นโยบายความปลอดภัย

TLS 1.2+ PDPA Audit Log Daily Backup

1. การส่งข้อมูล

• HTTPS (TLS 1.2 ขึ้นไป) ทุกการสื่อสาร
• HSTS · Secure cookies · CSP headers
• CSRF token ทุก form ที่เปลี่ยนแปลงข้อมูล

2. การจัดเก็บข้อมูล

• Data Center ในประเทศไทย
• รหัสผ่านแฮชด้วย bcrypt
• API keys และ secrets เข้ารหัส AES-256-CBC
• Backup รายวัน เก็บไว้ 30 วัน

3. การเข้าถึง

• Role-based access control (super_admin / admin / manager / guard / resident)
• Session fingerprint hijack guard
• Login throttle ป้องกัน brute-force

4. ข้อมูลผู้มาเยือน (PDPA)

• รูปบัตรประชาชนเบลออัตโนมัติ (เฉพาะเลข 13 หลัก)
• ทำลายรูปต้นฉบับใน 30 วัน
• เฉพาะผู้ที่ได้รับอนุญาตเท่านั้นที่ดูได้

5. Audit Log

• ทุก action สำคัญ (create / update / delete / login) บันทึกครบ
• ดูประวัติได้ว่าใครเปลี่ยนอะไรเมื่อไหร่ จาก IP ไหน
• Soft-delete กู้คืนได้ภายใน 90 วัน

6. รายงานช่องโหว่

หากพบช่องโหว่ความปลอดภัย กรุณาแจ้งที่ security@pkkt.app เราจะตอบกลับภายใน 48 ชั่วโมง