ความมั่นคงทางไซเบอร์ และการปกป้องข้อมูลส่วนบุคคล
เป้าหมายและผลการดำเนินงาน
ผลการดำเนินงาน
เป้าหมาย
ความท้าทายและโอกาสทางธุรกิจ
ในยุคดิจิทัลที่เทคโนโลยีเข้ามามีบทบาทสำคัญในการดำเนินธุรกิจ บริษัท เซ็นทรัลพัฒนา จำกัด (มหาชน) ต้องเผชิญกับภัยคุกคามทางไซเบอร์ที่พัฒนาและเปลี่ยนแปลงอยู่ตลอดเวลา ทำให้จำเป็นต้องมีการเฝ้าระวัง ปรับปรุง และยกระดับมาตรการด้านความปลอดภัยอย่างต่อเนื่อง นอกจากนี้ การปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล เช่น พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เป็นอีกหนึ่งความท้าทายที่บริษัทฯ ต้องให้ความสำคัญ เนื่องจากข้อกำหนดที่ซับซ้อนและต้องดำเนินการให้เป็นไปตามกฎหมายอย่างเคร่งครัด
นอกเหนือจากการรับมือกับภัยคุกคามไซเบอร์ บริษัทฯ ยังต้องบริหารจัดการข้อมูลจำนวนมหาศาลจากแหล่งที่มาหลากหลาย โดยเฉพาะข้อมูลลูกค้า ซึ่งต้องได้รับการคุ้มครองตามมาตรฐานสากลเพื่อสร้างความปลอดภัยสูงสุด อย่างไรก็ตาม บริษัทฯ มองเห็นโอกาสในการเสริมสร้างความเชื่อมั่นให้กับลูกค้าผ่านการดำเนินงานด้านการคุ้มครองข้อมูลที่มีประสิทธิภาพ ซึ่งไม่เพียงช่วยเสริมสร้างความไว้วางใจและความภักดีต่อแบรนด์ แต่ยังช่วยลดความเสี่ยงทางการเงินจากเหตุการณ์ข้อมูลรั่วไหล พร้อมทั้งเพิ่มขีดความสามารถในการแข่งขันและยกระดับชื่อเสียงของบริษัทฯ ในตลาด
นอกจากนี้ การนำเทคโนโลยีดิจิทัลมาใช้ร่วมกับมาตรการรักษาความปลอดภัยที่เข้มงวดสามารถเพิ่มประสิทธิภาพในการดำเนินงานของบริษัทฯ ได้อย่างมีนัยสำคัญ ขณะเดียวกัน การลงทุนในเทคโนโลยีที่ปลอดภัย
ยังช่วยขับเคลื่อนนวัตกรรมและการเติบโตของธุรกิจ ซึ่งเป็นปัจจัยสำคัญที่ช่วยเสริมสร้างรากฐานความยั่งยืนให้กับองค์กรในระยะยาว
แนวทางการบริหารจัดการและการสร้างคุณค่า
บริษัท เซ็นทรัลพัฒนา จำกัด (มหาชน) ให้ความสำคัญอย่างยิ่งกับการรักษาความมั่นคงปลอดภัยทางสารสนเทศ ความปลอดภัยทางไซเบอร์ และการคุ้มครองข้อมูลส่วนบุคคล เพื่อสร้างความเชื่อมั่นให้กับลูกค้า คู่ค้า ผู้ถือหุ้น และผู้มีส่วนได้เสียทุกภาคส่วน บริษัทฯ มุ่งมั่นดำเนินงานตามมาตรฐานสากล และปฏิบัติตามกฎหมายที่เกี่ยวข้องอย่างเคร่งครัด นอกจากนี้ บริษัทมีคณะกรรมการนโยบายความเสี่ยง เพื่อให้มั่นใจว่าข้อมูลสำคัญได้รับการคุ้มครองจากภัยคุกคามทางไซเบอร์ที่มีการเปลี่ยนแปลงตลอดเวลา
ทั้งนี้ บริษัทฯ ได้กำหนดให้ประเด็นด้านความมั่นคงปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลเป็นหนึ่งในตัวชี้วัดความเสี่ยงที่สำคัญระดับองค์กร โดยมีการติดตามและรายงานผลการดำเนินงานต่อคณะกรรมการอย่างสม่ำเสมอ เพื่อยกระดับการบริหารความเสี่ยงในมิติดังกล่าวอย่างต่อเนื่อง นอกจากนี้ ยังได้จัดตั้งทีมงานด้าน IT Security ภายใต้การบริหารของ Chief Information Security Officer (CISO) ของกลุ่มเซ็นทรัล ซึ่งมีบทบาทสำคัญในการกำหนดทิศทางกลยุทธ์ด้านความปลอดภัยทางไซเบอร์ และประสานความร่วมมือกับหน่วยงานที่เกี่ยวข้องทั้งภายในและภายนอกองค์กร พร้อมกันนี้ บริษัทฯ ยังให้ความสำคัญกับการสรรหากรรมการที่มีความเชี่ยวชาญด้านเทคโนโลยีสารสนเทศ เพื่อเสริมศักยภาพของคณะกรรมการในการกำกับดูแลธุรกิจในโลกยุคดิจิทัลที่เปลี่ยนแปลงอย่างรวดเร็ว
- ดูแลความพร้อมใช้งานของระบบสารสนเทศ ทั้ง hardware และsoftware
- ดูแลระบบรักษาความปลอดภัยของศูนย์ข้อมูล รวมทั้งระบบป้องกันความเสียหายทางกายภาพจากเหตุการณ์ฉุกเฉิน
- ร่วมกับหน่วยงานบริหารความเสี่ยงในการซ้อมแผนฉุกเฉินจากสถานการณ์ระบบล่มประจำปี
- ทำหน้าที่เทียบเท่าศูนย์ปฏิบัติการเฝ้าระวังความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศ (Security operations center-SOC)
- เฝ้าระวังภัยคุกคาม และตรวจสอบการเข้าถึงเครือข่ายและระบบสารสนเทศต่าง ๆ ขององค์กร
- พร้อมตอบสนองต่อเหตุคุกคาม หรือเหตุผิดปกติอย่างรวดเร็ว วิเคราะห์ และปรับปรุงมิให้เกิดความเสียหายต่อบริษัทฯ
- ทำการตรวจสอบความปลอดภัย และทดสอบค้นหาช่องโหว่ของระบบข้อมูล (Vulnerability assessment) เป็นประจำทุกเดือนและทำการปิดการปิดช่องปิดช่องโหว่ที่รุนแรงและสำคัญโดยเร็วที่สุด
- รวบรวมเหตุ และแนวทางแก้ไขรายงาน Incident report ต่อ CISO ของกลุ่มเซ็นทรัล
- กำหนดนโยบาย ความมั่นคงและมาตรฐานความปลอดภัยสารสนเทศ รวมถึงแนวปฏิบัติในการนำไปใช้ในงานพัฒนาระบบ Software ต่างๆ ขององค์กร และการอบรมสร้างความรู้ ความเข้าใจให้พนักงาน
- ดูแลความมั่นคงปลอดภัยของข้อมูลสารสนเทศตามสภาพความเสี่ยงขององค์กร ตามหลัก CIA ครอบคลุม การรักษาความลับของข้อมูลองค์กร การปกป้องข้อมูลส่วนบุคคล (PDPA) เกณฑ์การคัดเลือกผลิตภัณฑ์ ผู้พัฒนาระบบ และ software ที่จะนำมาใช้ในองค์กร
- ดูแลความมั่นคงทางไซเบอร์ สอดคล้องกับข้อบังคับทางกฎหมายและมาตรฐานระดับสากล เช่น National Institute of Standards and Technology Cybersecurity Framework (NIST-CSF) และ Center of Internet Security Control (CIS)
- ทำงานใกล้ชิดกับ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ของกลุ่มเซ็นทรัล (DPO)
- บรรจุความมั่นคงทางไซเบอร์เป็นหนึ่งในความเสี่ยงขององค์กร
- ทำงานร่วมกันในการทดสอบแผนความต่อเนื่องของธุรกิจ อันเกิดจากเหตุระบบสารสนเทศล่ม
- สุ่มตรวจสอบในเรื่อง การควบคุม(1) การเข้าถึงโปรแกรม(2) ความลับของข้อมูล (3) ความถูกต้องของข้อมูลในระบบ อย่างเหมาะสม
มาตรฐานและแนวทางการบริหารจัดการด้านความปลอดภัยทางไซเบอร์
บริษัทฯ ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลของลูกค้า คลอบคลุมถึงร้านค้าปลีก เว็บไซต์ แอพพลิเคชันบนโทรศัพท์มือถือ ศูนย์บริการข้อมูลลูกค้า ช่องทางการสื่อสารทางออนไลน์ ตลอดจนสถานที่อื่นๆ ที่ได้มีการเก็บข้อมูลส่วนบุคคลของผู้มีส่วนได้เสียที่เกี่ยวข้อง
ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลของลูกค้า
โดยบริษัทฯ ร่วมกับกลุ่มเซ็นทรัล ได้จัดตั้งหน่วยงานคุ้มครองข้อมูลส่วนบุคคล และแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ให้รับผิดชอบและกำหนดกรอบการทำงานให้สอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล มีการแลกเปลี่ยนข้อมูลการละเมิด และหารือวิธีป้องกันร่วมกันระหว่างหน่วย บริษัทมีการประกาศนโยบายความเป็นส่วนตัว ให้สาธารณชนรับทราบทั้งบนเว็บไซต์ของบริษัทฯ และบริเวณพื้นที่บริการลูกค้าในศูนย์การค้า และจุดที่มีการเก็บข้อมูลส่วนบุคคล และจัดให้มีคู่มือในการบริหารจัดการกิจกรรมที่มีการใช้ข้อมูลส่วนบุคคลในทุกขั้นตอนให้สอดคล้องตามกฎหมาย ระเบียบ และนโยบายความเป็นส่วนตัวมีการสื่อสารให้พนักงานทราบ และเข้าใจถึงภัยทางไซเบอร์ มีการจัดอบรมพนักงานออนไลน์ในหลักสูตร CPN-Personal Data Protection Act (PDPA 2019) และ CRC-Personal Data Protection Act มีการจัดทำและเก็บรักษาบันทึกรายการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities) การพัฒนาระบบจัดการความยินยอม (Consent Management) กระบวนการจัดการคำขอใช้สิทธิเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights Management) การกำหนดกรอบระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล (Data Retention Policy) การจัดทำเอกสารทางกฏหมายที่เกี่ยวข้อง (เช่น Data Processing Agreement) และการจัดทำกระบวนการดำเนินงานเมื่อเกิดเหตุข้อมูลส่วนบุคคลรั่วไหล (Personal Data Breach Procedure)
นอกจากนี้ บริษัทฯ ยังเปิดช่องทางการแจ้งข้อร้องเรียน กรณีโดนบริษัทฯ ละเมิดข้อมูลส่วนบุคคล ได้ทางช่องทางการร้องเรียนออนไลน์บนเว็บไซต์และทางศูนย์บริการข้อมูลลูกค้า (Call center) หมายเลข +66 (0) 2-667-5555 โดยข้อร้องเรียนดังกล่าวจะได้รับการตรวจสอบโดยหน่วยงานตรวจสอบภายใน และรายงานต่อคณะกรรมการตรวจสอบและธรรมาภิบาล และส่งยังหน่วยงานที่รับผิดชอบแก้ไข หากตรวจสอบแล้วสาเหตุเกิดจากการดำเนินการของบริษัทฯ จะแสดงความรับผิดชอบในส่วนการชดเชยหรือเยียวยาตามความเหมาะสม
การคุ้มครองข้อมูลส่วนบุคคลและการปฏิบัติตามกฎหมาย
การปกป้องข้อมูลส่วนบุคคลเป็นหนึ่งในภารกิจสำคัญของบริษัท เซ็นทรัลพัฒนา จำกัด (มหาชน) บริษัทฯ ปฏิบัติตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) อย่างเคร่งครัด โดยมีการกำหนดนโยบายความเป็นส่วนตัว (Privacy Policy) ที่ชัดเจน และดำเนินการขอความยินยอมจากเจ้าของข้อมูลก่อนการเก็บรวบรวมใช้และเปิดเผยข้อมูลนอกจากนี้ บริษัทฯ ยังได้พัฒนาระบบบริหารจัดการข้อมูลส่วนบุคคล (Data Governance Framework) เพื่อให้สามารถติดตาม ควบคุม และปกป้องข้อมูลของลูกค้าได้อย่างมีประสิทธิภาพ รวมถึงมีมาตรการรองรับเหตุการณ์ข้อมูลรั่วไหล (Data Breach Response Plan) ที่สามารถดำเนินการแก้ไขได้อย่างรวดเร็ว
พัฒนาระบบบริหารจัดการข้อมูลส่วนบุคคล (Data Governance Framework) เพื่อให้สามารถติดตาม ควบคุม และปกป้องข้อมูลของลูกค้าได้อย่างมีประสิทธิภาพ
การสร้างวัฒนธรรมความปลอดภัยทางไซเบอร์ในองค์กร
เพื่อให้การดำเนินงานด้านความปลอดภัยทางไซเบอร์มีประสิทธิภาพสูงสุด บริษัท เซ็นทรัลพัฒนา จำกัด (มหาชน) ให้ความสำคัญกับการปลูกฝังวัฒนธรรมความปลอดภัยทางไซเบอร์ (Cybersecurity Culture) ภายในองค์กร โดยมีมาตรการที่สำคัญ ได้แก่
-
การอบรมและเสริมสร้างความรู้ด้านไซเบอร์ (Cyber Awareness Training)
ให้แก่พนักงานทุกระดับเพื่อเพิ่มความตระหนักรู้และลดความเสี่ยงจากภัยคุกคามที่ อาจเกิดขึ้นจากพฤติกรรมที่ไม่ปลอดภัย
-
การฝึกซ้อมแผนรับมือภัยคุกคามไซเบอร์ (Cybersecurity Incident Response Drills)
อย่างสม่ำเสมอ เพื่อให้พนักงานมีความพร้อมในการรับมือและแก้ไขปัญหาอย่างมีประสิทธิภาพ
-
การพัฒนาแนวทางการบริหารความเสี่ยง (Risk Management Strategy)
ที่ครอบคลุมและมีการอัปเดตอย่างต่อเนื่อง เพื่อให้สอดรับกับภัยคุกคามรูปแบบใหม่
ปลูกฝังวัฒนธรรมความปลอดภัยทางไซเบอร์ (Cybersecurity Culture) ภายในองค์กร
การบริหารความเสี่ยงด้านไซเบอร์และการจัดทำประกันภัย
บริษัท เซ็นทรัลพัฒนา จำกัด (มหาชน) ตระหนักถึงความเสี่ยงทางไซเบอร์ที่อาจเกิดขึ้นและอาจส่งผลกระทบต่อธุรกิจ จึงได้ดำเนินการประกันภัยไซเบอร์ (Cyber Insurance) เพื่อช่วยบรรเทาความเสียหายในกรณีที่เกิดเหตุการณ์ไม่คาดคิด นอกจากนี้ ยังมีการ ประเมินความเสี่ยงของคู่ค้า (Third-Party Risk Assessment) อย่างเข้มงวด เพื่อให้แน่ใจว่าคู่ค้าทางธุรกิจที่เข้าถึงข้อมูลของบริษัทฯ มีมาตรฐานด้านความปลอดภัยที่เพียงพอ
มีการประเมินความเสี่ยงของคู่ค้า (Third-Party Risk Assessment) อย่างเข้มงวด
การบริหารจัดการภายใต้การกำกับดูแลของผู้บริหารระดับสูง
บริษัท เซ็นทรัลพัฒนา จำกัด (มหาชน) ให้ความสำคัญกับการกำกับดูแลด้านความ ปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล โดยได้กำหนดให้ ประเด็นนี้เป็นหนึ่งในตัวชี้วัดความเสี่ยงที่สำคัญของคณะกรรมการบริษัท มีการติดตามและรายงานผลการดำเนินงานอย่างสม่ำเสมอ พร้อมทั้งจัดตั้ง ทีม IT Security ภายใต้การบริหารของ Chief Information Security Officer (CISO) ของกลุ่มเซ็นทรัล เพื่อขับเคลื่อนกลยุทธ์ด้านความปลอดภัยทางไซเบอร์ให้มีประสิทธิภาพสูงสุด นอกจากนี้ บริษัทฯ ยังมีนโยบายในการสรรหากรรมการที่มีความเชี่ยวชาญด้านเทคโนโลยีสารสนเทศ เพื่อให้แน่ใจว่าการดำเนินธุรกิจของบริษัทฯ สามารถรับมือกับ ความท้าทายทางเทคโนโลยีได้อย่างมีประสิทธิภาพ
ขับเคลื่อนกลยุทธ์ด้านความปลอดภัยทางไซเบอร์ให้มีประสิทธิภาพสูงสุด
มุ่งมั่นสู่ความมั่นคงปลอดภัยทางไซเบอร์อย่างยั่งยืน
บริษัท เซ็นทรัลพัฒนา จำกัด (มหาชน) เชื่อว่าการสร้างความมั่นคงปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลไม่เพียงแต่ช่วยลดความเสี่ยงทางธุรกิจ แต่ยังเป็น กลยุทธ์สำคัญที่ช่วยสร้างความไว้วางใจให้กับลูกค้าและผู้มีส่วนได้เสีย บริษัทฯ มุ่งมั่นพัฒนาและยกระดับมาตรฐานด้านความปลอดภัยทางไซเบอร์ให้ทันสมัยและสอดคล้องกับแนวโน้มของโลก เพื่อให้มั่นใจว่าธุรกิจสามารถเติบโตได้อย่างมั่นคงและยั่งยืนในยุคดิจิทัล
มุ่งมั่นพัฒนาและยกระดับมาตรฐานด้านความปลอดภัยทางไซเบอร์
ผู้มีส่วนได้เสียที่เกี่ยวข้อง
ผู้ประกอบการร้านค้า ผู้เช่าอาคาร ลูกค้าโครงการที่พักอาศัย
พนักงาน
ลูกค้า
คู่ค้าและพันธมิตรทางธุรกิจ
ชุมชน / ตัวแทนชุมชน รวมหน่วยงานกำกับ ภาครัฐ ภาคการศึกษา องค์กรอิสระ
ผู้ถือหุ้น
