Security Overview ภาพรวมด้านความปลอดภัย

1. Security Program 1. โปรแกรมความปลอดภัย

Versotis maintains a risk-based information security program with defined governance ownership, control accountability, and periodic review cycles. Security responsibilities are integrated into operational, engineering, and delivery processes rather than treated as a separate compliance layer. เวอร์โซทิส ดำรงโปรแกรมความปลอดภัยของข้อมูลตามความเสี่ยง พร้อมด้วยความเป็นเจ้าของด้านธรรมาภิบาลที่กำหนดไว้ ความรับผิดชอบในการควบคุม และวงจรการทบทวนเป็นระยะ ความรับผิดชอบด้านความปลอดภัยถูกรวมเข้ากับกระบวนการปฏิบัติการ วิศวกรรม และการส่งมอบ แทนที่จะถูกปฏิบัติเป็นชั้นการปฏิบัติตามข้อกำหนดแยกต่างหาก

The security program is overseen by designated security leadership and reviewed at least annually, or more frequently when triggered by material changes in the threat landscape, legal requirements, or business operations. โปรแกรมความปลอดภัยถูกกำกับดูแลโดยผู้นำด้านความปลอดภัยที่ได้รับมอบหมายและถูกทบทวนอย่างน้อยปีละครั้ง หรือบ่อยขึ้นเมื่อถูกกระตุ้นโดยการเปลี่ยนแปลงที่มีนัยสำคัญในภูมิทัศน์ภัยคุกคาม ข้อกำหนดทางกฎหมาย หรือการดำเนินธุรกิจ

2. Identity and Access 2. ข้อมูลประจำตัวและการเข้าถึง

• Least-privilege and role-based access control (RBAC) principles are applied across all systems, environments, and data stores. หลักการควบคุมการเข้าถึงตามสิทธิขั้นต่ำและตามบทบาท (RBAC) ถูกนำไปใช้ในทุกระบบ สภาพแวดล้อม และคลังข้อมูล
• Access requests, approvals, periodic reviews, and revocations follow documented workflows. Access is revoked within one business day of role change or separation. คำขอการเข้าถึง การอนุมัติ การทบทวนเป็นระยะ และการเพิกถอนเป็นไปตามกระบวนการทำงานที่จัดทำเป็นเอกสาร การเข้าถึงถูกเพิกถอนภายในหนึ่งวันทำการนับจากการเปลี่ยนแปลงบทบาทหรือการแยกออก
• Multi-factor authentication (MFA) is enforced for administrative access to production systems, cloud infrastructure, code repositories, and communication platforms where supported. การยืนยันตัวตนหลายปัจจัย (MFA) ถูกบังคับใช้สำหรับการเข้าถึงระดับผู้ดูแลระบบไปยังระบบการผลิต โครงสร้างพื้นฐานคลาวด์ คลังโค้ด และแพลตฟอร์มการสื่อสารในกรณีที่รองรับ
• Privileged access is restricted to authorized personnel, logged, and periodically reviewed. Shared accounts are prohibited. การเข้าถึงระดับสิทธิพิเศษถูกจำกัดเฉพาะบุคลากรที่ได้รับอนุญาต ถูกบันทึก และถูกทบทวนเป็นระยะ ห้ามใช้บัญชีร่วมกัน
• Single Sign-On (SSO) is used where available to centralize authentication and reduce credential sprawl. การลงชื่อเข้าใช้ครั้งเดียว (SSO) ถูกใช้ในกรณีที่มีเพื่อรวมศูนย์การยืนยันตัวตนและลดการกระจายของข้อมูลรับรอง

3. Data Protection 3. การปกป้องข้อมูล

We apply a defense-in-depth approach to data protection based on data classification and processing context: เราใช้แนวทางการป้องกันเชิงลึกในการปกป้องข้อมูลตามการจำแนกประเภทข้อมูลและบริบทการประมวลผล:

• Encryption in transit: All web traffic is served over HTTPS with TLS 1.3. Internal service-to-service communication uses encrypted channels. การเข้ารหัสระหว่างการส่ง: การรับส่งข้อมูลเว็บทั้งหมดให้บริการผ่าน HTTPS ด้วย TLS 1.3 การสื่อสารระหว่างบริการภายในใช้ช่องทางที่เข้ารหัส
• Encryption at rest: Data stored in managed services and cloud infrastructure is encrypted at rest using AES-256. Where customer data is processed, encryption-at-rest controls are applied in accordance with contractual requirements. การเข้ารหัสระหว่างการจัดเก็บ: ข้อมูลที่จัดเก็บในบริการที่มีการจัดการและโครงสร้างพื้นฐานคลาวด์ถูกเข้ารหัสระหว่างการจัดเก็บโดยใช้ AES-256 ในกรณีที่มีการประมวลผลข้อมูลลูกค้า การควบคุมการเข้ารหัสระหว่างการจัดเก็บจะถูกนำไปใช้ตามข้อกำหนดตามสัญญา
• Data classification: Data is categorized according to sensitivity (public, internal, confidential, restricted). Handling requirements, access controls, and retention rules vary by classification level. การจำแนกประเภทข้อมูล: ข้อมูลถูกจัดหมวดหมู่ตามความอ่อนไหว (สาธารณะ ภายใน เป็นความลับ ถูกจำกัด) ข้อกำหนดการจัดการ การควบคุมการเข้าถึง และกฎการเก็บรักษาแตกต่างกันไปตามระดับการจำแนกประเภท
• Data minimization: Processing is designed to collect and retain only the minimum data necessary for the specified purpose. Purpose limitation is embedded in system and process design. การลดข้อมูลให้เหลือน้อยที่สุด: การประมวลผลถูกออกแบบให้เก็บรวบรวมและเก็บรักษาเฉพาะข้อมูลขั้นต่ำที่จำเป็นสำหรับวัตถุประสงค์ที่ระบุ การจำกัดวัตถุประสงค์ถูกรวมอยู่ในการออกแบบระบบและกระบวนการ
• Retention and deletion: Data retention periods are defined by category and aligned with legal, contractual, and operational requirements. At the end of the retention period, data is securely deleted or irreversibly anonymized. See our Privacy Policy for retention schedules. การเก็บรักษาและการลบ: ระยะเวลาการเก็บรักษาข้อมูลถูกกำหนดตามประเภทและสอดคล้องกับข้อกำหนดทางกฎหมาย สัญญา และการดำเนินงาน เมื่อสิ้นสุดระยะเวลาการเก็บรักษา ข้อมูลจะถูกลบอย่างปลอดภัยหรือทำให้ไม่สามารถระบุตัวตนได้อย่างถาวร ดู นโยบายความเป็นส่วนตัว สำหรับตารางการเก็บรักษา

4. Network and Endpoint Security 4. ความปลอดภัยเครือข่ายและอุปกรณ์

• Network segmentation is applied between production, staging, and development environments. Public-facing services are isolated from internal systems. การแบ่งส่วนเครือข่ายถูกนำไปใช้ระหว่างสภาพแวดล้อมการผลิต การทดสอบ และการพัฒนา บริการที่หันหน้าสู่สาธารณะถูกแยกออกจากระบบภายใน
• Firewall rules, security groups, and access control lists enforce least-privilege network access. Inbound access is denied by default and explicitly allowed only where required. กฎไฟร์วอลล์ กลุ่มความปลอดภัย และรายการควบคุมการเข้าถึงบังคับใช้การเข้าถึงเครือข่ายตามสิทธิขั้นต่ำ การเข้าถึงขาเข้าถูกปฏิเสธโดยค่าเริ่มต้นและอนุญาตอย่างชัดแจ้งเฉพาะในกรณีที่จำเป็น
• Endpoint devices are configured with hardened baselines, full-disk encryption, anti-malware protection, and automated patch management where applicable. อุปกรณ์ปลายทางถูกกำหนดค่าด้วยมาตรฐานพื้นฐานที่เสริมความแข็งแกร่ง การเข้ารหัสดิสก์เต็มรูปแบบ การป้องกันมัลแวร์ และการจัดการแพตช์อัตโนมัติในกรณีที่เกี่ยวข้อง
• DDoS protection and Web Application Firewall (WAF) capabilities are provided through our hosting infrastructure (Vercel) to mitigate volumetric and application-layer attacks. การป้องกัน DDoS และความสามารถ Web Application Firewall (WAF) ถูกจัดหาให้ผ่านโครงสร้างพื้นฐานโฮสติ้งของเรา (Vercel) เพื่อลดการโจมตีเชิงปริมาณและระดับแอปพลิเคชัน

5. Physical Security 5. ความปลอดภัยทางกายภาพ

In accordance with the PDPA subordinate regulation on security measures (B.E. 2565), which requires data controllers to implement organizational, technical, and physical measures, Versotis maintains the following physical controls: ตามกฎหมายลำดับรองของ PDPA เกี่ยวกับมาตรการรักษาความปลอดภัย (พ.ศ. 2565) ซึ่งกำหนดให้ผู้ควบคุมข้อมูลต้องใช้มาตรการด้านองค์กร เทคนิค และกายภาพ เวอร์โซทิส ดำรงการควบคุมทางกายภาพดังต่อไปนี้:

• Office access is restricted to authorized personnel and registered visitors via building-managed access control systems (keycard entry, reception desk registration). การเข้าถึงสำนักงานถูกจำกัดเฉพาะบุคลากรที่ได้รับอนุญาตและผู้เยี่ยมชมที่ลงทะเบียนผ่านระบบควบคุมการเข้าถึงที่จัดการโดยอาคาร (การเข้าโดยใช้คีย์การ์ด การลงทะเบียนที่เคาน์เตอร์ต้อนรับ)
• Production infrastructure and customer data are hosted in cloud environments (Vercel, third-party IaaS providers) with physical security managed by those providers under SOC 2 or equivalent certifications. Versotis does not operate on-premises data centers or server rooms. โครงสร้างพื้นฐานการผลิตและข้อมูลลูกค้าถูกโฮสต์ในสภาพแวดล้อมคลาวด์ (Vercel, ผู้ให้บริการ IaaS บุคคลที่สาม) โดยมีความปลอดภัยทางกายภาพที่จัดการโดยผู้ให้บริการเหล่านั้นภายใต้การรับรอง SOC 2 หรือเทียบเท่า เวอร์โซทิสไม่ได้ดำเนินการศูนย์ข้อมูลหรือห้องเซิร์ฟเวอร์ภายในองค์กร
• Physical access to company devices (laptops, mobile devices) is controlled through full-disk encryption, screen-lock timeouts, and secure storage policies. การเข้าถึงทางกายภาพไปยังอุปกรณ์ของบริษัท (แล็ปท็อป อุปกรณ์มือถือ) ถูกควบคุมผ่านการเข้ารหัสดิสก์เต็มรูปแบบ การหมดเวลาล็อคหน้าจอ และนโยบายการจัดเก็บที่ปลอดภัย

6. Secure Development 6. การพัฒนาที่ปลอดภัย

• Security requirements are defined during the design phase and reviewed as part of the development lifecycle. ข้อกำหนดด้านความปลอดภัยถูกกำหนดในระหว่างขั้นตอนการออกแบบและถูกทบทวนเป็นส่วนหนึ่งของวงจรชีวิตการพัฒนา
• Code changes undergo peer review before merging. Security-sensitive changes receive additional review from designated reviewers. การเปลี่ยนแปลงโค้ดผ่านการตรวจสอบโดยเพื่อนร่วมงานก่อนการรวม การเปลี่ยนแปลงที่อ่อนไหวด้านความปลอดภัยได้รับการตรวจสอบเพิ่มเติมจากผู้ตรวจสอบที่ได้รับมอบหมาย
• Dependency scanning is performed as part of the build pipeline. Known vulnerabilities in third-party dependencies are triaged based on severity (CVSS score) and exploitability. Critical and high-severity findings are remediated within defined SLAs. การสแกนการพึ่งพาถูกดำเนินการเป็นส่วนหนึ่งของไปป์ไลน์การสร้าง ช่องโหว่ที่ทราบในการพึ่งพาของบุคคลที่สามถูกจัดลำดับตามความรุนแรง (คะแนน CVSS) และความสามารถในการถูกโจมตี การค้นพบที่มีความรุนแรงระดับวิกฤตและสูงถูกแก้ไขภายใน SLA ที่กำหนด
• Static analysis and linting tools are integrated into CI/CD workflows to catch common security issues at build time. เครื่องมือการวิเคราะห์แบบสถิตและการตรวจสอบโค้ดถูกรวมเข้ากับกระบวนการทำงาน CI/CD เพื่อตรวจจับปัญหาความปลอดภัยทั่วไปในเวลาการสร้าง
• Deployments follow immutable infrastructure principles. Configuration changes are version-controlled, reviewed, and applied through automated pipelines. การปรับใช้เป็นไปตามหลักการโครงสร้างพื้นฐานที่ไม่เปลี่ยนแปลง การเปลี่ยนแปลงการกำหนดค่าถูกควบคุมเวอร์ชัน ถูกตรวจสอบ และถูกนำไปใช้ผ่านไปป์ไลน์อัตโนมัติ

7. Vendor and Supply Chain 7. ผู้ขายและห่วงโซ่อุปทาน

• Third-party providers are assessed before engagement based on service criticality, data access scope, and risk profile. ผู้ให้บริการบุคคลที่สามถูกประเมินก่อนการว่าจ้างตามความสำคัญของบริการ ขอบเขตการเข้าถึงข้อมูล และโปรไฟล์ความเสี่ยง
• Contracts with critical vendors include security, confidentiality, and data processing obligations. Data Processing Agreements (DPAs) are executed where personal data is processed on our behalf. สัญญากับผู้ขายที่สำคัญรวมถึงภาระผูกพันด้านความปลอดภัย การรักษาความลับ และการประมวลผลข้อมูล ข้อตกลงการประมวลผลข้อมูล (DPAs) ถูกดำเนินการในกรณีที่มีการประมวลผลข้อมูลส่วนบุคคลในนามของเรา
• Vendor security posture is reviewed periodically. High-risk vendors are subject to more frequent review, including review of available compliance certifications (SOC 2, ISO 27001) and security documentation. สถานะความปลอดภัยของผู้ขายถูกทบทวนเป็นระยะ ผู้ขายที่มีความเสี่ยงสูงจะถูกทบทวนบ่อยขึ้น รวมถึงการทบทวนการรับรองการปฏิบัติตามที่มีอยู่ (SOC 2, ISO 27001) และเอกสารด้านความปลอดภัย
• A current list of our primary third-party processors is published in our Privacy Policy. รายชื่อปัจจุบันของผู้ประมวลผลบุคคลที่สามหลักของเราถูกเผยแพร่ในนโยบายความเป็นส่วนตัว

8. Logging and Monitoring 8. การบันทึกและการเฝ้าติดตาม

• Operational and security telemetry is collected across production environments to support threat detection, performance monitoring, and incident investigation. ข้อมูลทางไกลด้านการดำเนินงานและความปลอดภัยถูกเก็บรวบรวมในสภาพแวดล้อมการผลิตเพื่อสนับสนุนการตรวจจับภัยคุกคาม การเฝ้าติดตามประสิทธิภาพ และการสอบสวนเหตุการณ์
• Access logs, API request logs, and administrative actions are retained for security review purposes. Log integrity is protected against tampering. บันทึกการเข้าถึง บันทึกคำขอ API และการกระทำของผู้ดูแลระบบถูกเก็บรักษาเพื่อวัตถุประสงค์ในการทบทวนความปลอดภัย ความสมบูรณ์ของบันทึกถูกป้องกันจากการแก้ไข
• Alerting thresholds are configured for anomalous activity patterns, including unusual access patterns, authentication failures, and resource utilization anomalies. เกณฑ์การแจ้งเตือนถูกกำหนดค่าสำหรับรูปแบบกิจกรรมที่ผิดปกติ รวมถึงรูปแบบการเข้าถึงที่ผิดปกติ ความล้มเหลวในการยืนยันตัวตน และความผิดปกติของการใช้ทรัพยากร
• Log data is retained in accordance with the retention schedule defined in our Privacy Policy. ข้อมูลบันทึกถูกเก็บรักษาตามตารางการเก็บรักษาที่กำหนดในนโยบายความเป็นส่วนตัวของเรา

9. Incident Response and Breach Notification 9. การตอบสนองต่อเหตุการณ์และการแจ้งเตือนการละเมิด

Versotis maintains documented incident response procedures covering the full lifecycle: detection, triage, containment, eradication, recovery, and post-incident review. เวอร์โซทิส ดำรงขั้นตอนการตอบสนองต่อเหตุการณ์ที่จัดทำเป็นเอกสารครอบคลุมวงจรชีวิตทั้งหมด: การตรวจจับ การจัดลำดับ การกักกัน การกำจัด การกู้คืน และการทบทวนหลังเหตุการณ์

PDPA breach notification: In the event of a personal data breach as defined by PDPA Section 37/4, and in accordance with the subordinate regulation on breach notification (B.E. 2565): การแจ้งเตือนการละเมิดตาม PDPA: ในกรณีที่มีการละเมิดข้อมูลส่วนบุคคลตามที่กำหนดในมาตรา 37/4 ของ PDPA และตามกฎหมายลำดับรองเกี่ยวกับการแจ้งเตือนการละเมิด (พ.ศ. 2565):

• We will notify the Office of the Personal Data Protection Committee (PDPC) without undue delay and, where feasible, within 72 hours of becoming aware of the breach. เราจะแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) โดยไม่ชักช้า และหากเป็นไปได้ ภายใน 72 ชั่วโมงนับจากที่ทราบถึงการละเมิด
• Where the breach is likely to result in a high risk to the rights and freedoms of data subjects, we will notify affected individuals without undue delay, describing the nature of the breach, likely consequences, and measures taken or proposed to address it. ในกรณีที่การละเมิดมีแนวโน้มที่จะส่งผลให้เกิดความเสี่ยงสูงต่อสิทธิและเสรีภาพของเจ้าของข้อมูล เราจะแจ้งบุคคลที่ได้รับผลกระทบโดยไม่ชักช้า โดยอธิบายลักษณะของการละเมิด ผลกระทบที่อาจเกิดขึ้น และมาตรการที่ดำเนินการหรือเสนอเพื่อแก้ไข
• Breach notification to the PDPC includes: nature and categories of personal data involved, contact details of the DPO or responsible person, description of likely consequences, and measures taken or proposed. การแจ้งเตือนการละเมิดต่อ สคส. รวมถึง: ลักษณะและประเภทของข้อมูลส่วนบุคคลที่เกี่ยวข้อง รายละเอียดการติดต่อของ DPO หรือผู้รับผิดชอบ คำอธิบายผลกระทบที่อาจเกิดขึ้น และมาตรการที่ดำเนินการหรือเสนอ

GDPR breach notification: Where the GDPR applies, we will notify the relevant EU supervisory authority within 72 hours and affected data subjects in accordance with GDPR Articles 33 and 34. การแจ้งเตือนการละเมิดตาม GDPR: ในกรณีที่ GDPR มีผลบังคับใช้ เราจะแจ้งหน่วยงานกำกับดูแล EU ที่เกี่ยวข้องภายใน 72 ชั่วโมง และแจ้งเจ้าของข้อมูลที่ได้รับผลกระทบตามมาตรา 33 และ 34 ของ GDPR

All breaches and near-misses are documented in an incident register. Post-incident reviews are conducted to identify root causes and implement corrective controls to prevent recurrence. การละเมิดและเหตุการณ์เฉียดทั้งหมดถูกบันทึกในทะเบียนเหตุการณ์ การทบทวนหลังเหตุการณ์ถูกดำเนินการเพื่อระบุสาเหตุที่แท้จริงและนำการควบคุมแก้ไขมาใช้เพื่อป้องกันการเกิดซ้ำ

10. Continuity and Recovery 10. ความต่อเนื่องและการกู้คืน

• Business continuity and disaster recovery (BC/DR) planning is maintained proportionate to operational risk and service criticality. การวางแผนความต่อเนื่องทางธุรกิจและการกู้คืนจากภัยพิบัติ (BC/DR) ถูกดำรงไว้อย่างเหมาะสมกับความเสี่ยงในการดำเนินงานและความสำคัญของบริการ
• Recovery Time Objective (RTO): Public-facing website services are designed for a target RTO of 4 hours for restoration from a major outage. Recovery priorities are defined in the BC/DR plan. วัตถุประสงค์เวลาการกู้คืน (RTO): บริการเว็บไซต์ที่หันหน้าสู่สาธารณะถูกออกแบบสำหรับ RTO เป้าหมาย 4 ชั่วโมงสำหรับการกู้คืนจากการหยุดชะงักครั้งใหญ่ ลำดับความสำคัญในการกู้คืนถูกกำหนดในแผน BC/DR
• Recovery Point Objective (RPO): For customer-specific systems and data, RPO is defined in individual service agreements. For the public website, infrastructure is defined as code and can be redeployed from version-controlled configuration. วัตถุประสงค์จุดการกู้คืน (RPO): สำหรับระบบและข้อมูลเฉพาะของลูกค้า RPO ถูกกำหนดในข้อตกลงบริการแต่ละรายการ สำหรับเว็บไซต์สาธารณะ โครงสร้างพื้นฐานถูกกำหนดเป็นโค้ดและสามารถปรับใช้ใหม่ได้จากการกำหนดค่าที่ควบคุมเวอร์ชัน
• Backup strategies are designed per workload. Stateless services are deployed from immutable images and infrastructure-as-code templates. Stateful data stores use provider-managed backup and point-in-time recovery where available. กลยุทธ์การสำรองข้อมูลถูกออกแบบตามปริมาณงาน บริการที่ไม่มีสถานะถูกปรับใช้จากอิมเมจที่ไม่เปลี่ยนแปลงและเทมเพลตโครงสร้างพื้นฐานเป็นโค้ด คลังข้อมูลที่มีสถานะใช้การสำรองข้อมูลที่จัดการโดยผู้ให้บริการและการกู้คืน ณ จุดเวลาในกรณีที่มี
• BC/DR plans are tested periodically through tabletop exercises and, where applicable, technical recovery drills. แผน BC/DR ถูกทดสอบเป็นระยะผ่านการฝึกซ้อมบนโต๊ะ และในกรณีที่เกี่ยวข้อง การฝึกซ้อมการกู้คืนทางเทคนิค

11. Employee Training and Awareness 11. การฝึกอบรมและการสร้างความตระหนักของพนักงาน

In accordance with PDPA requirements for security awareness (PDPA Section 37 and subordinate regulation B.E. 2565), Versotis ensures that personnel with access to personal data or production systems receive: ตามข้อกำหนดของ PDPA สำหรับความตระหนักด้านความปลอดภัย (มาตรา 37 ของ PDPA และกฎหมายลำดับรอง พ.ศ. 2565) เวอร์โซทิส รับรองว่าบุคลากรที่เข้าถึงข้อมูลส่วนบุคคลหรือระบบการผลิตได้รับ:

• Onboarding security orientation covering data protection obligations, acceptable use policies, and incident reporting procedures. การปฐมนิเทศด้านความปลอดภัยเมื่อเริ่มงานครอบคลุมภาระผูกพันในการปกป้องข้อมูล นโยบายการใช้งานที่ยอมรับได้ และขั้นตอนการรายงานเหตุการณ์
• Periodic security awareness updates covering current threats (phishing, social engineering), secure handling practices, and regulatory developments. การอัปเดตความตระหนักด้านความปลอดภัยเป็นระยะครอบคลุมภัยคุกคามปัจจุบัน (ฟิชชิ่ง วิศวกรรมสังคม) แนวปฏิบัติการจัดการที่ปลอดภัย และการพัฒนาด้านกฎระเบียบ
• Role-specific guidance for personnel handling sensitive data, privileged access, or customer-facing systems. คำแนะนำเฉพาะบทบาทสำหรับบุคลากรที่จัดการข้อมูลที่อ่อนไหว การเข้าถึงระดับสิทธิพิเศษ หรือระบบที่หันหน้าสู่ลูกค้า

12. Vulnerability Disclosure 12. การเปิดเผยช่องโหว่

Versotis welcomes responsible disclosure of potential security vulnerabilities. If you identify a security issue, please report it to contact@versotis.com with sufficient detail to reproduce the issue. เวอร์โซทิส ยินดีรับการเปิดเผยช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้นอย่างมีความรับผิดชอบ หากคุณระบุปัญหาด้านความปลอดภัย โปรดรายงานไปที่ contact@versotis.com พร้อมรายละเอียดเพียงพอที่จะทำซ้ำปัญหา

We request that you: เราขอให้คุณ:

• Provide a reasonable time for us to investigate and remediate before public disclosure. ให้เวลาที่เหมาะสมแก่เราในการสอบสวนและแก้ไขก่อนการเปิดเผยต่อสาธารณะ
• Avoid accessing, modifying, or deleting data that does not belong to you. หลีกเลี่ยงการเข้าถึง แก้ไข หรือลบข้อมูลที่ไม่ได้เป็นของคุณ
• Act in good faith and comply with applicable laws. กระทำด้วยความสุจริตและปฏิบัติตามกฎหมายที่เกี่ยวข้อง

We do not operate a public bug bounty program at this time. We acknowledge and appreciate contributions from the security research community. เราไม่ได้ดำเนินโครงการ bug bounty สาธารณะในขณะนี้ เรารับทราบและชื่นชมการมีส่วนร่วมจากชุมชนการวิจัยด้านความปลอดภัย

13. Assurance and Review 13. การรับประกันและการทบทวน

• The security program is reviewed at least annually. Reviews assess control effectiveness, identify gaps against evolving threats, and evaluate alignment with legal and contractual requirements. โปรแกรมความปลอดภัยถูกทบทวนอย่างน้อยปีละครั้ง การทบทวนประเมินประสิทธิผลของการควบคุม ระบุช่องว่างต่อภัยคุกคามที่พัฒนา และประเมินความสอดคล้องกับข้อกำหนดทางกฎหมายและสัญญา
• Penetration testing and vulnerability assessments of public-facing infrastructure are performed on a periodic basis. Findings are risk-rated, tracked, and remediated according to severity. การทดสอบเจาะระบบและการประเมินช่องโหว่ของโครงสร้างพื้นฐานที่หันหน้าสู่สาธารณะถูกดำเนินการเป็นระยะ การค้นพบถูกจัดอันดับตามความเสี่ยง ถูกติดตาม และถูกแก้ไขตามความรุนแรง
• Controls are adapted in response to findings from internal reviews, external assessments, incident post-mortems, and regulatory changes. การควบคุมถูกปรับเพื่อตอบสนองต่อการค้นพบจากการทบทวนภายใน การประเมินภายนอก การวิเคราะห์หลังเหตุการณ์ และการเปลี่ยนแปลงด้านกฎระเบียบ
• Where customer contracts require specific assurance activities (e.g., third-party audits, control attestations, security questionnaires), these are addressed through the contractual security schedule. ในกรณีที่สัญญาลูกค้ากำหนดกิจกรรมการรับประกันเฉพาะ (เช่น การตรวจสอบโดยบุคคลที่สาม การรับรองการควบคุม แบบสอบถามด้านความปลอดภัย) สิ่งเหล่านี้จะถูกจัดการผ่านตารางความปลอดภัยตามสัญญา

14. Security Contact 14. การติดต่อด้านความปลอดภัย

For security inquiries, vulnerability reports, or questions about our security program, contact: สำหรับข้อสงสัยด้านความปลอดภัย รายงานช่องโหว่ หรือคำถามเกี่ยวกับโปรแกรมความปลอดภัยของเรา โปรดติดต่อ:

Email: contact@versotis.com (preferred)
Phone: +66 2 118 2378
Address: 253 Asoke Building Floor 24, Sukumvit 21 Road, Klongtoey Nua Sub District, Wattana District, Khlong Toei, Bangkok, Thailand, 10110 อีเมล: contact@versotis.com (แนะนำ)
โทรศัพท์: +66 2 118 2378
ที่อยู่: 253 อาคารอโศก ชั้น 24 ถนนสุขุมวิท 21 แขวงคลองเตยเหนือ เขตวัฒนา เขตคลองเตย กรุงเทพมหานคร ประเทศไทย 10110

For privacy-specific inquiries or data subject rights requests, please refer to our Privacy Policy. สำหรับข้อสงสัยเฉพาะด้านความเป็นส่วนตัวหรือคำขอใช้สิทธิของเจ้าของข้อมูล โปรดดูนโยบายความเป็นส่วนตัวของเรา

15. Changelog 15. บันทึกการเปลี่ยนแปลง

• 2026-06-24 (v2.0): Major revision: expanded Security Program with governance ownership and review cadence; expanded Identity and Access with SSO, MFA, and access review details; expanded Data Protection with explicit encryption standards (TLS 1.3, AES-256), data classification framework, and retention references; expanded Network and Endpoint with WAF/DDoS and endpoint hardening details; added Physical Security section addressing PDPA subordinate regulation B.E. 2565 requirements; expanded Secure Development with dependency scanning and CI/CD security integration; expanded Vendor with review cadence and certification references; added detailed Incident Response section with PDPA 72-hour breach notification procedure, PDPC notification requirements, and GDPR cross-reference; expanded Continuity with RTO/RPO targets and testing cadence; added Employee Training and Awareness section per PDPA requirements; expanded Assurance with penetration testing cadence and review cycle details; added Thai language version throughout. การแก้ไขครั้งใหญ่: ขยายโปรแกรมความปลอดภัยด้วยความเป็นเจ้าของด้านธรรมาภิบาลและวงจรการทบทวน; ขยายข้อมูลประจำตัวและการเข้าถึงด้วยรายละเอียด SSO, MFA และการทบทวนการเข้าถึง; ขยายการปกป้องข้อมูลด้วยมาตรฐานการเข้ารหัสที่ชัดเจน (TLS 1.3, AES-256) กรอบการจำแนกประเภทข้อมูล และการอ้างอิงการเก็บรักษา; ขยายเครือข่ายและอุปกรณ์ด้วยรายละเอียด WAF/DDoS และการเสริมความแข็งแกร่งของอุปกรณ์; เพิ่มส่วนความปลอดภัยทางกายภาพที่ตอบสนองข้อกำหนดของกฎหมายลำดับรอง PDPA พ.ศ. 2565; ขยายการพัฒนาที่ปลอดภัยด้วยการสแกนการพึ่งพาและการบูรณาการความปลอดภัย CI/CD; ขยายผู้ขายด้วยวงจรการทบทวนและการอ้างอิงการรับรอง; เพิ่มส่วนการตอบสนองต่อเหตุการณ์โดยละเอียดด้วยขั้นตอนการแจ้งเตือนการละเมิด 72 ชั่วโมงของ PDPA ข้อกำหนดการแจ้งเตือน สคส. และการอ้างอิง GDPR; ขยายความต่อเนื่องด้วยเป้าหมาย RTO/RPO และวงจรการทดสอบ; เพิ่มส่วนการฝึกอบรมและการสร้างความตระหนักของพนักงานตามข้อกำหนด PDPA; ขยายการรับประกันด้วยวงจรการทดสอบเจาะระบบและรายละเอียดวงจรการทบทวน; เพิ่มฉบับภาษาไทยตลอดทั้งเอกสาร
• 2026-05-28 (v1.0): Initial public release of Security Overview.การเผยแพร่ภาพรวมด้านความปลอดภัยครั้งแรก