เพื่อให้ลูกค้าสามารถใช้งาน Lumo ได้อย่างมั่นใจ เราได้สรุปแนวทางการออกแบบด้านความปลอดภัยและมาตรการการดำเนินงานที่เกี่ยวข้องกับ การคุ้มครองข้อมูล ความปลอดภัยของ AI และการเชื่อมต่อกับ LINE ไว้ในหน้านี้
หากต้องการข้อมูลเพิ่มเติม สามารถดาวน์โหลด White Paper “Lumo Security & Safety” เพื่อศึกษารายละเอียดได้เพิ่มเติม।

ภาพตัวอย่างเอกสาร Security Whitepaper 1

เข้าถึงเอกสารด้านความปลอดภัยของเรา

ข้อมูลของ AI Agent และข้อมูลลูกค้าได้รับการจัดการอย่างเหมาะสมและเข้มงวด คุณสามารถตรวจสอบรายละเอียดเชิงลึกเพิ่มเติมได้ในเอกสารของเรา

ดาวน์โหลดเอกสาร

การปฏิบัติตามข้อกำหนด

Lumo ได้รับการออกแบบและดำเนินงานด้านความปลอดภัยโดยอ้างอิงแนวทางและมาตรฐานที่ได้รับการยอมรับทั้งในประเทศและระดับสากล เรามุ่งมั่นในการรักษาความน่าเชื่อถือของบริการอย่างต่อเนื่อง ผ่านการได้รับการรับรองจากหน่วยงานภายนอก การปฏิบัติตามกฎหมายที่เกี่ยวข้อง และมาตรฐานอุตสาหกรรมที่เป็นที่ยอมรับ เพื่อมอบแพลตฟอร์มที่ลูกค้าสามารถใช้งานได้อย่างมั่นใจและปลอดภัย。

การรับรอง PrivacyMark 

บริษัทผู้ให้บริการได้รับการรับรอง PrivacyMark จาก JIPDEC (Japan Institute for Promotion of Digital Economy and Community) และดำเนินการระบบบริหารจัดการข้อมูลส่วนบุคคลตามมาตรฐาน JIS Q 15001 เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลได้รับการจัดการและคุ้มครองอย่างเหมาะสมตามมาตรฐานที่กำหนด。

img-award-privacy-mark

พันธมิตรด้านเทคโนโลยีที่ได้รับการรับรองจาก LINE Yahoo

บริษัทของเราได้รับการรับรองเป็น LINE Technology Partner จาก LINE Yahoo Corporation โดยผ่านข้อกำหนดด้านความปลอดภัยและการตรวจสอบทางเทคนิคของแพลตฟอร์ม LINE ซึ่งแสดงถึงมาตรฐานด้านเทคโนโลยีและความน่าเชื่อถือในการพัฒนาระบบที่ได้รับการยอมรับจาก LINE อย่างเป็นทางการ

260225_partner_program_badge_13_tech_communication_advanced 1

พันธมิตรด้านเทคโนโลยีที่ได้รับการรับรองจาก HubSpot

เราได้รับการรับรองเป็นพันธมิตรด้านเทคโนโลยีของ HubSpot และ提供แอปพลิเคชันที่สอดคล้องกับมาตรฐานด้านความปลอดภัยและความเป็นส่วนตัวของ HubSpot เพื่อให้ธุรกิจสามารถเชื่อมต่อและบริหารจัดการข้อมูลลูกค้าได้อย่างปลอดภัยและมีประสิทธิภาพ

img-award-rising-magenta

มาตรฐานและกฎหมายที่สอดคล้อง

  • 個人情報の保護に関する法律(個人情報保護法)
  • JIS Q 15001
  • 電気通信事業法
  • 不正アクセス禁止法
  • 経済産業省「クラウドサービスレベルのチェックリスト」
  • 総務省「ASP/SaaS情報開示指針」
  • IPA「安全なウェブサイトの作り方」
  • OWASP Top 10 for LLM Applications 2025

การประเมินช่องโหว่ด้านความปลอดภัยโดยหน่วยงานภายนอก

เราให้หน่วยงานผู้เชี่ยวชาญด้านความปลอดภัยภายนอกดำเนินการตรวจสอบและประเมินช่องโหว่ของระบบอย่างน้อยปีละ 1 ครั้ง โดยสามารถแบ่งปันสรุปผลการประเมินได้ภายหลังการลงนามในข้อตกลงรักษาความลับ (NDA) เพื่อให้ลูกค้ามั่นใจในมาตรการด้านความปลอดภัยและการบริหารความเสี่ยงของเรา。

 

การคุ้มครองข้อมูล 

ข้อมูลที่ลูกค้ามอบให้กับเราเป็นรากฐานสำคัญของทุกฟังก์ชันและบริการของ Lumo เรากำหนดมาตรการดูแลข้อมูลในระดับที่เหมาะสมตามประเภทและความสำคัญของข้อมูล โดยครอบคลุมตั้งแต่สถานที่จัดเก็บ วิธีการเข้ารหัส ไปจนถึงนโยบายการเก็บรักษาและการลบข้อมูลอย่างเป็นระบบ

สำหรับรายละเอียดเกี่ยวกับการจัดการข้อมูลส่วนบุคคล กรุณาศึกษาเพิ่มเติมได้จาก ข้อกำหนดการจัดการข้อมูลส่วนบุคคลของเรา。

การจัดการข้อมูลส่วนบุคคล 

ข้อมูลส่วนบุคคลที่ลูกค้ามอบให้กับเราได้รับการจัดการตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้อง และข้อกำหนดการจัดการข้อมูลส่วนบุคคลของบริษัท โดยเราปฏิบัติตามมาตรการด้านการรักษาความลับ การห้ามนำข้อมูลไปใช้เกินวัตถุประสงค์ที่กำหนด และมาตรการรักษาความปลอดภัยของข้อมูลอย่างเคร่งครัด

พนักงานและผู้รับจ้างภายนอกทุกคนต้องลงนามในข้อตกลงรักษาความลับ (NDA) และสำหรับพนักงานที่มีหน้าที่เกี่ยวข้องกับข้อมูลส่วนบุคคล บริษัทจะดำเนินการฝึกอบรมและกำกับดูแลอย่างสม่ำเสมอ เพื่อให้มั่นใจว่าข้อมูลได้รับการคุ้มครองอย่างเหมาะสม ในกรณีที่มีการมอบหมายให้บุคคลภายนอกดำเนินการประมวลผลข้อมูลส่วนบุคคลแทน บริษัทจะกำหนดให้ผู้รับมอบหมายปฏิบัติตามมาตรฐานการคุ้มครองข้อมูลในระดับเดียวกับบริษัท และดำเนินการกำกับดูแลตามความจำเป็นอย่างต่อเนื่อง

การแยกข้อมูลอย่างเข้มงวดในระดับ Workspace

ข้อมูลทั้งหมดจะถูกแยกออกจากกันในระดับ Workspace อย่างเป็นระบบ เพื่อป้องกันไม่ให้ข้อมูลของลูกค้าแต่ละรายปะปนหรือเข้าถึงข้ามกันได้ นอกจากนี้ เรายังตรวจสอบความถูกต้องของกลไกการแยกข้อมูลอย่างต่อเนื่องผ่านระบบทดสอบอัตโนมัติ หากมีการเปลี่ยนแปลงใด ๆ ที่อาจส่งผลให้การแยกข้อมูลไม่สมบูรณ์หรือก่อให้เกิดความเสี่ยง ระบบจะตรวจพบและปฏิเสธการเผยแพร่การเปลี่ยนแปลงดังกล่าวโดยอัตโนมัติก่อนนำขึ้นใช้งานจริง เพื่อรักษาความปลอดภัยและความน่าเชื่อถือของระบบอย่างต่อเนื่อง。

การลบข้อมูลเมื่อสิ้นสุดสัญญา

เมื่อสัญญาสิ้นสุดลง หรือเมื่อได้รับคำขอจากลูกค้า เราจะดำเนินการลบข้อมูลที่จัดเก็บไว้ภายใน 30 วันทำการ หากลูกค้าต้องการ เราสามารถออก หนังสือรับรองการลบข้อมูล เพื่อยืนยันว่าข้อมูลได้รับการลบเรียบร้อยแล้วตามกระบวนการที่กำหนด。

สถานที่จัดเก็บข้อมูล

ฐานข้อมูลและข้อมูลสำรองของ Lumo จัดเก็บอยู่ใน Google Cloud Platform (GCP) Region Tokyo ประเทศญี่ปุ่น ส่วนการจัดเก็บไฟล์ใช้ Cloudflare R2 ในภูมิภาคเอเชียแปซิฟิก (Asia Pacific Region) เพื่อให้มั่นใจในด้านความปลอดภัย ความพร้อมใช้งาน และประสิทธิภาพในการเข้าถึงข้อมูล。

การเข้ารหัสข้อมูลขณะจัดเก็บและระหว่างการรับส่งข้อมูล

ข้อมูลจะได้รับการเข้ารหัสด้วยมาตรฐาน AES-256 ขณะจัดเก็บ และใช้การเข้ารหัสผ่าน TLS 1.2 หรือสูงกว่า สำหรับการรับส่งข้อมูล เพื่อปกป้องข้อมูลตลอดกระบวนการจัดเก็บและการสื่อสาร สำหรับข้อมูลที่มีความสำคัญสูง เรายังใช้ การเข้ารหัสเพิ่มเติมในระดับแอปพลิเคชัน (Application-Level Encryption) เพื่อเพิ่มความปลอดภัยและการปกป้องข้อมูลให้ครอบคลุมยิ่งขึ้น。

การจัดประเภทข้อมูลตามระดับความสำคัญ

เราแบ่งประเภทข้อมูลออกเป็น 4 ระดับ ได้แก่ Critical, High, Medium และ Low ตามระดับความสำคัญของข้อมูล เพื่อกำหนดมาตรการปกป้องที่เหมาะสมสำหรับแต่ละประเภท ข้อมูลในแต่ละระดับจะได้รับการจัดการด้วยมาตรการด้านการเข้ารหัส การควบคุมสิทธิ์การเข้าถึง และการบันทึกประวัติการใช้งาน (Audit Log) ตามระดับความเสี่ยง เพื่อให้มั่นใจว่าข้อมูลได้รับการคุ้มครองอย่างเหมาะสมและปลอดภัย。

ความปลอดภัยของ AI

AI Agent เป็นหนึ่งในฟังก์ชันหลักของ Lumo ตั้งแต่การช่วยวางแผนและสนับสนุนกิจกรรมทางการตลาด ไปจนถึงการตอบกลับอัตโนมัติบน LINE โดย AI เข้ามามีบทบาทสำคัญในกระบวนการทำงานของลูกค้า

ด้วยเหตุนี้ เราจึงได้จัดเตรียมมาตรการด้านความปลอดภัยและการบริหารความเสี่ยงที่เข้มงวดสำหรับ AI โดยเฉพาะ เพื่อรับมือกับความเสี่ยงที่อาจเกิดขึ้นจากการใช้งาน AI และเพื่อให้มั่นใจว่าระบบมีความปลอดภัย น่าเชื่อถือ และสามารถควบคุมได้อย่างเหมาะสม。

ห้ามนำข้อมูลลูกค้าไปใช้ในการฝึกหรือปรับแต่งโมเดล AI

ข้อมูลของลูกค้าจะไม่ถูกนำไปใช้ในการฝึก (Training) หรือปรับแต่งโมเดล AI (Fine-tuning) ของผู้ให้บริการภายนอกโดยเด็ดขาด

ข้อมูลที่ส่งเข้าสู่ AI จะถูกจำกัดเฉพาะข้อมูลภายใน Workspace ที่เกี่ยวข้องเท่านั้น และผลลัพธ์ที่ได้จากการประมวลผลจะถูกจัดเก็บไว้ภายใน Workspace เดียวกัน โดยไม่มีการนำข้อมูลไปใช้ร่วมกับลูกค้ารายอื่นหรือโมเดล AI ภายนอกแต่อย่างใด。

การประมวลผล AI ทั้งหมดดำเนินการภายใน Google Cloud

การประมวลผล AI ทั้งหมดของ Lumo ดำเนินการภายใน สภาพแวดล้อมแบบปิดของ Google Cloud โดยข้อมูลของลูกค้าจะไม่ถูกส่งไปยังบริการ AI ภายนอกหรือผู้ให้บริการ AI บุคคลที่สาม

นอกจากนี้ กระบวนการประมวลผล AI ทั้งหมดจะดำเนินการภายใน ประเทศญี่ปุ่น เพื่อให้มั่นใจในด้านความปลอดภัยของข้อมูล การคุ้มครองความเป็นส่วนตัว และการปฏิบัติตามข้อกำหนดที่เกี่ยวข้อง。

กระบวนการอนุมัติโดยผู้ใช้งาน (Human-in-the-Loop)

AI มีหน้าที่ช่วยเสนอแนวคิดทางการตลาด สร้างเนื้อหาร่าง และสนับสนุนการออกแบบกระบวนการทำงานเท่านั้น ส่วนการดำเนินการจริง เช่น การส่งข้อความผ่าน LINE การเปิดใช้งานกลุ่มเป้าหมาย (Segment) หรือการเปิดใช้งาน Workflow จะต้องได้รับการตรวจสอบและอนุมัติโดยผู้ใช้งานทุกครั้ง

แนวทาง Human-in-the-Loop ช่วยให้มนุษย์ยังคงเป็นผู้ตัดสินใจขั้นสุดท้ายสำหรับการดำเนินการที่สำคัญ เพื่อสร้างสมดุลระหว่างประสิทธิภาพ ความปลอดภัย และการควบคุมการทำงานของ AI อย่างเหมาะสม。

OWASP Top 10 for LLM Applications 2025を踏まえたセキュリティ設計

การออกแบบด้านความปลอดภัยโดยอ้างอิง OWASP Top 10 for LLM Applications 2025

สำหรับความเสี่ยงด้านความปลอดภัยที่เกี่ยวข้องกับ AI และ Large Language Models (LLMs) โดยเฉพาะ Lumo ได้อ้างอิงแนวทางและแนวปฏิบัติจาก OWASP Top 10 for LLM Applications 2025 และนำมาตรการป้องกันที่เหมาะสมมาประยุกต์ใช้ทั้งในด้านการออกแบบระบบและการดำเนินงาน

เราได้จัดเตรียมมาตรการรับมือสำหรับความเสี่ยงหลักทั้ง 10 ประการที่ระบุไว้ในกรอบแนวทางดังกล่าว และดำเนินการทบทวน ปรับปรุง และประเมินมาตรการเหล่านี้อย่างต่อเนื่อง เพื่อช่วยลดความเสี่ยงจากการใช้งาน AI และเพิ่มความปลอดภัยให้กับระบบอย่างสม่ำเสมอ。

การเชื่อมต่อ LINE

Lumo มีการเชื่อมต่อกับ LINE Official Account เป็นหัวใจสำคัญของบริการ ในฐานะ LINE Technology Partner ที่ได้รับการรับรองจาก LINE Yahoo เราได้พัฒนาและดำเนินการระบบให้สอดคล้องกับข้อกำหนดด้านความปลอดภัยและมาตรฐานทางเทคนิคของแพลตฟอร์ม LINE เพื่อให้มั่นใจในความปลอดภัย ความน่าเชื่อถือ และความถูกต้องของการเชื่อมต่อและการแลกเปลี่ยนข้อมูลระหว่างระบบต่าง ๆ。

การตรวจสอบลายเซ็นของ Webhook

Webhook ทุกรายการที่ส่งมาจากแพลตฟอร์ม LINE จะได้รับการตรวจสอบ ลายเซ็นดิจิทัล (Signature Verification) เพื่อยืนยันความถูกต้องของแหล่งที่มาและความสมบูรณ์ของข้อมูล ป้องกันการปลอมแปลงหรือการแก้ไขข้อมูลโดยไม่ได้รับอนุญาต นอกจากนี้ Channel Secret ของ LINE จะถูกจัดการแยกตามแต่ละ Workspace และจัดเก็บในรูปแบบเข้ารหัส เพื่อเสริมสร้างความปลอดภัยของข้อมูลรับรองและการเชื่อมต่อระบบให้มีความปลอดภัยยิ่งขึ้น。

การคุ้มครองข้อมูลผู้ใช้งาน LINE

ข้อมูลต่าง ๆ ของผู้ใช้งาน LINE เช่น LINE User ID ข้อมูลโปรไฟล์ และ Channel Access Token จะถูกแยกจัดการตามแต่ละ Workspace เพื่อป้องกันไม่ให้ข้อมูลของลูกค้าแต่ละรายปะปนหรือเข้าถึงข้ามกันได้ นอกจากนี้ Channel Access Token ทั้งหมดยังถูกจัดเก็บในรูปแบบเข้ารหัส เพื่อช่วยลดความเสี่ยงจากการรั่วไหลของข้อมูลรับรองและเสริมสร้างความปลอดภัยของระบบโดยรวม。

การเข้าสู่ระบบด้วย LINE

Lumo รองรับการเข้าสู่ระบบด้วย LINE โดยใช้มาตรฐาน OAuth 2.0 และ OpenID Connect (OIDC) ซึ่งเป็นมาตรฐานสากลด้านการยืนยันตัวตนและการอนุญาตการเข้าถึง เพื่อให้มั่นใจในความปลอดภัยและความน่าเชื่อถือของกระบวนการเข้าสู่ระบบนอกจากนี้ เราจะขอและจัดเก็บเฉพาะข้อมูลที่จำเป็นต่อการให้บริการเท่านั้น โดยยึดหลัก Least Privilege (สิทธิ์เท่าที่จำเป็น) เพื่อช่วยลดความเสี่ยงในการเข้าถึงข้อมูลและคุ้มครองความเป็นส่วนตัวของผู้ใช้งาน。

ความปลอดภัยของการส่งข้อความ

ข้อความที่สร้างโดย AI จะถูกส่งออกได้ก็ต่อเมื่อผู้ใช้งานได้ตรวจสอบตัวอย่างข้อความและอนุมัติแล้วเท่านั้น เพื่อให้มั่นใจว่าเนื้อหามีความถูกต้องและเหมาะสมกับวัตถุประสงค์ในการใช้งาน นอกจากนี้ เงื่อนไขสำหรับการส่งข้อความแบบแบ่งกลุ่ม (Segmented Messaging) จะอ้างอิงเฉพาะข้อมูลภายใน Workspace เดียวกันเท่านั้น จึงไม่มีความเสี่ยงที่ข้อความจะถูกส่งผิดไปยังผู้ใช้งานปลายทางของลูกค้ารายอื่น ช่วยรับประกันทั้งความปลอดภัยของข้อมูลและความถูกต้องของการสื่อสาร。

ความพร้อมใช้งานของระบบและการตอบสนองต่อเหตุการณ์

เพื่อป้องกันความเสี่ยงจากการหยุดให้บริการของระบบหรือการสูญหายของข้อมูล เราได้จัดให้มีระบบเฝ้าระวังและติดตามการทำงานอย่างต่อเนื่อง พร้อมทั้งกำหนดกระบวนการตอบสนองต่อเหตุการณ์ฉุกเฉินไว้อย่างชัดเจน

ด้วยการตรวจสอบเชิงรุก การตรวจจับความผิดปกติ และขั้นตอนการรับมือที่เป็นมาตรฐาน เรามุ่งมั่นที่จะรักษาความเสถียรของบริการ และสามารถตอบสนองต่อปัญหาที่อาจเกิดขึ้นได้อย่างรวดเร็ว เพื่อลดผลกระทบต่อการดำเนินธุรกิจของลูกค้าให้น้อยที่สุด。

สถาปัตยกรรมสำรองและระบบ Auto Scaling

บริการหลักทำงานบนหลายอินสแตนซ์ตลอดเวลา เพื่อลดความเสี่ยงจากจุดล้มเหลวเพียงจุดเดียว (Single Point of Failure) เราตั้งเป้าหมายระดับความพร้อมใช้งานของบริการ (Uptime) ที่ 99.9% ต่อเดือน และมุ่งมั่นให้บริการอย่างต่อเนื่อง 24 ชั่วโมง 365 วันต่อปี。

การสำรองข้อมูลและการกู้คืนจากภัยพิบัติ

เราใช้การสำรองข้อมูลแบบเต็ม (Full Backup) เป็นประจำ และรองรับ PITR (Point-in-Time Recovery) เพื่อให้สามารถกู้คืนข้อมูลกลับไปยังช่วงเวลาที่ต้องการได้ เราตั้งเป้าหมาย RTO (Recovery Time Objective) น้อยกว่า 1 ชั่วโมง และ RPO (Recovery Point Objective) น้อยกว่า 5 นาที เพื่อเสริมสร้างความพร้อมในการกู้คืนระบบและความน่าเชื่อถือของบริการ。

การเฝ้าระวังและการแจ้งเตือนตลอด 24 ชั่วโมง

เราดำเนินการเฝ้าระวังสถานะการทำงานของบริการและเหตุการณ์ด้านความปลอดภัยอย่างต่อเนื่องตลอด 24 ชั่วโมง ในกรณีที่เกิดเหตุการณ์ด้านความปลอดภัยหรือเหตุขัดข้องของระบบ เราจะแจ้งข้อมูลเบื้องต้นแก่ลูกค้าที่ได้รับผลกระทบภายใน 72 ชั่วโมง หลังจากตรวจพบเหตุการณ์ดังกล่าว。

กระบวนการตอบสนองต่อเหตุการณ์ 6 ขั้นตอน

เราได้กำหนดกระบวนการตอบสนองต่อเหตุการณ์อย่างเป็นระบบ โดยแบ่งออกเป็น 6 ขั้นตอน ได้แก่ การตรวจพบและรายงาน / การตอบสนองเบื้องต้น / การสืบสวนและวิเคราะห์ / การกู้คืนระบบ / การแจ้งเตือน / การป้องกันการเกิดซ้ำ ผู้ที่พบเหตุการณ์จะต้องรายงานต่อผู้รับผิดชอบด้านความปลอดภัยทันที จากนั้นทีมที่เกี่ยวข้องจะดำเนินการอย่างต่อเนื่องตั้งแต่การระบุขอบเขตผลกระทบ การแจ้งลูกค้า การกู้คืนระบบ ไปจนถึงการกำหนดมาตรการป้องกันไม่ให้เกิดเหตุการณ์ซ้ำในอนาคต。

 

เกี่ยวกับ Lumo

สำรวจเพิ่มเติมเกี่ยวกับ Lumo

ฟีเจอร์ ราคา กรณีศึกษา เอกสารที่เป็นประโยชน์