อจัดเก็บไว้ในระบบคอมพิวเตอร์หรือระหว่างการส่งผ่านเครือข่าย

- การเปลี่ยนพาสเวิร์ดเริ่มต้นจากผู้ให้บริการ และ

- การศึกษาเกี่ยวกับแนวทางปฏิบัติท่ดีในการใช้พาสเวิร์ด

การเข้าถึงโครงสร้างพื้นฐานสำหรับการใช้งานจริงของพนักงานนั้นจำเป็นต้องใช้การรับรองความถูกต้องแบบหลายปัจจัย (MFA)

พนักงานของ Canva จะต้องรักษาความลับและปฏิบัติตามนโยบายการจัดการข้อมูลส่วนตัว Canva กำหนดให้พนักงานต้องผ่านการฝึกอบรมเกี่ยวกับการตระหนักรู้ด้านความปลอดภัยของข้อมูล ทั้งในช่วงเริ่มต้นการจ้างงานและหลังจากนั้นทุกปี นอกจากนี้ Canva ยังกำหนดให้พนักงานต้องผ่านการฝึกอบรมด้านกฎหมายความเป็นส่วนตัวทุกปี (รวมถึงการปฏิบัติตาม COPPA และ FERPA ในส่วนที่เกี่ยวข้องกับข้อมูลนักเรียน)

Canva ปรับใช้ความเป็นส่วนตัวตามการดีไซน์ ซึ่งรวมถึงแต่ไม่จำกัดเพียงการประเมินผลกระทบต่อความเป็นส่วนตัว


12. มาตรการเพื่อการรับรอง/รับประกันกระบวนการและผลิตภัณฑ์

Canva จะรักษาใบรับรอง ISO 27001 ไว้ โดยผ่านการเฝ้าระวังจากภายนอกและการตรวจสอบการรับรองซ้ำเป็นระยะๆ เพื่อให้แน่ใจว่าระบบการจัดการความปลอดภัยของข้อมูล (ISMS) เป็นไปตามข้อกำหนดของมาตรฐานนี้

Canva จะรักษานโยบายความปลอดภัยของข้อมูลที่สอดคล้องตรงตามข้อกำหนดของมาตรฐาน ISO 27001, โปรแกรมการตรวจสอบภายในที่ประเมิน ISMS ของ Canva และการควบคุมความปลอดภัยของข้อมูล รวมถึงคณะกรรมการจัดการที่รับผิดชอบในการกำกับดูแลระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ของ Canva


13. มาตรการเพื่อการลดปริมาณข้อมูล

Canva อนุญาตให้ผู้เยี่ยมชมใช้ฟังก์ชั่นบางอย่างของแพลตฟอร์มได้โดยไม่เปิดเผยตัวตน และลดการใช้ข้อมูลที่ต้องการจากลูกค้าให้เหลือเพียงข้อมูลที่จำเป็นในการให้บริการที่ร้องขอเท่านั้น


14. มาตรการเพื่อการรับรองคุณภาพของข้อมูล

Canva รับประกันคุณภาพของข้อมูลผ่านการยืนยันอีเมลที่สมัครใช้งานแพลตฟอร์ม canva.com นอกจากนี้ Canva ยังอนุญาตให้ผู้ใช้สามารถอัพเดตข้อมูลในบัญชีของตนเอง หรือผ่านการร้องขอไปยังฟังก์ชั่นสนับสนุนลูกค้า กล่าวคือ แผนกส่งมอบความสุขให้สมาชิก ได้


15. มาตรการเพื่อการรับรองการเก็บรักษาข้อมูลแบบกำหนดระยะเวลา

Canva ดำเนินนโยบายการเก็บรักษาข้อมูลซึ่งกำหนดระยะเวลาการเก็บรักษาสำหรับข้อมูลประเภทต่างๆ ตามข้อกำหนดทางกฎหมาย, ผลประโยชน์อันชอบธรรมของ Canva และวัตถุประสงค์เพื่อการรวบรวม


16. มาตรการเพื่อการรับประกันความรับผิดชอบ

Canva ได้มอบหมายตัวแทนท้องถิ่นในยุโรปและสหราชอาณาจักร ตัวแทนท้องถิ่นของ Canva ในเขตเศรษฐกิจยุโรปคือ European Data Protection Office (EDPO) ซึ่งมีที่อยู่จดทะเบียนที่ Avenue Huart Hamoir 71, 1030 บรัสเซลส์ ประเทศเบลเยียม ตัวแทนในพื้นที่ของเราในสหราชอาณาจักรคือ European Data Protection Office UK (EDPO UK) ซึ่งที่อยู่ที่จดทะเบียนคือ 8 Northumberland Avenue, ลอนดอน WC2N 5BY, สหราชอาณาจักร การประเมินผลกระทบของการปกป้องข้อมูลจะดำเนินการสำหรับกิจกรรมการประมวลผลที่มีความเสี่ยงสูงและ Canva จะเก็บรักษาบันทึกของกิจกรรมการประมวลผลไว้


17. มาตรการเพื่อการอนุญาตให้เคลื่อนย้ายข้อมูลและการรับรองการลบข้อมูล

Canva มีกระบวนการอัตโนมัติในการลบข้อมูลลูกค้าตามคำขอภายใน 28 วัน และเปิดให้ใช้งานการดาวน์โหลดข้อมูลลูกค้าเพื่อมอบให้กับผู้ให้บริการรายอื่นด้วยเช่นกัน


นโยบายอื่นๆ