ข้อตกลงการใช้บริการ (Terms of Use) e-Tax Invoice Service Provider
ข้อตกลงการใช้บริการ (Terms of Use) e-Tax Invoice Service Provider
1. นิยาม/ความหมาย (Definition)
บริษัท ฯ คือ บริษัท อินเทอร์เน็ตประเทศไทย จํากัด (มหาชน)
ผู้ให้บริการ (e-Tax Invoice Service Provider) คือ บริษัทฯ ผู้ให้บริการ e-Tax Invoice Service Provider ที่มี ลักษณะการให้บริการในรูปแบบ Software as a Service (SaaS) โดยมีที่ตั้งของการให้บริการ (Geographical Location) อยู่ที่ จังหวัดกรุงเทพมหานคร ประเทศไทย
ผู้ให้บริการ (e-Tax Invoice Service Provider) ดําเนินการตามข้อกําหนดด้านกฎหมายและxxxxxxxข้อบังคับทั้ง ภายในและภายนอก กฎหมายหรือข้อบังคับทางภายนอก ประกอบด้วย xxxxxxxกรมสรรพากรว่าด้วยการจัดทํา ส่งมอบ และเก็บ รักษาใบกํากับภาษีอิเล็กทรอนิกส์ และใบรับอิเล็กทรอนิกส์ พ.ศ.2560 , ข้อเสนอแนะมาตรฐานด้านเทคโนโลยีสารสนเทศ และการ สื่อสารที่จําเป็นต่อธุรกรรมทางอิเล็กทรอนิกส์ ว่าด้วยการรักษาความมั่นคงปลอดภัยสารสนเทศ สําหรับผู้ให้บริการจัดทํา ส่งมอบ และเก็บรักษาข้อมูลอิเล็กทรอนิกส์ จากสํานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (ขมธอ. 21-2562) ข้อเสนอแนะมาตรฐานด้านเทคโนโลยีสารสนเทศและการสื่อสารที่จําเป็นต่อธุรกรรมทางอิเล็กทรอนิกส์ ขมธอ.3-2560 ว่าด้วย ข้อความอิเล็กทรอนิกส์สําหรับการซื้อขายสินค้าและบริการ (Trade services Message Standard) เวอร์ชัน 2.0 , พระราช กฤษฎีกาว่าด้วยวิธีการแบบปลอดภัยในการทําธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553 , ประกาศ /พรบ. (คําสั่ง สํานักงาน กสทช. , พรบ.ว่าด้วยการกระทําความผิดทางคอมพิวเตอร์, พระราชบัญญัติลิขสิทธิ์, xxxxxxกฎหมายอาญา, ประกาศสํานักงาน คณะกรรมการ ก.ล.ต. , กฎกระทรวง กําหนดมาตรฐานในการบริหาร จัดการ และดําเนินการด้านความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมในการทํางานเกี่ยวกับไฟฟ้า เพื่อให้ผู้ใช้บริการมั่นใจในการดําเนินการและการให้บริการที่มีความมั่นคง ปลอดภัย, มาตรฐาน ISO 27001, มาตรฐาน ISO 20000, มาตรฐาน ISO 22301, มาตรฐาน ISO 27018 , CSA Security, Trust & Assurance Registry (STAR) ซึ่งเป็นมาตรฐานที่เกี่ยวข้องกับการดําเนินธุรกิจ e-Tax Invoice Service Provider เพื่อสร้าง ความมั่นคงปลอดภัยและการให้บริการที่มีมาตรฐานให้กับผู้ใช้บริการ
บริการ e-Tax invoice Service Provider คือ บริการจัดทํา ส่งมอบ และเก็บรักษาข้อมูลใบกํากับภาษีและใบรับ อิเล็กทรอนิกส์
ผู้ใช้บริการ (e-Tax Customer) คือ ลูกค้าบริการ e-Tax invoice Service Provider ของบริษัทฯ
ข้อมูล คือ ข้อมูลสารสนเทศหรือข้อมูลส่วนบุคคลที่ผู้ใช้บริการสร้างระหว่างการใช้งานบริการ e-Tax Invoice Service Provider หรือข้อมูลสารสนเทศที่บริษัทฯ ได้จัดเตรียมให้ผู้ใช้บริการก่อน หรือหลังใช้บริการ รวมไปถึงข้อมูลสารสนเทศที่เกิดขึ้น
ระหว่างการใช้งานบริการ e-Tax Invoice Service Provider xxxx ข้อมูลการทําธุรกรรม (Transaction) หรือ บัญชีผู้ใช้งาน (User Account) ของระบบ Web portal e-Tax รวมถึงข้อมูลการเข้ารหัสกุญแจสาธารณะ (Public key or Private key cryptography) เป็นต้น
เหตุการณ์ด้านความมั่นคงปลอดภัย (Information security event) คือ สถานการณ์ที่ส่งผลกระทบต่อการรักษา ความมั่นคงปลอดภัยระบบสารสนเทศของผู้ใช้บริการหรือผู้ให้บริการ
จุดอ่อน (Weakness) คือ สิ่งหรือสถานการณ์ที่ยังไม่เข้าข่ายเป็นเหตุการณ์ต้านความมั่นคงปลอดภัยของสารสนเทศ แต่ หากปล่อยไว้อาจลุกลามจนกลายเป็นเหตุการณ์ด้านความมั่นคงปลอดภัยของสารสนเทศ (Information security incident)
2. หน้าที่ความรับผิดชอบด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ (Information Security roles and responsibility) ของผู้ใช้บริการ
2.1 ผู้ใช้บริการมีหน้าที่ในการดูแลรักษาความมั่นคงปลอดภัยของข้อมูลที่เกี่ยวข้องกับการทําธุรกรรม (transaction) xxxx ข้อมูลเลขหมายประจําตัวผู้ใช้ (User ID) และหรือรหัสประจําตัว (Password) และหรือ Access key และหรือรหัส ประจําตัว (Password) ของ Access Certificate เป็นเรื่องเฉพาะตัว ซึ่งผู้ใช้บริการต้องเก็บรักษาเป็นความลับ หากมี บุคคลอื่นใดนําข้อมูลดังกล่าวไปใช้ เข้าข่ายไม่ชอบด้วยกฎหมาย ละเมิดหรือเป็นการฝ่าฝืนต่อสัญญาการใช้บริการ ไม่ว่า ผู้ให้บริการจะอนุญาตยินยอมหรือมีค่าตอบแทนหรือไม่ ผู้ให้บริการมีxxxxxระงับการให้บริการชั่วคราวหรือยกเลิกการ ให้บริการโดยไม่แจ้งให้ทราบล่วงหน้า เมื่อผู้ให้บริการพิสูจน์ได้ว่า บริการที่ให้แก่ผู้ใช้บริการถูกนําไปใช้โดยไม่ชอบด้วย กฎหมายหรือฝ่าฝืนต่อสัญญา
2.2 ผู้ใช้บริการต้องดูแลรักษาความมั่นคงปลอดภัยของข้อมูลที่เกี่ยวข้องกับการทําธุรกรรม (Transaction) ของ ผู้ใช้บริการ ที่จัดเก็บข้อมูลสารสนเทศ (Customer information) ไว้ ทั้งนี้บริษัทฯ มีหน้าที่รับผิดชอบตามxxxxxxมีการตกลงร่วมกันไว้ เท่านั้น
2.3 ผู้ใช้บริการควรใช้มาตรการควบคุมด้านความมั่นคงปลอดภัยอย่างเหมาะสมกับข้อมูลสําคัญ xxxx การเข้ารหัสข้อมูล เป็นต้น
2.4 ผู้ให้บริการ e-Tax Invoice Service Provider มีการจัดเตรียมการควบคุมการเข้าถึงข้อมูลทเกี่ยวข้องกับการxxx ธุรกรรม (Transaction) ผ่านเครือข่ายด้วย Virtual Firewall! ซึ่งการดูแลรักษาความมั่นคงปลอดภัยด้านเครือข่าย (Network Security) ดังกล่าวอย่างไรก็ตามบริษัทฯ แนะนําให้ผู้ใช้บริการจัดหามาตรการควบคุมความมั่นคงปลอดภัยในการ เชื่อมต่อxxxxxระบบของผู้ให้บริการ xxxx มีวิธีการเชื่อมต่อและxxxxxxข้อมูลด้วยการส่งข้อมูลผ่านช่องทางที่เข้ารหัสด้วย SSL/TLS Version 1.2 หรือเวอร์ขันที่สูงกว่า เป็นต้น
2.5 ผู้ใช้บริการควรปรับเปลี่ยนรหัสผ่าน (Reset password) ที่มีความมั่นคงปลอดภัยของบัญชีผู้ใช้งานระบบ และ บัญชี ผู้ใช้งานของระบบบริหารจัดการข้อมูลที่เกี่ยวข้องกับการทําธุรกรรม (Transaction) ทันที xxxxxxรับจากบริษัทฯ เมื่อเริ่ม การใช้งานบริการ e-Tax Invoice Service Provider
2.6 การบริหารจัดการบัญชีผู้ใช้งาน (User and Privilege Management) หรือxxxxxxxxใช้งานของระบบ e-Tax Invoice Service Provider และบัญชีผู้ใช้งานของระบบบริหารจัดการ e-Tax Invoice Service Provider ถือเป็นหน้าที่ความ รับผิดชอบของผู้ใช้บริการเอง โดยบริษัทฯ จะไม่รับผิดชอบในการเข้าถึงการบริหารจัดการบัญชีผู้ใช้งานดังกล่าว ทั้งนี้ เพื่อให้ระบบและข้อมูลของผู้ใช้บริการมีความมั่นคงปลอดภัย ควรมีการลงทะเบียน การยกเลิก และการทบทวนบัญชี ผู้ใช้งานอย่างสม่ําเสมอ
2.7 ผู้ใช้บริการxxxxxxแจ้งเหตุการณ์ด้านความมั่นคงปลอดภัยหรือจุดอ่อนด้านความมั่นคงปลอดภัยที่เกิดจากการใช้บริการ e-Tax Invoice Service Provider ผ่านช่องทาง xxx@xxxx.xx.xx หรือ Call Center และบริษัทฯ จะตอบรับ เหตุการณ์ฯ ตามระยะเวลาที่เหมาะสม
2.8 ในกรณีผู้ใช้บริการต้องการให้บริษัทฯ ช่วยดําเนินการจัดส่งหลักฐานทางคอมพิวเตอร์ในส่วนที่อยู่ในความรับผิดชอบของ บริษัทฯ ผู้ใช้บริการxxxxxxแจ้งรายละเอียดผ่านช่องทาง xxx@xxxx.xx.xx หรือ Call Center
2.9 หากมีการเปลี่ยนแปลงระบบภายใต้บริการ e-Tax Invoice ที่มีผลกระทบต่อการใช้งาน Transaction ของผู้ใช้บริการ บริษัทฯ จะมีการแจ้งให้ทราบก่อนการดําเนินการผ่านช่องทาง noc@inet.co.t! หรือ Call Center
2.10 หน้าที่การบริหารจัดการผู้ให้บริการภายนอกของผู้ใช้งาน (Supplier of Customer) ผู้ใช้งานจะต้องควบคุมเสมือนเป็น หน้าที่ของผู้ใช้บริการเอง โดยต้องได้รับขออนุญาตจากผู้ใช้บริการก่นดําเนินการ และผลจากการดําเนินการถือเป็นความ รับผิดชอบของผู้ใช้บริการ
3. การบริหารจัดการความมั่นคงปลอดภัยของข้อมูล
3.1 ในกรณีที่ผู้ใช้บริการต้องการไฟล์เอกสาร ที่เกี่ยวข้องกับบริการ e-Tax Invoice Service Provider ได้แก่ pdf, XML แต่ หากผู้ใช้บริการต้องการรูปแบบไฟล์เอกสารอื่น ๆ xxxxxxxxxxxxxxxผ่านซ่องทาง xxx@xxxx.xx.xx หรือ Call Center
3.2 ในกรณีที่ผู้ใช้บริการต้องการ Export/Import ข้อมูล (ทั้งในรูปแบบกระดาษและไฟล์อิเล็กทรอนิกส์) ผู้ใช้บริการจะต้อง แจ้งวิธีการและรูปแบบไฟล์ที่ต้องการให้ทางบริษัทฯ ทราบล่วงหน้า โดยข้อมูลที่ทางบริษัทจะดําเนินก าร Export/Import จะอยู่ในรูปแบบของไฟล์ Zip file หรือรูปแบบอื่นที่บริษัทฯ กําหนดระยะเวลาจะขึ้นอยู่กับขนาดไฟล์ ของข้อมูลนั้น ๆ
3.3 ผู้ใช้บริการควรพิจารณาระบุชั้นความลับหรือติดป้ายแสดงระดับชั้นของข้อมูลที่อยู่ในรูปแบบเอกสารและไฟล์ อิเล็กทรอนิกส์ เพื่อป้องกันและลดความเสี่ยงxxxxxxจะเกิดขึ้นกับข้อมูลของผู้ใช้บริการ
3.4 บริการ e-Tax Invoice Service Provider มีการบันทึกและจัดเก็บข้อมูลของผู้ใช้บริการไว้ 2 Location โดยจัดเก็บ ข้อมูลของผู้ใช้บริการไว้ภายใน 2 ศูนย์คอมพิวเตอร์หลัก ในลักษณะทํางานแทนกันได้ทันที (High-Availability) แบบ Active Active (โดยศูนย์คอมพิวเตอร์หลักทั้ง 2 ศูนย์นี้ ตั้งอยู่ที่จังหวัดกรุงเทพมหานคร ประเทศไทย)
3.5 บริการ e-Tax Invoice Service Provider มีการให้บริการ Virtual Firewall ในการป้องกันการบุกรุกทางเครือข่าย
4. การลบ/หรือทําลายข้อมูล (Information/Data Disposal)
4.1 กรณีมีการทําลายข้อมูล Transaction ของผู้ใช้บริการ ผู้ใช้บริการxxxxxxทําลายข้อมูลได้ ภายหลังการทําลายข้อมูลจะ ไม่xxxxxxคืนได้ บริษัทฯ ไม่มีหน้าที่ความรับผิดชอบในการทําลายข้อมูล เว้นแต่ในกรณีที่ผู้ใช้บริการยกเลิกการใช้ บริการและสิ้นระยะเวลาเก็บรักษาข้อมูลตามที่ตกลงไว้
4.2 ข้อมูล User Account ของระบบบริหารจัดการ Transaction ทั้งหมดที่ผู้ใช้บริการสร้างขึ้นระหว่างการใช้บริการจะถูก ลบออกจากบริการ e-Tax Invoice Service Provider โดยไม่xxxxxxใช้ User Account ตังกล่าวเข้าสู่บริการได้
4.3 ในกรณีที่มีการยกเลิกการใช้บริการ ผู้ใช้บริการต้องแจ้งทางบริษัทฯ ล่วงหน้าไม่น้อยกว่า 30 วัน เพื่อกําหนดระยะเวลา ในการลบ Transaction และระยะเวลาการเก็บรักษา Transaction หลังจากสิ้นสุดระยะเวลาที่กําหนด บริษัทฯ จะ ทําลายข้อมูลทั้งหมดของผู้ใช้บริการด้วยกระบวนการทําลายข้อมูลที่บริษัทฯ เตรียมไว้ หากไม่มีการกําหนดบริษัทฯ จะ เก็บรักษาข้อมูลของผู้ใช้บริการไว้เป็นระยะเวลา 15 วันนับจากxxxxxxยกเลิกและโอนย้ายบริการ
5. ลิขสิทธิ์การใช้งานระบบปฏิบัติการ และโปรแกรมประยุกต์
5.1 บริการ e-Tax Invoice Service Provider จะเตรียมระบบปฏิบัติการ และโปรแกรมประยุกต์ที่มีลิขสิทธิ์ถูกต้อง เพื่อใช้ ในการให้บริการตามชนิด Package ที่ผู้ใช้บริการเลือกตั้งแต่การทําสัญญาเพื่อการใช้บริการ
5.2 ผู้ใช้บริการต้องไม่ละเมิดลิขสิทธิ์ระบบปฏิบัติการ และโปรแกรมประยุกต์ที่บริษัทฯ จัดเตรียมให้
5.3 ผู้ใช้บริการควรมีการควบคุมโปรแกรมประยุกต์ที่ใช้งาน และควรทบทวนการใช้งานโปรแกรมประยุกต์อย่างสม่ําเสมอ
5.4 ผู้ใช้บริการต้องไม่ติดตั้งโปรแกรมที่ละเมิดลิขสิทธิ์และโปรแกรมที่มีลักษณะการทํางานที่ก่อให้xxxxxxกระทบกับการ ให้บริการของบริษัทฯ การxxxจับข้อมูล การลักลอบถอดรหัสผ่าน การปลอมแปลงข้อมูลคอมพิวเตอร์ การเข้าถึงระบบ สารสนเทศโดยมิชอบ หรือรบกวนการทํางานของเครือข่าย กรณีที่การใช้งานโปรแกรมประยุกต์ดังกล่าวxxxxxxกระทบ กับบริษัทฯ ก่อให้เกิดความเสียหายต่อการให้บริการ ทรัพย์สินที่เกี่ยวข้อง ผู้ใช้บริการต้องเป็นผู้รับผิดชอบต่อค่าเสียหาย ทั้งหมดที่เกิดขึ้น
5.5 การติตตั้ง การดัดแปลง โปรแกรมประยุกต์หรือการกระทําที่ผิดกฎหมาย xxxxxxเป็นความรับผิดชอบของผู้ใช้บริการแต่ เพียงผู้เดียว ทางบริษัทฯ จะไม่มีส่วนเกี่ยวข้องกับการกระทําใด ๆ ในทุกกรณี
5.6 ลิขสิทธิ์ของการพัฒนาระบบสารสนทศ การพัฒนาโปรแกรม การจัดทําข้อมูลที่สร้างระหว่างการใช้บริการ e-Tax Invoice Service Provider ถือเป็นสิทธิ์ของผู้ใช้บริการ แต่ต้องไม่ละเมิดต่อเงื่อนไขลิขสิทธิ์ระบบปฏิบัติการ และ โปรแกรมประยุกต์ที่ทางบริษัทฯ จัดเตรียมให้
ภาคผนวก
User registration and de-registration
ผู้ใช้บริการควรมีการลงทะเบียน การยกเลิก และการทบทวนบัญชีผู้ใช้งาน ในการลงทะเบียนและยกเลิกบัญชีผู้ใช้งาน ควรผ่านการอนุมัติจากหัวหน้าหน่วยงานหรือผู้ที่มีxxxxx ซึ่งการสร้างบัญชีรายชื่อให้ Unique ไม่นําบัญชีรายชื่อเดิมมาใช้งาน ควร สร้างบัญชีรายชื่อใหม่ให้เหมาะสม และให้xxxxxตามความจําเป็นต่อการใช้งานหรือตามที่ร้องขอ โดยควรแบ่งแยกหน้าที่และความ รับผิดชอบ (Segregation of duties) ของผู้เกี่ยวข้องในระบบงานต่าง ๆ เพื่อป้องกันไม่ให้ผู้ใดxxxxxxเข้าถึงระบบงานทั้งหมด หากต้องให้xxxxx Admin หรือ Root ควรมีเครื่องมือทางเทคนิคเพื่อตรวจสอบการทํางาน และการส่งบัญชีรายชื่อและรหัสผ่านควร ส่งแยกแต่ละช่องทาง xxxx ถ้าส่งทาง E-mail รหัสควรส่งทาง SMS เป็นต้น หากเป็นการส่งทางอิเล็กทรอนิกส์ควรมีการเข้ารหัส ข้อมูลและหากเป็นxxxxx Admin หรือ Root ควรพิจารณาการส่งให้ปลอดภัยมากขึ้น
การบริหารจัดการกุญแจ
ผู้ใช้บริการที่มีการจัดเก็บข้อมูลระดับชั้น Confidential ต้องใช้การเข้ารหัสข้อมูลโดยxxxxxxเลือกใช้ได้ 2 วิธีการ คือ รูปแบบที่ 1 Symmetric encryption คือ ผู้ส่งและผู้รับจะต้องมีกุญแจรหัสที่เหมือนกันเพื่อใช้ในการเข้ารหัสและถอดรหัส
รูปแบบที่ 2 Asymmetric cryptography คือ การเข้ารหัสและถอดรหัสโดยใช้กุญแจรหัสแยกxxxxxออกจากกัน หรือตามที่ องค์กรของผู้ใช้บริการได้กําหนดไว้
ผู้ใช้บริการควรมีการบริหารจัดการกุญแจหรือรหัส (Key) ในขั้นตอนการสร้างกุญแจรหัส (Key Generation), การ แจกจ่ายกุญแจรหัส (Key Distribution), การสํารองกุญแจรหัส (key stone), การกู้คืนกุญแจรหัส (key recovery) และการเพิก ถอนกุญแจรหัส (key revoking) พร้อมทั้งมีการจัดเก็บกุญแจหรือรหัส (Key) ในการเข้ารหัสข้อมูลตามการบริหารจัดการระดับชั้น ข้อมูลความลับ
ในการจัดเก็บกุญแจหรือรหัส (Key ในการเข้ารหัสข้อมูลตามการบริหารจัดการระดับชั้นข้อมูลความลับการสร้างและ ติดตั้งกุญแจ (Key pair Generation and Installation) จะถูกจัดเก็บใน Hardware Security Module (HSM) ส่วนกุญแจคู่ของ ผู้ให้บริการจะถูกสร้างและถูกติดตั้งใน HSM ซึ่งสอดคล้องตามมาตรฐานxxxx Federal Information Processing Standard (FIPS) 140-2 Level 3 ส่วนการสร้างกุญแจของผู้ให้บริการจะถูกสร้างและจัดเก็บใน HSM ซึ่งเป็นอุปกรณ์จัดเก็บรักษากุญแจ ส่วนตัวที่มีความปลอดภัยสูง ไม่xxxxxxคัดลอก กุญแจส่วนตัวและข้อมูลอื่นใดออกไปได้
การจัดการรหัสผ่าน
1. ต้องมีการระบุและพิสูจน์ตัวตนของผู้ใช้งาน
2. เก็บรักษาบัญชีชื่อผู้ใช้งาน (Username) และรหัสผ่าน (Password) ให้เป็นความลับ
3. เมื่อได้รับรหัสผ่านในครั้งแรก ต้องเปลี่ยนรหัสผ่านใหม่ทันที
4. รหัสผ่านควรมีความยาวไม่น้อยกว่า 8 อักขระ
5. ไม่กําหนดรหัสผ่านจากชื่อ หรือนามสกุลของตนเอง หรือบุคคลในครอบครัว หรือบุคคลที่มีความxxxxxxxxใกล้ชิดกับตน หรือคําศัพท์ที่ปรากฏในพจนานุกรม และหลีกเลี่ยงรหัสผ่านที่xxxxxxง่าย
6. หลีกเลี่ยงการเก็บบันทึกรหัสผ่านลงในกระดาษ ไฟล์ข้อมูล ยกเว้นว่ามีขั้นตอนหรือวิธีการเก็บรักษาที่พิสูจน์ได้ว่า ปลอดภัยจริง
7. กําหนดให้เปลี่ยนรหัสผ่าน เปลี่ยนรหัสผ่านเป็นประจํา ภายในทุก ๆ 90 วัน
8. Use of privileged utility programs
ผู้ใช้บริการต้องไม่กระทําการใด ที่มีลักษณะการทํางานที่ก่อให้xxxxxxกระทบกับการให้บริการของบริษัท ฯ การxxxจับ ข้อมูล การลักลอบถอดรหัสผ่าน การปลอมแปลงข้อมูลคอมพิวเตอร์ การเข้าถึงระบบสารสนเทศโดยมิชอบหรือรบกวนต่อการ ทํางานของเครือข่าย กรณีที่การกระทําในลักษณะดังกล่าวและxxxxxxกระทบกับบริษัทฯ ก่อให้เกิดความเสียหายต่อการให้บริการ ทรัพย์สินที่เกี่ยวช้อง ผู้ใช้บริการต้องเป็นผู้รับผิดชอบต่อค่าเสียหายทั้งหมดที่เกิดขึ้น