ความมั่นคงทางไซเบอร์ และการปกป้องข้อมูลส่วนบุคคล
เป้าหมายและผลการดำเนินงาน
ผลการดำเนินงาน
เป้าหมาย
ความท้าทายและโอกาสทางธุรกิจ
บริษัทฯ นำเทคโนโลยีดิจิทัลมาสนับสนุนการดำเนินธุรกิจโดยปรับกระบวนการทำงานให้เป็นดิจิทัล เปลี่ยนจากการใช้แรงงานเป็นการใช้เทคโนโลยี เพื่อใช้ประโยชน์จากข้อมูลเชิงวิเคราะห์และการคาดการณ์ รวมถึงให้สอดคล้องกับกลยุทธ์ Omnichannel ในการสร้างประสบการณ์แบบไร้รอยต่อให้กับลูกค้า เพิ่มประสิทธิภาพในการให้บริการแก่ลูกค้าและร้านค้า รวมถึงลดความเสี่ยงทางธุรกิจ เพิ่มความคล่องตัวในการดำเนินงานร่วมกับคู่ค้าและการทำงานของพนักงาน
อย่างไรก็ตาม ประโยชน์ที่ได้รับนั้นมาพร้อมกับความเสี่ยงด้านเทคโนโลยีสารสนเทศ การโจรกรรมข้อมูล อาชญากรรมทางไซเบอร์ รวมถึงการละเมิดข้อมูลส่วนบุคคล ซึ่งการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล เช่น พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เป็นอีกหนึ่งความท้าทายที่บริษัทฯ ต้องให้ความสำคัญ เนื่องจากข้อกำหนดที่ซับซ้อนและต้องดำเนินการให้เป็นไปตามกฎหมายอย่างเคร่งครัด ความหละหลวม หรือการขาดประสิทธิภาพในการป้องกันภัยคุกคามทางไซเบอร์ หรือการรั่วไหลของข้อมูลส่วนบุคคล อาจนำไปสู่การหยุดชะงักของธุรกิจ การสูญเสียทรัพยากร การร้องเรียน การฟ้องร้อง และนำไปสู่ความเสื่อมเสียชื่อเสียง รวมถึงลดทอนความไว้วางใจจากผู้มีส่วนได้เสียในการทำธุรกรรมกับบริษัทฯ
นอกจากนี้ การนำเทคโนโลยีดิจิทัลมาใช้ร่วมกับมาตรการรักษาความปลอดภัยที่เข้มงวดสามารถเพิ่มประสิทธิภาพในการดำเนินงานของบริษัทฯ ได้อย่างมีนัยสำคัญ ขณะเดียวกัน การลงทุนในเทคโนโลยีที่ปลอดภัย
ยังช่วยขับเคลื่อนนวัตกรรมและการเติบโตของธุรกิจ ซึ่งเป็นปัจจัยสำคัญที่ช่วยเสริมสร้างรากฐานความยั่งยืนให้กับองค์กรในระยะยาว
แนวทางการบริหารจัดการและการสร้างคุณค่า
บริษัท เซ็นทรัลพัฒนา จำกัด (มหาชน) ให้ความสำคัญอย่างยิ่งกับการรักษาความมั่นคงปลอดภัยทางสารสนเทศ ความปลอดภัยทางไซเบอร์ และการคุ้มครองข้อมูลส่วนบุคคล เพื่อสร้างความเชื่อมั่นให้กับลูกค้า คู่ค้า ผู้ถือหุ้น และผู้มีส่วนได้เสียทุกภาคส่วน บริษัทฯ มุ่งมั่นดำเนินงานตามมาตรฐานสากล และปฏิบัติตามกฎหมายที่เกี่ยวข้องอย่างเคร่งครัด นอกจากนี้ บริษัทฯ มีคณะกรรมการนโยบายความเสี่ยง เพื่อให้มั่นใจว่าข้อมูลสำคัญได้รับการคุ้มครองจากภัยคุกคามทางไซเบอร์ที่มีการเปลี่ยนแปลงตลอดเวลา
ทั้งนี้ บริษัทฯ ได้กำหนดให้ประเด็นด้านความมั่นคงปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลเป็นหนึ่งในตัวชี้วัดความเสี่ยงที่สำคัญระดับองค์กร โดยมีการติดตามและรายงานผลการดำเนินงานต่อคณะกรรมการอย่างสม่ำเสมอ เพื่อยกระดับการบริหารความเสี่ยงในมิติดังกล่าวอย่างต่อเนื่อง นอกจากนี้ ยังได้จัดตั้งทีมงานด้าน IT Security ภายใต้การบริหารของ Chief Information Security Officer (CISO) ของกลุ่มเซ็นทรัล ซึ่งมีบทบาทสำคัญในการกำหนดทิศทางกลยุทธ์ด้านความปลอดภัยทางไซเบอร์ และประสานความร่วมมือกับหน่วยงานที่เกี่ยวข้องทั้งภายในและภายนอกองค์กร พร้อมกันนี้ บริษัทฯ ยังให้ความสำคัญกับการสรรหากรรมการที่มีความเชี่ยวชาญด้านเทคโนโลยีสารสนเทศ เพื่อเสริมศักยภาพของคณะกรรมการในการกำกับดูแลธุรกิจในโลกยุคดิจิทัลที่เปลี่ยนแปลงอย่างรวดเร็ว
| ระดับการกำกับดูแล | ความถี่ของการรายงาน |
|---|---|
| ระดับกรรมการ | ตามวาระ |
| ระดับบริหาร | ทุกไตรมาส |
| ระดับปฏิบัติการ | ทุกเดือน |
| ระดับตรวจสอบ | ต่อเนื่อง |
- ดูแลความพร้อมใช้งานของระบบสารสนเทศ ทั้ง Hardware และ Software
- ดูแลระบบรักษาความปลอดภัยของศูนย์ข้อมูล รวมทั้งระบบป้องกันความเสียหายทางกายภาพจากเหตุการณ์ฉุกเฉิน
- ร่วมกับหน่วยงานบริหารความเสี่ยงในการซ้อมแผนฉุกเฉินจากสถานการณ์ระบบล่มประจำปี
- ทำหน้าที่เทียบเท่าศูนย์ปฏิบัติการเฝ้าระวังความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศ (Security Operations Center: SOC)
- เฝ้าระวังภัยคุกคาม และตรวจสอบการเข้าถึงเครือข่ายและระบบสารสนเทศต่าง ๆ ขององค์กร
- พร้อมตอบสนองต่อเหตุคุกคาม หรือเหตุผิดปกติอย่างรวดเร็ว วิเคราะห์ และปรับปรุงมิให้เกิดความเสียหายต่อบริษัทฯ
- ตรวจสอบความปลอดภัย และทดสอบค้นหาช่องโหว่ของระบบข้อมูล (Vulnerability Assessment) เป็นประจำทุกเดือน และทำการปิดการปิดช่องดำเนินการปิดช่องโหว่ที่รุนแรงและสำคัญโดยเร็วที่สุด
- รวบรวมเหตุ เหตุการณ์และแนวทางแก้ไข เพื่อรายงาน Incident Report ต่อ CISO ของกลุ่มเซ็นทรัล
- กำหนดนโยบาย ความมั่นคงและมาตรฐานความปลอดภัยสารสนเทศ รวมถึงแนวปฏิบัติในการนำไปใช้ในงานพัฒนาระบบ software ต่าง ๆ ขององค์กร และการอบรมสร้างความรู้ ความเข้าใจให้พนักงาน
- ดูแลความมั่นคงปลอดภัยของข้อมูลสารสนเทศตามสภาพความเสี่ยงขององค์กร ตามหลัก CIA ครอบคลุมการรักษาความลับของข้อมูลองค์กร การปกป้องข้อมูลส่วนบุคคล (PDPA) เกณฑ์การคัดเลือกผลิตภัณฑ์ ผู้พัฒนาระบบ และ Software ที่จะนำมาใช้ในองค์กร
- ดูแลความมั่นคงทางไซเบอร์ให้สอดคล้องกับข้อบังคับทางกฎหมายและมาตรฐานระดับสากล เช่น National Institute of Standards and Technology Cybersecurity Framework (NIST CSF) และ Center for Internet Security Controls (CIS Controls)
- ทำงานใกล้ชิดกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของกลุ่มเซ็นทรัล (DPO)
- ทำงานร่วมกันในการทดสอบแผนความต่อเนื่องทางธุรกิจอันเกิดจากเหตุระบบสารสนเทศล่ม
- สุ่มตรวจสอบในเรื่อง การควบคุม (1) การเข้าถึงโปรแกรม (2) ความลับของข้อมูล และ (3) ความถูกต้องของข้อมูลในระบบ อย่างเหมาะสม
การบริหารจัดการภายใต้การกำกับดูแลของผู้บริหารระดับสูง
บริษัท เซ็นทรัลพัฒนา จำกัด (มหาชน) ให้ความสำคัญกับการกำกับดูแลด้านความปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล โดยได้กำหนดให้ ประเด็นนี้เป็นหนึ่งในตัวชี้วัดความเสี่ยงที่สำคัญของคณะกรรมการบริษัท มีการติดตามและรายงานผลการดำเนินงานอย่างสม่ำเสมอ พร้อมทั้งจัดตั้ง ทีม IT Security ภายใต้การบริหารของ Chief Information Security Officer (CISO) ของกลุ่มเซ็นทรัล เพื่อขับเคลื่อนกลยุทธ์ด้านความปลอดภัยทางไซเบอร์ให้มีประสิทธิภาพสูงสุด นอกจากนี้ บริษัทฯ ยังมีนโยบายในการสรรหากรรมการที่มีความเชี่ยวชาญด้านเทคโนโลยีสารสนเทศ เพื่อให้แน่ใจว่าการดำเนินธุรกิจของบริษัทฯ สามารถรับมือกับ ความท้าทายทางเทคโนโลยีได้อย่างมีประสิทธิภาพ
มาตรฐานและแนวทางการบริหารจัดการด้านความปลอดภัยทางไซเบอร์
บริษัทฯ ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลของลูกค้า ครอบคลุมถึงร้านค้าปลีก เว็บไซต์ แอปพลิเคชันบนโทรศัพท์มือถือ ศูนย์บริการข้อมูลลูกค้า ช่องทางการสื่อสารทางออนไลน์ ตลอดจนสถานที่อื่น ๆ ที่ได้มีการเก็บข้อมูลส่วนบุคคลของผู้มีส่วนได้เสียที่เกี่ยวข้อง
นอกจากนั้น บริษัทฯ ยังดำเนินการขอความยินยอมจากเจ้าของข้อมูลก่อนการเก็บรวบรวม ใช้ และเปิดเผยข้อมูล และมีการพัฒนาระบบบริหารจัดการข้อมูลส่วนบุคคล เพื่อให้สามารถติดตาม ควบคุม และปกป้องข้อมูลของลูกค้าได้อย่างมีประสิทธิภาพ รวมถึงมีมาตรการรองรับเหตุการณ์ข้อมูลรั่วไหลที่สามารถดำเนินการแก้ไขได้อย่างรวดเร็ว
ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลของลูกค้า
การคุ้มครองข้อมูลส่วนบุคคลและการปฏิบัติตามกฎหมาย
บริษัทฯ กำหนดนโยบายด้านความปลอดภัยสารสนเทศ นโยบายความเป็นส่วนตัว นโยบายคุกกี้ นโยบายการบันทึก การรายงาน และการเก็บรักษาข้อมูล และมาตรฐานความปลอดภัยสารสนเทศ เป็นแนวทางในการปฏิบัติของพนักงานทั้งองค์กร รวมถึงผู้มีส่วนได้เสียทุกกลุ่ม อีกทั้งพัฒนาและปรับปรุงระบบการจัดการความปลอดภัยด้านสารสนเทศ โดยใช้มาตรฐาน ISO 27001:2013 และ NIST SP800-53 เป็นกรอบในการดำเนินการ ซึ่งครอบคลุมการรักษาความปลอดภัยของข้อมูลและระบบสารสนเทศ ทั้งระบบ hardware, software และ network ของบริษัทฯ
พัฒนาระบบบริหารจัดการข้อมูลส่วนบุคคล เพื่อให้สามารถติดตาม ควบคุม และปกป้องข้อมูลของลูกค้าได้อย่างมีประสิทธิภาพ
นอกจากนั้น บริษัทฯ ยังร่วมกับกลุ่มเซ็นทรัลจัดตั้งหน่วยงานคุ้มครองข้อมูลส่วนบุคคล และแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลให้รับผิดชอบและกำหนดกรอบการทำงานให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) มีการแลกเปลี่ยนข้อมูลการละเมิด และหารือวิธีป้องกันร่วมกันระหว่างหน่วยงาน รวมถึงการประกาศนโยบายความเป็นส่วนตัวให้สาธารณชนรับทราบทั้งบนเว็บไซต์ของบริษัทฯ ในบริเวณพื้นที่บริการลูกค้าในศูนย์การค้าและจุดที่มีการเก็บข้อมูลส่วนบุคคล นอกจากนี้ ยังจัดให้มีคู่มือในการบริหารจัดการกิจกรรมที่มีการใช้ข้อมูลส่วนบุคคลในทุกขั้นตอนให้สอดคล้องกับกฎหมาย ระเบียบ และนโยบายความเป็นส่วนตัว รวมถึงมีการสื่อสารให้พนักงานทราบและเข้าใจถึงภัยทางไซเบอร์
ในด้านการพัฒนาองค์ความรู้ของพนักงาน บริษัทฯ มีการจัดอบรมพนักงานออนไลน์ในหลักสูตร CPN-Personal Data Protection Act (PDPA 2019) และ CRC-Personal Data Protection Act และได้มีการจัดทำและเก็บรักษาบันทึกรายการประมวลผลข้อมูลส่วนบุคคล การพัฒนาระบบจัดการความยินยอม กระบวนการจัดการคำขอใช้สิทธิเจ้าของข้อมูลส่วนบุคคล การกำหนดกรอบระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล การจัดทำเอกสารทางกฎหมายที่เกี่ยวข้อง เช่น Data Processing Agreement และการจัดทำกระบวนการดำเนินงานเมื่อเกิดเหตุข้อมูลส่วนบุคคลรั่วไหลอีกด้วย
บริษัทฯ ยังให้ความสำคัญกับช่องทางการแจ้งข้อร้องเรียน ในกรณีที่ถูกละเมิดข้อมูลส่วนบุคคลจากทางบริษัทฯ สามารถแจ้งเหตุผ่านช่องทางการร้องเรียนออนไลน์บนเว็บไซต์และทางศูนย์บริการข้อมูลลูกค้า (Call Center) หมายเลข +66 (0) 2-667-5555 โดยข้อร้องเรียนดังกล่าวจะได้รับการตรวจสอบโดยหน่วยงานตรวจสอบภายใน และรายงานต่อคณะกรรมการตรวจสอบและธรรมาภิบาล รวมถึงส่งต่อไปยังหน่วยงานที่รับผิดชอบแก้ไข หากตรวจสอบแล้วพบว่าสาเหตุเกิดจากการดำเนินการของบริษัทฯ จะแสดงความรับผิดชอบในส่วนการชดเชยหรือเยียวยาตามความเหมาะสม
การสร้างวัฒนธรรมความปลอดภัยทางไซเบอร์ในองค์กร
เพื่อให้การดำเนินงานด้านความปลอดภัยทางไซเบอร์มีประสิทธิภาพสูงสุด บริษัท เซ็นทรัลพัฒนา จำกัด (มหาชน) ให้ความสำคัญกับการปลูกฝังวัฒนธรรมความปลอดภัยทางไซเบอร์ภายในองค์กร โดยมีมาตรการสำคัญ ได้แก่
- การอบรมและเสริมสร้างความรู้ด้านไซเบอร์ให้แก่พนักงานทุกระดับ เพื่อเพิ่มความตระหนักรู้และลดความเสี่ยงจากภัยคุกคามที่อาจเกิดขึ้นจากพฤติกรรมที่ไม่ปลอดภัย
- การฝึกซ้อมแผนรับมือภัยคุกคามไซเบอร์อย่างสม่ำเสมอ เพื่อให้พนักงานมีความพร้อมในการรับมือและแก้ไขปัญหาอย่างมีประสิทธิภาพ
- การพัฒนาแนวทางการบริหารความเสี่ยงที่ครอบคลุมและมีการอัปเดตอย่างต่อเนื่อง เพื่อให้สอดรับกับภัยคุกคามรูปแบบใหม่
ปลูกฝังวัฒนธรรมความปลอดภัยทางไซเบอร์ภายในองค์กร
การบริหารความเสี่ยงด้านไซเบอร์และการจัดทำประกันภัย
บริษัท เซ็นทรัลพัฒนา จำกัด (มหาชน) ตระหนักถึงความเสี่ยงทางไซเบอร์ที่อาจเกิดขึ้นและอาจส่งผลกระทบต่อธุรกิจ จึงได้ดำเนินการประกันภัยไซเบอร์ เพื่อช่วยบรรเทาความเสียหายในกรณีที่เกิดเหตุการณ์ไม่คาดคิด นอกจากนี้ ยังมีการประเมินความเสี่ยงของคู่ค้า เพื่อให้แน่ใจว่าคู่ค้าทางธุรกิจที่เข้าถึงข้อมูลของบริษัทฯ มีมาตรฐานด้านความปลอดภัยที่เพียงพอ
มีการประเมินความเสี่ยงของคู่ค้าอย่างเข้มงวด
มุ่งมั่นสู่ความมั่นคงปลอดภัยทางไซเบอร์อย่างยั่งยืน
บริษัท เซ็นทรัลพัฒนา จำกัด (มหาชน) เชื่อว่าการสร้างความมั่นคงปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลไม่เพียงแต่ช่วยลดความเสี่ยงทางธุรกิจ แต่ยังเป็น กลยุทธ์สำคัญที่ช่วยสร้างความไว้วางใจให้กับลูกค้าและผู้มีส่วนได้เสีย บริษัทฯ มุ่งมั่น พัฒนาและยกระดับมาตรฐานด้านความปลอดภัยทางไซเบอร์ให้ทันสมัยและสอดคล้องกับแนวโน้มของโลก เพื่อให้มั่นใจว่าธุรกิจสามารถเติบโตได้อย่างมั่นคงและยั่งยืนในยุคดิจิทัล
มุ่งมั่นพัฒนาและยกระดับมาตรฐานด้านความปลอดภัยทางไซเบอร์
ผู้มีส่วนได้เสียที่เกี่ยวข้อง
ผู้ประกอบการร้านค้า ผู้เช่าอาคาร ลูกค้าโครงการที่พักอาศัย
พนักงาน
ลูกค้า
คู่ค้าและพันธมิตรทางธุรกิจ
ชุมชน / ตัวแทนชุมชน รวมหน่วยงานกำกับ ภาครัฐ ภาคการศึกษา องค์กรอิสระ
ผู้ถือหุ้น
