ขอบเขตความรับผิดชอบในการให้บริการ (Shared Responsibility)
การดูแลความปลอดภัยและทำให้บริการใช้งานได้ต่อเนื่อง เป็นเรื่องที่ทั้งผู้ให้บริการและผู้ใช้บริการต้องช่วยกันดูแลคนละส่วน เอกสารนี้จึงอธิบายให้ชัดว่าเรื่องใดที่ผู้ให้บริการดูแลให้ และเรื่องใดที่ผู้ใช้บริการต้องดูแลเอง เพื่อให้เข้าใจตรงกันตั้งแต่ต้น
ขอบเขตการดูแลจะต่างกันไปตามประเภทบริการที่เลือกใช้ (Web Hosting, WordPress Hosting, VPS Hosting, PaaS และ IaaS) โดยทั่วไปยิ่งผู้ใช้บริการจัดการระบบเองได้มากเท่าไร ก็ยิ่งต้องดูแลความปลอดภัยในส่วนของตัวเองมากขึ้นเท่านั้น
1. สิ่งที่ผู้ให้บริการดูแลให้
- ศูนย์ข้อมูลและความปลอดภัยทางกายภาพ — ดูแลศูนย์ข้อมูล ระบบไฟฟ้า ไฟสำรอง เครื่องปรับอากาศ ระบบดับเพลิง และการควบคุมการเข้าถึงเครื่องเซิร์ฟเวอร์
- เครื่องเซิร์ฟเวอร์และเครือข่าย — ดูแลตัวเครื่อง อุปกรณ์จัดเก็บข้อมูล อุปกรณ์เครือข่าย และระบบเครื่องเสมือน (Virtualization)
- ความพร้อมใช้งานของระบบ — ดูแลให้บริการออนไลน์ใช้งานได้ต่อเนื่องตามที่รับประกันไว้ใน SLA
- การแยกข้อมูลของผู้ใช้แต่ละราย — จัดให้ข้อมูลของผู้ใช้บริการแต่ละรายแยกจากกัน ไม่ให้เข้าถึงข้ามกันได้
- การอุดช่องโหว่ของระบบ — อัปเดตและแก้ไขช่องโหว่ของระบบปฏิบัติการและซอฟต์แวร์ในส่วนที่ผู้ให้บริการเป็นผู้ดูแล (เฉพาะแพ็กเกจแบบ Managed)
- การเฝ้าระวังและป้องกันการโจมตี — ดูแลความปลอดภัยของระบบโดยรวมและป้องกันการโจมตีขั้นพื้นฐาน (หากต้องการป้องกัน DDoS ระดับสูง มีบริการเสริมให้สั่งซื้อเพิ่ม)
- การสำรองข้อมูลระดับระบบ — สำรองข้อมูลตามรอบที่กำหนดในแต่ละแพ็กเกจ แต่ไม่ได้ใช้แทนการสำรองข้อมูลที่ผู้ใช้บริการควรทำเอง
- การลบหรือคืนข้อมูลเมื่อเลิกใช้บริการ — ดำเนินการให้อย่างปลอดภัยตามนโยบายและระยะเวลาที่กำหนด
2. สิ่งที่ผู้ใช้บริการต้องดูแลเอง
- ความปลอดภัยของเว็บและแอปที่ติดตั้งเอง — ดูแลโค้ด ระบบจัดการเว็บ (CMS) ปลั๊กอิน และธีม ให้อัปเดตและปลอดภัยอยู่เสมอ รวมถึงช่องโหว่ที่มาจากสิ่งที่ติดตั้งเอง
- การจัดการรหัสผ่านและสิทธิ์การใช้งาน — ตั้งรหัสผ่านที่ปลอดภัย กำหนดสิทธิ์ให้คนในทีมตามความเหมาะสม และเก็บข้อมูลเข้าสู่ระบบไว้เป็นความลับ
- การสำรองข้อมูลของตัวเอง — สำรองข้อมูลของตนเองอย่างสม่ำเสมอ ไม่พึ่งการสำรองระดับระบบของผู้ให้บริการเพียงอย่างเดียว
- ความถูกต้องและถูกกฎหมายของเนื้อหา — เนื้อหาและการใช้งานต้องไม่ผิดกฎหมายและไม่ละเมิดสิทธิของผู้อื่น
- การปฏิบัติตามกฎหมาย PDPA — หากนำข้อมูลส่วนบุคคลของคนอื่นมาเก็บ (เช่น ข้อมูลลูกค้าของตนเอง) ผู้ใช้บริการถือเป็น “ผู้ควบคุมข้อมูล” และต้องรับผิดชอบทำตามกฎหมายด้วยตนเอง
- การดูแลปริมาณการใช้ทรัพยากร — คอยดูพื้นที่ แบนด์วิดท์ และทรัพยากรไม่ให้เกินแพ็กเกจ และอัปเกรดเมื่อจำเป็น
3. สิ่งที่ต้องดูแลร่วมกัน
- การแจ้งเตือนเมื่อพบปัญหาด้านความปลอดภัย — หากฝ่ายใดพบสิ่งผิดปกติ ให้รีบแจ้งอีกฝ่ายทันทีตามช่องทางที่กำหนด
- การตั้งค่าความปลอดภัยที่เกี่ยวข้องกันทั้งสองฝั่ง — เช่น การติดตั้ง SSL และการตั้งค่าไฟร์วอลล์
ตารางสรุปขอบเขตความรับผิดชอบ
| รายการ | ผู้ให้บริการ | ผู้ใช้บริการ |
|---|---|---|
| ศูนย์ข้อมูลและความปลอดภัยทางกายภาพ | ✓ | |
| เครื่องเซิร์ฟเวอร์ / เครือข่าย / ระบบเครื่องเสมือน | ✓ | |
| การแยกข้อมูลของผู้ใช้แต่ละราย | ✓ | |
| ความพร้อมใช้งานตาม SLA | ✓ | |
| การสำรองข้อมูลระดับระบบ | ✓ | |
| การลบ/คืนข้อมูลเมื่อเลิกใช้บริการ | ✓ | |
| ระบบปฏิบัติการ/แพลตฟอร์ม (เฉพาะแบบ Managed) | ✓ | แบบ Unmanaged: ✓ |
| โค้ด / CMS / ปลั๊กอิน / แอปที่ติดตั้งเอง | ✓ | |
| รหัสผ่าน / สิทธิ์การใช้งานของทีม | ✓ | |
| การสำรองข้อมูลของผู้ใช้เอง | ✓ | |
| ความถูกกฎหมายของเนื้อหา | ✓ | |
| การทำตาม PDPA สำหรับข้อมูลของบุคคลอื่น | ✓ | |
| การดูแลปริมาณการใช้ทรัพยากรไม่ให้เกินแพ็กเกจ | ✓ | |
| การแจ้งเตือน/ประสานงานด้านความปลอดภัย | ✓ | ✓ |
| การติดตั้ง SSL / ตั้งค่าไฟร์วอลล์ | ✓ | ✓ |
ตารางแบ่งความรับผิดชอบตามชั้น (Layer) แยกตามประเภทบริการ
ผ = ผู้ให้บริการดูแล, ร = ผู้ใช้บริการดูแล
| ชั้น (Layer) | Web / WordPress | VPS | PaaS | IaaS |
|---|---|---|---|---|
| ข้อมูลและเนื้อหาในระบบ/ฐานข้อมูล (Data)² | ร | ร | ร | ร |
| แอปพลิเคชัน (Application) | ร | ร | ร | ร |
| Runtime / Middleware / ตัวฐานข้อมูล (Database Engine)³ | ผ | ร | ผ | ร |
| ระบบปฏิบัติการ (OS) | ผ | ร¹ | ผ | ร |
| ระบบเครื่องเสมือน (Virtualization) | ผ | ผ | ผ | ผ |
| เครือข่าย (Network) | ผ | ผ | ผ | ผ |
| โครงสร้างพื้นฐานทางกายภาพ (Physical) | ผ | ผ | ผ | ผ |
หมายเหตุ
¹ บริการ VPS Hosting ผู้ใช้บริการดูแลระบบปฏิบัติการเอง ยกเว้นซื้อบริการเสริมแบบ Managed (เช่น DirectAdmin) ที่ผู้ให้บริการจะช่วยดูแลให้ตามที่ตกลงกัน
² ข้อมูลที่ผู้ใช้บริการสร้างหรือใส่เข้าไปในฐานข้อมูลเอง ถือเป็นความรับผิดชอบของผู้ใช้บริการทุกบริการ
³ ตัวโปรแกรมฐานข้อมูล (เช่น MySQL/MariaDB) ที่ทำให้ระบบทำงานได้ สำหรับแพ็กเกจแบบ Managed (Web/WordPress/PaaS) ผู้ให้บริการดูแลให้ ส่วนข้อมูลข้างในยังเป็นของผู้ใช้บริการตามข้อ ²
สรุปง่าย ๆ คือ ยิ่งผู้ใช้บริการจัดการระบบเองได้มาก ก็ยิ่งต้องดูแลความปลอดภัยในส่วนของตัวเองมากขึ้น
