Checkify
ความไว้วางใจและความปลอดภัย

ความปลอดภัย

Checkify ออกแบบมาเพื่อลดการเปิดเผยข้อมูลโดยธรรมชาติ: ข้อมูลส่วนบุคคลอยู่บนอุปกรณ์ของผู้ใช้ และธุรกิจสามารถยืนยันได้โดยไม่ต้องเป็นผู้ดูแลข้อมูลระยะยาว

มาตรการความปลอดภัย การเปิดเผยช่องโหว่อย่างรับผิดชอบ

หน้านี้อธิบายแนวทางด้านความปลอดภัยของเราในระดับภาพรวม มาตรการที่แน่นอนอาจแตกต่างกันตามการติดตั้งและความต้องการการเชื่อมต่อ

หลักการด้านความปลอดภัย

ลดการถือครองข้อมูล

ใช้หลักฐานยืนยันเป็นค่าเริ่มต้น (เช่น “อายุเกิน 18”) แทนข้อมูลส่วนบุคคลดิบ ผู้ใช้ต้องยินยอมอย่างชัดเจนก่อนแชร์ข้อมูลใดๆ

การยืนยันตัวตนที่แข็งแกร่ง

ตัวตนผูกกับอุปกรณ์ การป้องกันด้วยไบโอเมตริก/PIN และโทเค็นจำกัดเวลา ช่วยลดความเสี่ยงการยึดบัญชีและการใช้ซ้ำ

การป้องกันหลายชั้น

มาตรการหลายชั้นครอบคลุมการจัดเก็บบนอุปกรณ์ การเข้ารหัส ความปลอดภัยการส่งข้อมูล การป้องกันเซิร์ฟเวอร์ และความสามารถในการตรวจสอบ

มาตรการหลัก

ออกแบบสำหรับการยืนยันที่ให้ความสำคัญกับความเป็นส่วนตัว

1) การจัดเก็บบนอุปกรณ์เป็นหลัก

  • ข้อมูลส่วนบุคคลถูกเก็บบนอุปกรณ์ของผู้ใช้เป็นค่าเริ่มต้น
  • ป้องกันด้วยที่เก็บข้อมูลปลอดภัยของระบบปฏิบัติการและกลไกล็อกอุปกรณ์
  • การเข้าถึงต้องผ่าน PIN และการตรวจไบโอเมตริกเมื่อรองรับ

2) การเข้ารหัสและความสมบูรณ์

  • คำขอและการตอบกลับถูกลงนามเพื่อตรวจจับการแก้ไขได้
  • คำขอจำกัดเวลาช่วยลดความเสี่ยงการใช้ซ้ำ
  • รหัสอ้างอิงช่วยให้ติดตามได้โดยไม่เปิดเผยข้อมูลที่ไม่จำเป็น

3) ความปลอดภัยการส่งข้อมูล

  • ข้อมูลเข้ารหัสระหว่างส่ง (TLS) สำหรับแอป API และแดชบอร์ด
  • ขอบเขตโทเค็นและอายุสั้นลดการเปิดเผยหากถูกดักจับ
  • ตรวจสอบคำขออย่างเข้มงวดและยืนยันลายเซ็นฝั่งเซิร์ฟเวอร์

4) การยืนยันตัวตนและการอนุญาต

  • เซสชัน JWT สำหรับ API และการเข้าถึงแดชบอร์ดธุรกิจ
  • การเข้าถึงตามบทบาทสำหรับการดำเนินการของธุรกิจ (เช่น สร้างคำขอ ดูบันทึก)
  • การดำเนินการของธุรกิจผูกกับตัวตนผู้ใช้ที่ยืนยันแล้ว

5) บันทึกพร้อมตรวจสอบ

  • เหตุการณ์รวมเวลา ผลลัพธ์ และการอ้างอิงคำขอ/การตอบกลับ
  • ออกแบบสำหรับการสืบสวนและรายงานการปฏิบัติตาม
  • บันทึกหลีกเลี่ยงข้อมูลส่วนบุคคลที่ไม่จำเป็นเมื่อเป็นไปได้

6) การเสริมความแข็งแกร่งแพลตฟอร์ม

  • จำกัดอัตราและป้องกันการใช้งานในทางที่ผิดบนจุดเชื่อมต่อที่ละเอียดอ่อน
  • ตรวจสอบและแจ้งเตือนกิจกรรมผิดปกติ
  • อัปเดต dependency และทบทวนความปลอดภัยของโฟลว์สำคัญอย่างสม่ำเสมอ

การเปิดเผยแบบเลือกได้ (สิ่งที่ธุรกิจขอได้)

ธุรกิจสามารถขอหลักฐานเฉพาะ (เช่น เกณฑ์อายุ ที่อยู่อาศัย คุณสมบัติ) และอาจขอจุดข้อมูลเฉพาะได้ ผู้ใช้เห็นคำขอทั้งหมดและต้องยินยอมอย่างชัดเจนก่อนแชร์อะไรก็ตาม Checkify ออกแบบมาเพื่อสนับสนุนโฟลว์ที่เน้นหลักฐานยืนยันเพื่อลดการเปิดเผยข้อมูล

ภัยคุกคามที่เราออกแบบรับมือ

การใช้ซ้ำและการละเมิด QR

คำขอหมดอายุ การยืนยันฝั่งเซิร์ฟเวอร์ และ payload ที่ลงนามแล้ว ลดมูลค่าของโค้ดที่คัดลอกหรือส่งต่อ

การยึดบัญชี

ตัวตนผูกกับอุปกรณ์ + การตรวจไบโอเมตริก/PIN + โทเค็นอายุสั้น ช่วยป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต

การเก็บข้อมูลเกินจำเป็น

โฟลว์ที่เน้นหลักฐานยืนยันและการยินยอมอย่างชัดเจน ลดโอกาสที่ข้อมูลละเอียดอ่อนจะถูกเก็บในที่ที่ไม่จำเป็น

คำถามที่พบบ่อยด้านความปลอดภัย

คุณเก็บข้อมูลส่วนบุคคลบนเซิร์ฟเวอร์หรือไม่?

Checkify ออกแบบให้ข้อมูลส่วนบุคคลอยู่บนอุปกรณ์ของผู้ใช้เป็นค่าเริ่มต้น เมื่อต้องมีข้อมูลฝั่งเซิร์ฟเวอร์เพื่อเหตุผลการดำเนินงาน (เช่น เหตุการณ์ตรวจสอบ การอ้างอิงคำขอ) เราลดข้อมูลส่วนบุคคลและเน้นหลักฐานยืนยันกับ metadata

ธุรกิจขอรายละเอียดผู้ใช้เฉพาะได้หรือไม่?

ได้—ธุรกิจสามารถขอหลักฐานเฉพาะ และหากจำเป็น จุดข้อมูลเฉพาะได้ ผู้ใช้ตรวจสอบทุกคำขอและต้องยินยอมอย่างชัดเจนก่อนแชร์อะไรก็ตาม

คุณป้องกันการแก้ไขอย่างไร?

คำขอและการตอบกลับออกแบบให้ตรวจสอบทางการเข้ารหัสได้ จำกัดเวลา และผู้รับตรวจสอบ ทำให้ตรวจจับการแก้ไขได้และลดมูลค่าการใช้ซ้ำ

การเปิดเผยช่องโหว่อย่างรับผิดชอบ

หากคุณพบช่องโหว่ด้านความปลอดภัย โปรดรายงานอย่างรับผิดชอบ เราจะตรวจสอบรายงานอย่างรวดเร็วและทำงานร่วมกับคุณเพื่อยืนยันและแก้ไขปัญหา

วิธีรายงาน

  • อีเมล: security@checkify.me (แนะนำ)
  • ระบุขั้นตอนการทำซ้ำ ผลกระทบ และหลักฐานประกอบ
  • โปรดหลีกเลี่ยงการเข้าถึงหรือแก้ไขข้อมูลผู้ใช้จริง

ขั้นตอนถัดไป

  • เรารับทราบและจัดลำดับความสำคัญรายงาน
  • เรายืนยัน แก้ไข และปรับใช้มาตรการลดความเสี่ยงตามความเหมาะสม
  • เราสามารถประสานเวลาการเปิดเผยต่อสาธารณะได้หากจำเป็น

ยังไม่มีอีเมลความปลอดภัยเฉพาะ? แทนที่ด้วยที่อยู่ที่มีการตรวจสอบที่คุณควบคุมได้