1. บริการออนไลน์ไทย ปลอดภัยแค่ไหน?:
ผลสารวจมาตรการรักษาความปลอดภัยและคุ้มครองความเป็นส่วนตัวของเว็บไซต์ไทย
ครั้งที่ 1
14 สิงหาคม 2557

2. การประเมินความปลอดภัยและความเป็นส่วนตัวของบริการออนไลน์
• ให้ดาวเพื่อช่วยให้ผู้บริโภคตัดสินใจได้
ง่าย
EFF's Encrypt The Web Report
https://www.eff.org/encrypt-the-web-report

3. ===== มาตรการทางเทคนิค =====
• มีการเข้ารหัส SSL ในตอนที่เข้าสู่ระบบและใช้รหัสผ่านหรือไม่?
• มีการเข้ารหัส SSL สาหรับเนื้อหาหรือไม่ ถูกต้องหรือไม่ ความแข็งแรงของ SSL?
• รหัสผ่านถูกเก็บอย่างไร เป็นรหัสหรือเป็นตัวหนังสือธรรมดา (ดูจากตอนที่ขอรหัสผ่านใหม่เมื่อลืมรหัส)
• เว็บไซต์รองรับการใช้ฟังก์ชั่น Do Not Track หรือไม่
•คุกกี้: ถูกเก็บอย่างไร เก็บอะไรบ้าง
===== การคุ้มครองทางกฎหมาย =====
• บริษัท/บริการนี้จดทะเบียนที่ไหน
• เซิร์ฟเวอร์ตั้งอยู่ที่ไหน
• ข้อมูลถูกเก็บไว้ที่ไหน ในคลาวด์?
• รองรับมาตรการ Notice and Take down หรือไม่
• มีนโยบายให้ใช้ชื่อจริงหรือไม่
• นโยบายการเก็บข้อมูล: ข้อมูลถูกเก็บที่ไหน อย่างไร ใครที่เข้าถึงได้ ส่งต่อให้เจ้าหน้าที่รัฐหรือบุคคลที่สาม
หรือไม่ ข้อมูลอะไรที่ส่งต่อ
การประเมินความปลอดภัยและความเป็นส่วนตัวของบริการออนไลน์

4. การประเมินความปลอดภัยและความเป็นส่วนตัวของบริการออนไลน์
===== อื่นๆ =====
• มีรายงานความโปร่งใสหรือไม่
• ผู้ให้บริการมีจุดติดต่อที่เป็น “มนุษย์”
• ใช้เวลานานแค่ไหนในการติดต่อ/ตอบคาถาม
• หากมีการเปลี่ยนเจ้าของบริษัท มีนโยบายอย่างไรต่อข้อมูลที่เก็บไว้
• การใช้ภาษาที่ซื่อสัตย์ ไม่กากวม จริงใจ “อ่านได้”
• มีการแจ้งต่อสาธารณะหรือไม่เมื่อนโยบายเปลี่ยนแปลง เป็นระยะเวลาเท่าใด ผู้ใช้มีส่วนร่วมหรือไม่อย่างไร

5. 1. มีการเชื่อมต่อแบบ HTTP Secure (HTTPS)
หรือไม่
2. กุญแจการเข้ารหัสมีความยาว 256 บิตหรือไม่ ความ
ยาวของกุญแจเข้ารหัสมีหน่วยเป็นบิต ยิ่งกุญแจมี
ความยาวมาก โอกาสที่ผู้บุกรุกจะคาดเดากุญแจที่
ถูกต้องก็ยิ่งยากขึ้นตามไปด้วย ความยาวของกุญแจที่
เป็นมาตรฐานของอุตสาหกรรมธนาคารในขณะนี้คือ
256 บิต
3. แสดงนโยบายความเป็นส่วนตัวชัดเจนหรือไม่ ดูจาก
การใช้คาและตาแหน่งที่ถูกจัดวางในเว็บไซต์ว่า
สามารถเข้าถึงได้อย่างไร
เกณฑ์ที่ใช้ในการประเมิน: ขั้นพื้นฐานที่สุด | ผู้ใช้ทั่วไปตรวจสอบได้ด้วยตนเอง

7. 1. หน่วยงานของรัฐ
 พระราชบัญญัติข้อมูลข่าวสารของทางราชการ พ.ศ.
2540 มาตรา 23 หน่วยงานของรัฐต้องจัดระบบข้อมูล
ข่าวสารส่วนบุคคล รวมทั้งจัดระบบรักษาความปลอดภัย
ให้แก่ระบบข้อมูลข่าวสารส่วนบุคคล ตามความเหมาะสม
เพื่อป้องกันมิให้มีการนาไปใช้โดยไม่เหมาะสมหรือเป็น
ผลร้ายต่อเจ้าของข้อมูลด้วย
 พระราชกฤษฎีกากาหนดหลักเกณฑ์และวิธีการในการทา
ธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ.2549 มาตรา 5
“หน่วยงานของรัฐต้องจัดทาแนวนโยบายและแนวปฏิบัติใน
การรักษาความมั่นคงปลอดภัยด้านสารสนเทศ เพื่อให้การ
ดาเนินการใดๆ ด้วยวิธีการทางอิเล็กทรอนิกส์กับหน่วยงาน
ของรัฐหรือโดยหน่วยงานของรัฐมีความมั่นคงปลอดภัยและ
เชื่อถือได้”

8. 2. ธนาคาร
 ทุกธนาคารเข้ารหัสด้วย HTTPS ใช้ SSL รุ่น 3.0
 ทุกธนาคารจะมีนโยบายความเป็นส่วนตัว แต่ใช้คาและจัดวางในตาแหน่งที่
แตกต่างกัน
 เว็บไซต์ธนาคารที่ใช้คาว่าความเป็นส่วนตัว หรือ privacy วางอยู่ในแถบ
ด้านล่าง หน้าแรกของเว็บไซต์
 เว็บไซต์ธนาคารที่การคุ้มครองข้อมูลส่วนบุคคลอยู่ในหัวข้อนโยบายความ
ปลอดภัย ที่วางอยู่ในแถบด้านล่าง หน้าแรกของเว็บไซต์
 ธนาคารออนไลน์ที่เป็นบริการทางการเงิน เกี่ยวข้องกับพระราชกฤษฎีกาว่าด้วย
การควบคุมดูแลธุรกิจบริการการชาระเงินทางอิเล็กทรอนิกส์ พ.ศ.2551 ในพระ
ราชกฤษฎีกานี้กาหนดให้ผู้ให้บริการชาระเงินทางอิเล็กทรอนิกส์ต้องปฏิบัติตาม
ประกาศธนาคารแห่งประเทศไทยที่ สรข. 3/2552 เรื่องนโยบายและมาตรการ
รักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ

9. 3. คมนาคมขนส่ง
● เว็บไซต์สายการบินทั้งหมดมีการเข้ารหัส HTTPS
และเข้ารหัส SSL รุ่น 3.0 ทั้งหมด
● แอร์เอเชีย เป็นเว็บเดียวที่ระบุชัดเจนว่า นโยบาย
ความเป็นส่วนตัว ในหน้าแรกของเว็บไซต์ ส่วน
เว็บไซต์อื่นๆ แทรกอยู่ในนโยบายรักษาความ
ปลอดภัย ที่แถบด้านล่าง หน้าแรกของเว็บไซต์
● เว็บนกแอร์มีนโยบายเกี่ยวกับการคุ้มครองข้อมูล
ส่วนบุคคลแทรกอยู่ใน เงื่อนไขและข้อกาหนด ที่จะ
ปรากฏให้เห็นเฉพาะขั้นตอนเลือกเที่ยวบิน
● ประกาศธนาคารแห่งประเทศไทยที่ สรข. 3/2552
เรื่อง นโยบายและมาตรการการรักษาความมั่นคง
ปลอดภัยทางระบบสารสนเทศ

10. 3. คมนาคมขนส่ง
● บริการจองบัตรโดยสารด้วยรถประจาทาง แตกต่างจากบริการจาหน่ายบัตรโดยสาร
เครื่องบินตรงที่ผู้ซื้อไม่จาเป็นต้องใส่ข้อมูลส่วนตัวของตนเองอยางละเอียด
● ส่วนใหญ่ไม่รับชาระเงินผ่านเว็บไซต์ จึงไม่ให้ความสาคัญกับการเข้ารหัสข้อมูล และ
นโยบายความเป็นส่วนตัวมากเท่าที่ควร

11. 4.สถาบันการศึกษา: การรับสมัครสอบเข้ามหาวิทยาลัย
● มหาวิทยาลัยพระจอมเกล้า ธนบุรี และ
มหาวิทยาลัยสงขลานครินทร์เท่านั้น ที่มี
การเข้ารหัสข้อมูลแบบ HTTPS
● ไม่มีมหาวิทยาลัยใดที่มีนโยบายความ
เป็นส่วนตัวที่ชัดเจนเลย

12. 5.ร้านค้าออนไลน์
● เว็บท่าที่เป็นศูนย์กลางในการติดต่อระหว่างผู้ซื้อกับ
ผู้ขาย ไม่มีการทาธุรกรรมทางการเงินอิเล็กทรอนิกส์
กระบวนการซื้อสินค้าใช้การโอนเงินนอกพื้นที่
เว็บไซต์
● มีเพียงเว็บตลาดดอทคอมที่มีการเข้ารหัสแบบ
HTTPS ซึ่งอาจจะเกี่ยวข้องกับการที่เป็นบริษัทร่วม
ทุนกับบริษัท Rakuten จากประเทศญี่ปุ่น
● นโยบายความเป็นส่วนตัวส่วนใหญ่จะไปปรากฏอยู่ใน
หน้าลงทะเบียนซึ่งต้องมีการกรอกข้อมูลส่วนตัวอย่าง
ละเอียดของผู้ใช้บริการ ที่น่าสังเกตคือ เว็บไซต์
Weloveshopping แม้จะมีนโยบายคุ้มครองข้อมูล
บุคคลที่แถบด้านล่างของหน้าแรก แต่เมื่อคลิกเข้าไป
แล้ว กลับเชื่อมโยงไปที่เว็บอื่น

13. ● ก่อนที่จะซื้อสินค้าในเว็บค้าปลีกออนไลน์
ผู้ใช้บริการต้องสมัครสมาชิก ต้องกรอกข้อมูล
ส่วนตัวอย่างละเอียดก่อนที่จะซื้อสินค้าได้
ประเมินความปลอดภัยในขั้นตอนการสมัคร
สมาชิกเท่านั้น
● 80% ของเว็บค้าปลีกออนไลน์มีการเข้ารหัส
HTTPS ในหน้าลงทะเบียนสมัครสมาชิกเพื่อ
ใช้บริการ
● นโยบายความเป็นส่วนตัวอยู่ในหน้าแรกของ
เว็บไซต์ Lazada และ Zalora ซึ่งอาจจะ
เกี่ยวข้องกับการที่ทั้งสองเว็บนี้เป็นบริษัทข้าม
ชาติ มีสาขาหลายประเทศที่มีกฎหมาย
คุ้มครองข้อมูลส่วนบุคคลแล้ว ส่วนเว็บอื่นๆ
ไม่ได้ใช้คาว่านโยบายข้อมูลความเป็นส่วนตัว
โดยตรง แต่เป็นหัวข้อย่อยที่แทรกอยู่ใน
ข้อตกลงการใช้บริการในหน้าลงทะเบียน
5.ร้านค้าออนไลน์

14. ● ไม่มีเว็บใดเลยที่เข้ารหัสในหน้าที่ผู้ใช้ต้องกรอกข้อมูลส่วนตัว แต่
น่าสนใจว่าทุกเว็บมีรายละเอียดของนโยบายความเป็นส่วนตัว
6.สมัครงาน

15. Next phase?
• ===== มาตรการทางเทคนิค =====
• มีการเข้ารหัส SSL สาหรับเนื้อหาหรือไม่ ถูกต้องหรือไม่ ความแข็งแรงของ SSL?
• รหัสผ่านถูกเก็บอย่างไร เป็นรหัสหรือเป็นตัวหนังสือธรรมดา (ดูจากตอนที่ขอรหัสผ่านใหม่เมื่อลืมรหัส)
• คุกกี้: ถูกเก็บอย่างไร เก็บอะไรบ้าง
• ===== การคุ้มครองทางกฎหมาย =====
• บริษัท/บริการนี้จดทะเบียนที่ไหน
• เซิร์ฟเวอร์ตั้งอยู่ที่ไหน
• ข้อมูลถูกเก็บไว้ที่ไหน ในคลาวด์?
• มีนโยบายให้ใช้ชื่อจริงหรือไม่
• นโยบายการเก็บข้อมูล: ข้อมูลถูกเก็บที่ไหน อย่างไร ใครที่เข้าถึงได้ ส่งต่อให้เจ้าหน้าที่รัฐหรือบุคคลที่สามหรือไม่
ข้อมูลอะไรที่ส่งต่อ
• ===== อื่นๆ =====
• การใช้ภาษาที่ซื่อสัตย์ ไม่กากวม จริงใจ “อ่านได้”