คู่มือปกป้องบัญชี เอกสารยืนยันตัวตน และข้อมูลธุรกรรม

KYC และความเป็นส่วนตัว: ส่งเท่าที่จำเป็น เก็บร่องรอยทุกครั้ง

KYC เป็นขั้นตอนที่เกี่ยวข้องกับข้อมูลสำคัญ การเห็นคำว่าเพื่อความปลอดภัยยังไม่เพียงพอ ผู้ใช้ควรทราบผู้รับเอกสาร วัตถุประสงค์ ช่องทางจัดเก็บ ระยะเวลา และวิธีติดต่อเมื่อข้อมูลผิดหรือรั่วไหล

แนวทางนี้เน้นการลดข้อมูลที่ส่ง ป้องกันการสวมสิทธิ์ และเก็บบันทึกโดยไม่กล่าวอ้างสิทธิทางกฎหมายเฉพาะเขตอำนาจ หากมีข้อกังวลด้านกฎหมายควรขอคำแนะนำจากผู้เชี่ยวชาญที่เหมาะสม

ถามหาวัตถุประสงค์ก่อนส่งเอกสาร

คำขอควรระบุว่าต้องการเอกสารชนิดใด ใช้ตรวจอะไร และส่งผ่านช่องทางใด หากได้รับคำขอจากบัญชีแชตส่วนตัวหรือโดเมนไม่ตรง ให้กลับไปตรวจจากหน้าเว็บไซต์ทางการ

อย่าส่งข้อมูลเพิ่มเติมเพียงเพราะถูกเร่งเวลา ให้ขอรายการเอกสารที่จำเป็นและเหตุผลเป็นลายลักษณ์อักษร

  • ชื่อหน่วยงานหรือฝ่ายที่รับข้อมูล
  • วัตถุประสงค์ของเอกสารแต่ละชนิด
  • ช่องทางอัปโหลดที่เข้ารหัส
  • ระยะเวลาโดยประมาณในการตรวจ
  • วิธีแก้ไขหรือติดตามสถานะ

ลดข้อมูลที่ไม่เกี่ยวข้อง

ตรวจว่าระบบอนุญาตให้ปกปิดข้อมูลส่วนที่ไม่จำเป็นหรือไม่ เช่น รายการเดินบัญชีอื่นหรือเลขเอกสารบางส่วน อย่าปกปิดส่วนที่ใช้ยืนยันจนเอกสารใช้ไม่ได้ และไม่ควรแก้ไขไฟล์ต้นฉบับ

เก็บไฟล์ต้นฉบับในพื้นที่เข้ารหัส แล้วสร้างสำเนาสำหรับส่งพร้อมลายน้ำที่ระบุวัตถุประสงค์และวันที่ หากผู้รับยอมรับรูปแบบดังกล่าว

ก่อนส่งสิ่งที่ตรวจหลักฐานที่เก็บ
ไฟล์เอกสารเห็นข้อมูลเกินวัตถุประสงค์หรือไม่รายการส่วนที่ปกปิด
ช่องทางส่งโดเมนและผู้รับถูกต้องหรือไม่URL และเวลาที่อัปโหลด
หลังส่งมีเลขเคสหรือสถานะหรือไม่ใบรับและกำหนดติดตาม

ป้องกันบัญชีจากการยึดสิทธิ์

ใช้รหัสผ่านเฉพาะที่ไม่ซ้ำกับอีเมลหรือธนาคาร เปิดการยืนยันสองขั้นตอนเมื่อมี และตรวจอุปกรณ์หรือเซสชันที่เข้าสู่ระบบเป็นระยะ อีเมลหลักควรมีความปลอดภัยมากกว่าบัญชีที่ผูกอยู่

ข้อความที่อ้างว่าช่วยปลดล็อกบัญชีแต่ขอ OTP หรือให้ติดตั้งโปรแกรมควบคุมเครื่องเป็นสัญญาณให้หยุดทันที

  • รหัสผ่านยาวและไม่ซ้ำ
  • การยืนยันสองขั้นตอนผ่านช่องทางที่ควบคุมเอง
  • แจ้งเตือนการเข้าสู่ระบบและธุรกรรม
  • ทบทวนอุปกรณ์ที่เชื่อมต่อ
  • ออกจากระบบเมื่อใช้อุปกรณ์ร่วม

ตรวจนโยบายความเป็นส่วนตัวแบบใช้งานได้จริง

อ่านให้พบประเภทข้อมูล วัตถุประสงค์ ผู้รับข้อมูลภายนอก ระยะเวลาเก็บ ช่องทางติดต่อ และกระบวนการเมื่อมีเหตุด้านความปลอดภัย หากหาไม่พบควรถือเป็นช่องว่างในการประเมิน

บันทึกวันที่และ URL ของนโยบายที่อ่าน เพราะเงื่อนไขอาจปรับ และตรวจว่าชื่อผู้ควบคุมข้อมูลสอดคล้องกับหน้าอื่นของเว็บไซต์

  • ข้อมูลบัญชีและอุปกรณ์ที่เก็บ
  • ข้อมูลชำระเงินที่ส่งต่อ
  • ผู้ให้บริการภายนอกที่เกี่ยวข้อง
  • วิธีขอติดต่อเรื่องข้อมูล
  • วันที่นโยบายมีผล

เมื่อสงสัยว่าข้อมูลรั่วหรือถูกสวมสิทธิ์

เปลี่ยนรหัสผ่านจากอุปกรณ์ที่เชื่อถือได้ ตรวจอีเมลและบัญชีการเงินที่เกี่ยวข้อง ยกเลิกเซสชันที่ไม่รู้จัก และติดต่อช่องทางทางการพร้อมลำดับเหตุการณ์ อย่าลบข้อความหรือไฟล์หลักฐานก่อนสำรอง

หากมีธุรกรรมที่ไม่รู้จัก ให้ติดต่อผู้ให้บริการทางการเงินตามช่องทางของเขาโดยเร็ว และเก็บเลขเคสทุกฝ่ายไว้ในบันทึกเดียว

แหล่งข้อมูลที่ใช้ตรวจสอบ

  1. สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล: ประกาศความเป็นส่วนตัว
  2. NIST SP 800-63 Digital Identity Guidelines
  3. OWASP Authentication Cheat Sheet

ตอบคำถามจากบทความเพื่อสุ่มรับโค้ด

กิจกรรมนี้เปิดให้ส่งคำตอบหนึ่งครั้งต่อการโหลดหน้า หากตอบผิด ระบบจะล็อกตัวเลือกและต้องรีเฟรชเพื่อรับคำถามใหม่

กิจกรรมความรู้ · หนึ่งคำตอบต่อการโหลดหน้า

กำลังเตรียมคำถามและโค้ด…

คำถามที่พบบ่อย

ควรส่งเอกสาร KYC ผ่านแชตหรือไม่

ควรใช้ช่องทางอัปโหลดทางการที่ตรวจสอบโดเมนได้ เว้นแต่ผู้ให้บริการระบุช่องทางอื่นไว้อย่างชัดเจนและคุณยืนยันผู้รับแล้ว

ใส่ลายน้ำบนสำเนาเอกสารได้หรือไม่

ควรตรวจว่าผู้รับยอมรับหรือไม่ หากยอมรับ ลายน้ำที่ระบุวัตถุประสงค์และวันที่อาจช่วยจำกัดการนำไปใช้ผิดบริบทโดยไม่บังข้อมูลที่จำเป็น

ข้อมูลใดไม่ควรบอกฝ่ายสนับสนุน

ไม่ควรเปิดเผยรหัสผ่าน PIN รหัส OTP หรือรหัสกู้คืน แม้ผู้ติดต่อจะอ้างว่าใช้เพื่อเร่งตรวจรายการ

ควรเก็บสำเนา KYC ไว้นานเท่าไร

เก็บเท่าที่จำเป็นตามวัตถุประสงค์และนโยบายความปลอดภัยของคุณ โดยใช้พื้นที่เข้ารหัส จำกัดผู้เข้าถึง และลบสำเนาที่กระจายเมื่อหมดความจำเป็น