CISO's Guide: ประเมิน AI Platform ด้าน Security & Compliance
คู่มือสำหรับ CISO ในการประเมินความปลอดภัย โดยเฉพาะ PDPA, Data Residency และการป้องกัน Prompt Injection
5 ภัยคุกคาม
ที่ CISO ต้องเข้าใจ
5 มิติประเมิน
Security Assessment
PDPA
Compliance Checklist
CISO's Guide: ประเมิน AI Platform ด้าน Security
ภัยคุกคาม 5 ข้อที่ CISO ต้องเข้าใจ + การประเมิน 5 มิติ + PDPA Checklist
ภัยคุกคามหลัก 5 ข้อ
- 1
Data Exfiltration
พนักงานส่งข้อมูลลับเข้า AI โดยไม่ตั้งใจ หรือ Malicious Actor ดึงข้อมูลออกผ่าน AI
- 2
Prompt Injection
ผู้โจมตีฝัง Instruction ไว้ในเอกสารที่ AI อ่าน ทำให้ AI ทำสิ่งที่ไม่ควร
- 3
Hallucination
AI ให้ข้อมูลที่ผิดแต่ฟังดูน่าเชื่อถือ อาจมีผลทางกฎหมายในบาง Industry
- 4
Supply Chain Risk
ข้อมูลอาจผ่าน Server หลายประเทศเมื่อใช้ Model จาก Provider ต่างประเทศ
- 5
Poisoned RAG
Document ที่ถูก Poison สามารถ Trigger Behavior ที่ไม่ต้องการจาก AI ได้
ตัวอย่าง:
พนักงาน HR ใส่รายชื่อผู้สมัครงาน 200 คนลง AI เพื่อให้ช่วยจัดเรียง ข้อมูลถูกเก็บไว้บน Server ต่างประเทศ
การประเมิน Security — 5 มิติ
- 1
มิติที่ 1: Data Protection
ข้อมูลเก็บที่ไหน? นานแค่ไหน? ถูกใช้ Train Model หรือไม่? Zero Data Retention option? Encryption Standard?
- 2
มิติที่ 2: Access Management
RBAC ระดับ Team/User/Model, MFA บังคับ, Session Management, API Key Rotation Policy
- 3
มิติที่ 3: Audit & Monitoring
Real-time Alert สำหรับ Anomaly, Log ที่ Tamper-proof, Dashboard สำหรับ Security Monitoring, Integration กับ SIEM
- 4
มิติที่ 4: Input/Output Guardrails
Content Filtering สำหรับ Input, PII Detection ก่อนส่งข้อมูลออก, Output Validation, Rate Limiting ต่อ User
- 5
มิติที่ 5: Incident Response
Incident Response Plan ที่ชัดเจน, Notification Timeline, Post-incident Report, Remediation Process
PDPA Compliance Checklist
| รายการ | สถานะ |
|---|---|
| Data Processing Agreement (DPA) เป็นภาษาไทย | ✅ |
| วัตถุประสงค์การประมวลผลที่ชัดเจน | ✅ |
| Right to Access — ดูข้อมูลที่ถูกเก็บได้ | ✅ |
| Right to Deletion — ลบข้อมูลได้ | ✅ |
| Data Portability — Export ข้อมูลได้ | ✅ |
| Data Breach Notification Process | ✅ |
| DPO Contact | ✅ |
| Cross-border Data Transfer Safeguards | ✅ |
กรณีศึกษา PDPA ในไทย
บริษัท Fintech รายใหญ่ในไทยถูกปรับเกือบ 3 ล้านบาท เพราะเก็บข้อมูลลูกค้าเกินกว่าที่จำเป็น และไม่มีการแจ้งเหตุล่วงหน้าก่อนเปลี่ยนแปลง Privacy Policy
บทเรียนสำหรับ AI Platform: ต้องมี Data Retention Policy ที่ชัดเจน และแจ้งลูกค้าทุกครั้งที่มีการเปลี่ยนแปลงการใช้ข้อมูล
Good Signals
- Data Processing Agreement (DPA) เป็นภาษาไทย
- วัตถุประสงค์การประมวลผลที่ชัดเจน
- Right to Access / Right to Deletion / Data Portability
- Data Breach Notification Process
- DPO Contact ที่ติดต่อได้จริง
- Cross-border Data Transfer Safeguards
Red Flags
- Provider บอกว่า "ข้อมูลปลอดภัย 100%"
- ไม่มี DPA หรือ DPA ไม่ชัดเจน
- ไม่สามารถบอก Data Center อยู่ที่ไหน
- ไม่มี Audit Log ที่ Export ได้
- ไม่มี Incident Response Plan
- ใช้ข้อมูลลูกค้า Train Model โดยไม่บอก
พร้อมประเมิน AI Platform แล้วหรือยัง?
Jigsaw AI มี Audit Log ครบถ้วน, RBAC, Team Management และ Data Residency Option
เริ่มต้นใช้งาน
