SLA.in.th – Service Level Agreement

1. บทนิยาม (Definitions) #

• “ผู้ให้บริการ” หมายถึง MDC.in.th รวมถึงตัวแทนจำหน่าย ผู้ดูแลระบบ ผู้ให้บริการซัพพอร์ต และพันธมิตรทางเทคนิคที่ได้รับอนุญาตอย่างถูกต้อง
• “ผู้ใช้บริการ” หมายถึงบุคคลธรรมดา นิติบุคคล หรือองค์กรที่ใช้บริการของ SLA.in.th ไม่ว่าจะโดยตรงหรือผ่านตัวแทนจำหน่ายของ MDC.in.th
• “บริการ” หมายถึงบริการทั้งหมดตามที่ระบุไว้ในข้อ 3 รวมถึง Monitoring, Alerting, Status Page, Server Management และบริการที่เกี่ยวข้องอื่น ๆ ภายใต้แบรนด์ SLA.in.th
• “Downtime” หมายถึงช่วงเวลาที่บริการหลักไม่สามารถใช้งานได้ตามปกติ หรือไม่สามารถเข้าถึงได้จากโครงข่ายอินเทอร์เน็ตภายนอก
• “เหตุสุดวิสัย” หมายถึงเหตุการณ์ที่อยู่นอกเหนือการควบคุมของผู้ให้บริการ เช่น ภัยธรรมชาติ ไฟไหม้ น้ำท่วม แผ่นดินไหว สงคราม การก่อการร้าย การล่มของเครือข่ายสาธารณะ หรือเหตุการณ์อื่นที่ทำให้ไม่สามารถให้บริการได้ตามปกติ

2. วัตถุประสงค์ (Objective) #

SLA ฉบับนี้จัดทำขึ้นเพื่อกำหนดมาตรฐานด้านความพร้อมใช้งาน ความปลอดภัย ความเสถียร และความรับผิดชอบร่วมกันระหว่าง MDC.in.th (รวมถึงตัวแทนจำหน่ายที่ได้รับอนุญาต) กับผู้ใช้บริการของ SLA.in.th เพื่อสร้างความโปร่งใส และความมั่นใจในคุณภาพการให้บริการ ช่วยให้ผู้ใช้บริการสามารถประเมินความเชื่อถือได้ของระบบ และกำหนดขอบเขตความคาดหวังที่ชัดเจนต่อการใช้งานบริการทั้งหมด

3. ขอบเขตการให้บริการ (Scope of Services) #

บริการภายใต้ข้อตกลงนี้:

• Hosting / Virtual Machine (VM)
• Micro Colocation / Edge Rack
• ระบบสำรองข้อมูล (Backup System)
• IoT Edge Compute

บริการที่ไม่ครอบคลุม:

• อุปกรณ์หรืออินเทอร์เน็ตฝั่งลูกค้า
• ซอฟต์แวร์/สคริปต์ที่ติดตั้งโดยลูกค้าเอง
• บริการ Third Party ที่ผู้ให้บริการไม่สามารถควบคุมได้

4. การรับประกันความพร้อมใช้งาน (Uptime Guarantee) #

ผู้ให้บริการรับประกันความพร้อมใช้งานของระบบไฟฟ้าและเครือข่ายภายในศูนย์ข้อมูล รวมถึงระบบพื้นฐานที่จำเป็นสำหรับการให้บริการในระดับไม่น้อยกว่า 99.00% ต่อเดือน ทั้งนี้การคำนวณ Uptime จะอ้างอิงเฉพาะ Downtime ที่เกิดจากโครงสร้างพื้นฐานที่อยู่ภายใต้ความรับผิดชอบของผู้ให้บริการเท่านั้น

4.1 สิ่งที่ครอบคลุมการรับประกัน

• การทำงานของระบบไฟฟ้าภายในศูนย์ข้อมูล (Power Availability)
• ความเสถียรของระบบเครือข่ายหลัก เช่น Core Network, Internet Upstream
• ความพร้อมใช้งานของเครื่องแม่ข่าย (Compute Node) ที่อยู่ภายใต้บริการ Hosting/VM
• โครงสร้างพื้นฐานพื้นฐานของบริการ Storage, Switch, Router ที่ผู้ให้บริการดูแล

4.2 สิ่งที่ไม่รวมอยู่ในการคำนวณ Uptime

• การบำรุงรักษาตามแผน (Planned Maintenance) ที่แจ้งล่วงหน้า
• ความผิดพลาดจากการตั้งค่าหรือการใช้งานของผู้ใช้บริการ (User Misconfiguration)
• ความล้มเหลวของระบบที่ผู้ใช้บริการติดตั้งเอง เช่น Software, Script, API
• เหตุสุดวิสัย เช่น ภัยธรรมชาติ, ไฟดับระดับประเทศ, ISP ล่มในวงกว้าง
• การถูกโจมตีไซเบอร์ที่รุนแรง เช่น DDoS ขนาดใหญ่จนเกินขีดจำกัดการป้องกัน

4.3 การคำนวณ Uptime

สูตรมาตรฐาน:

Uptime (%) = ((เวลาทั้งหมดในเดือน – Downtime ที่เข้าข่าย SLA) / เวลาทั้งหมดในเดือน) × 100

ผู้ให้บริการจะจัดทำรายงาน Downtime รายเดือนให้ผู้ใช้บริการในกรณีที่ร้องขอ หรือเมื่อเกิดเหตุการณ์ที่มีผลกระทบต่อ SLA

5. การบำรุงรักษาระบบ (System Maintenance) #

การบำรุงรักษาระบบเป็นกระบวนการสำคัญเพื่อรักษาความเสถียร ความปลอดภัย และประสิทธิภาพของบริการ ผู้ให้บริการมีการแบ่งประเภทการบำรุงรักษาออกเป็น 2 รูปแบบ ได้แก่ การบำรุงรักษาตามแผน และการบำรุงรักษาฉุกเฉิน

5.1 การบำรุงรักษาตามแผน (Planned Maintenance)

• ผู้ให้บริการจะแจ้งล่วงหน้าอย่างน้อย 24 ชั่วโมง ก่อนเริ่มดำเนินการ
• ดำเนินการในช่วงเวลาที่กระทบต่อผู้ใช้บริการน้อยที่สุด เช่น ช่วงกลางดึก
• อาจรวมถึงการอัปเดตแพตช์, ปรับปรุงระบบ, ทดสอบอุปกรณ์ และเพิ่มประสิทธิภาพเครือข่าย
• ช่วงเวลานี้ไม่ถูกนำไปนับรวมเป็น Downtime ในการคำนวณ SLA

5.2 การบำรุงรักษาฉุกเฉิน (Emergency Maintenance)

• ดำเนินการทันทีเมื่อพบเหตุที่อาจสร้างความเสี่ยงต่อความปลอดภัยหรือเสถียรภาพของระบบ
• ผู้ให้บริการจะแจ้งผู้ใช้บริการโดยเร็วที่สุดหลังเริ่มการบำรุงรักษา
• อาจเกิดจากปัญหาฮาร์ดแวร์, ช่องโหว่ความปลอดภัยรุนแรง, หรือระบบสำคัญทำงานผิดปกติ
• อาจส่งผลให้บริการหยุดชั่วคราวในบางส่วน

5.3 ขอบเขตการบำรุงรักษาของ IDC และ MDC

• IDC: ดูแลระบบไฟฟ้า ความเย็น ความปลอดภัยกายภาพ ระบบเครือข่ายหลัก และอุปกรณ์โครงสร้างพื้นฐาน
• MDC: ดูแลระบบระดับบริการ เช่น VM, Monitoring, ระบบแจ้งเตือน และ Managed Service อื่น ๆ

6. การสนับสนุนทางเทคนิค (Technical Support) #

ผู้ให้บริการมีทีมงาน NOC และฝ่ายสนับสนุนทางเทคนิคที่พร้อมให้บริการตลอด 24 ชั่วโมง เพื่อให้ความช่วยเหลือ ตรวจสอบ และแก้ไขเหตุการณ์ที่เกี่ยวข้องกับระบบ โดยแบ่งระดับความรุนแรง (Severity) และเวลาตอบกลับดังนี้:

6.1 ระดับความรุนแรงของปัญหา (Severity Level)

ระดับความรุนแรง	คำจำกัดความ	เวลาตอบกลับ (Response Time)
Critical	บริการหลักหยุดทำงานทั้งหมด หรือมีผลกระทบลักษณะหยุดให้บริการ	ภายใน 15 นาที
High	ระบบสำคัญทำงานผิดปกติหรือประสิทธิภาพลดลงมาก	ภายใน 1 ชั่วโมง
Medium	ระบบบางส่วนทำงานผิดปกติ แต่บริการหลักยังสามารถใช้งานได้	ภายใน 4 ชั่วโมงทำการ
Low	คำถามทั่วไปหรือคำปรึกษาที่ไม่ส่งผลกระทบต่อระบบ	ภายใน 24 ชั่วโมงทำการ

6.2 ช่องทางการติดต่อฝ่ายสนับสนุน

• โทรศัพท์ NOC 24/7: 088-750-9553
• Email Support: noc@mdc.in.th
• LINE Official: @mdcth
• รองรับ Ticket ผ่านระบบแจ้งปัญหา (ถ้ามี)

6.3 ขอบเขตการสนับสนุน (Support Scope)

• รวม: ปัญหาเซิร์ฟเวอร์/VM ที่ผู้ให้บริการดูแล, Network, Hardware, ระบบของบริการหลัก
• ไม่รวม: Software, Code, Script, Database Schema ที่ผู้ใช้บริการพัฒนาด้วยตนเอง
• ผู้ให้บริการสามารถประสานงานกับ IDC เมื่อปัญหาอยู่ในระดับโครงสร้างพื้นฐาน

6.4 การสื่อสารสถานะเหตุการณ์

• เมื่อเกิดเหตุสำคัญ ผู้ให้บริการจะอัปเดตสถานะเป็นระยะ จนกว่าระบบจะกลับสู่ปกติ
• กรณีเหตุร้ายแรง (Critical Incident) ผู้ให้บริการจัดทำ RCA ภายใน 72 ชั่วโมง
• ใช้ช่องทางอีเมล, Line OA หรือ Status Page ในการประกาศ

7. มาตรการชดเชยบริการ (Service Credits) #

Uptime รายเดือน	เครดิต
< 99% ≥ 98%	5%
< 98% ≥ 95%	10%
< 95%	25%

8. หน้าที่และความรับผิดชอบของคู่สัญญา (Responsibilities of Parties) #

เพื่อให้การใช้บริการเป็นไปอย่างมีประสิทธิภาพ ผู้ให้บริการ (MDC.in.th) และผู้ใช้บริการ ต้องมีหน้าที่และความรับผิดชอบร่วมกันตามรายละเอียดดังต่อไปนี้

8.1 หน้าที่ของผู้ให้บริการ

• ดูแลรักษาระบบ เซิร์ฟเวอร์ และโครงสร้างพื้นฐานให้มีความเสถียรและสามารถใช้งานได้ตาม SLA
• ตรวจสอบสถานะของระบบ (Monitoring) ตลอด 24 ชั่วโมง และแจ้งเตือนผู้ใช้บริการเมื่อพบเหตุผิดปกติ
• แจ้งกำหนดการบำรุงรักษาระบบล่วงหน้าไม่น้อยกว่า 24 ชั่วโมง
• ดำเนินการแก้ไขเหตุขัดข้องตามระดับความรุนแรงที่ระบุ
• ดำเนินมาตรการรักษาความปลอดภัยด้านข้อมูลตามนโยบายข้อ 12
• รักษาความลับของข้อมูลลูกค้า และไม่เปิดเผยหรือใช้ข้อมูลโดยไม่ได้รับอนุญาต
• จัดเก็บข้อมูลสำรองหรือประสานงานกับ IDC และหน่วยงานที่เกี่ยวข้องตามความจำเป็น
• ปฏิบัติตามกฎหมายที่เกี่ยวข้อง เช่น PDPA

8.2 หน้าที่ของผู้ใช้บริการ

• ชำระค่าบริการตามกำหนดเวลา เพื่อหลีกเลี่ยงการระงับหรือยกเลิกบริการ
• ดูแลรักษาข้อมูลภายในระบบของตนเอง เช่น การตั้งค่าความปลอดภัย แอปพลิเคชัน หรือฐานข้อมูล
• รักษาความลับข้อมูลการเข้าถึงระบบ เช่น Username, Password, API Key
• แจ้งข้อมูลที่ถูกต้อง เช่น IP, Domain, ช่องทางการติดต่อ เพื่อใช้ในการแจ้งเตือนและสนับสนุน
• ไม่ใช้บริการในทางที่ผิดกฎหมาย เช่น การโจมตีระบบ, Phishing, Spam, Malware
• สำรองข้อมูลภายในระบบของตนเองเป็นระยะ หากบริการที่ใช้งานไม่ได้รวมระบบ Backup
• แจ้งผู้ให้บริการทันทีเมื่อพบเหตุผิดปกติหรือคาดว่าข้อมูลถูกละเมิด

9. การรักษาความลับและการคุ้มครองข้อมูลส่วนบุคคล (Confidentiality & Data Protection) #

ผู้ให้บริการและผู้ใช้บริการต้องปฏิบัติตามหลักการรักษาความลับของข้อมูล รวมถึงการคุ้มครองข้อมูลส่วนบุคคล ตามกฎหมายที่เกี่ยวข้อง เช่น PDPA เพื่อให้มั่นใจว่าข้อมูลของแต่ละฝ่ายได้รับการปกป้องอย่างเหมาะสม

9.1 การรักษาความลับของข้อมูล

• ข้อมูลของผู้ใช้บริการ รวมถึงเอกสาร การตั้งค่า หรือข้อมูลที่จัดเก็บในระบบ จะถูกเก็บเป็นความลับ
• ผู้ให้บริการจะไม่เปิดเผยข้อมูลแก่บุคคลที่สาม ยกเว้นกรณี:
  • ได้รับความยินยอมจากผู้ใช้บริการโดยชัดแจ้ง
  • เป็นคำขอจากหน่วยงานรัฐตามกฎหมาย
  • จำเป็นต่อการแก้ไขเหตุฉุกเฉินเพื่อป้องกันความเสียหายแก่ระบบหรือผู้ใช้บริการรายอื่น
• เจ้าหน้าที่ที่มีสิทธิ์เข้าถึงข้อมูลต้องเป็นผู้ที่ได้รับมอบหมายอย่างถูกต้องเท่านั้น
• ข้อมูลจะถูกใช้เฉพาะเพื่อการให้บริการเท่านั้น ไม่ใช้เพื่อการตลาดหรือการวิเคราะห์โดยไม่ได้รับอนุญาต

9.2 การคุ้มครองข้อมูลส่วนบุคคล (PDPA)

• ผู้ใช้บริการมีสถานะเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)”
• ผู้ให้บริการ (MDC) ทำหน้าที่เป็น “ผู้ประมวลผลข้อมูล (Data Processor)”
• ผู้ให้บริการจะประมวลผลข้อมูลส่วนบุคคลตามคำสั่งของผู้ใช้บริการเท่านั้น
• ข้อมูลส่วนบุคคลไม่ถูกนำไปใช้หรือเผยแพร่เกินขอบเขตที่กำหนด
• มีมาตรการรักษาความปลอดภัย เช่น การจำกัดสิทธิ์เข้าถึง การเข้ารหัส และการติดตาม Log
• ผู้ให้บริการจะลบข้อมูลส่วนบุคคลเมื่อสิ้นสุดสัญญาตามขั้นตอนในข้อ Data Retention

9.3 เหตุการณ์ข้อมูลรั่วไหล (Data Breach Response)

• หากเกิดเหตุ Data Breach ผู้ให้บริการจะตรวจสอบเหตุทันทีภายในระยะเวลาที่เหมาะสม
• แจ้งผู้ใช้บริการโดยไม่ชักช้า พร้อมให้ข้อมูล:
  • ประเภทข้อมูลที่ได้รับผลกระทบ
  • ผลกระทบที่คาดว่าจะเกิดขึ้น
  • มาตรการที่ได้ดำเนินการเพื่อป้องกันและแก้ไข
• ผู้ให้บริการจะดำเนินการป้องกันเหตุให้เกิดซ้ำ เช่น ปรับกระบวนการหรืออัปเดตระบบที่เกี่ยวข้อง

10. ข้อจำกัดความรับผิดและเหตุสุดวิสัย (Liability & Force Majeure) #

ผู้ให้บริการจะมุ่งมั่นรักษาคุณภาพและความต่อเนื่องของบริการ อย่างไรก็ตาม ความรับผิดของผู้ให้บริการจะถูกจำกัดไว้ตามขอบเขตที่กำหนดในข้อตกลงฉบับนี้ และสอดคล้องกับกฎหมายที่เกี่ยวข้อง

10.1 ข้อจำกัดความรับผิด

• ผู้ให้บริการมีความรับผิดสูงสุดเท่ากับค่าบริการรายเดือนของบริการที่เกิดปัญหาเท่านั้น
• ผู้ให้บริการไม่รับผิดชอบต่อความเสียหายทางอ้อม เช่น การสูญเสียรายได้, โอกาสทางธุรกิจ, หรือข้อมูล
• ผู้ให้บริการไม่รับผิดชอบต่อความเสียหายที่เกิดจากการใช้งานผิดวิธีของผู้ใช้บริการ
• ผู้ให้บริการไม่รับผิดชอบต่อความเสียหายที่เกิดจากซอฟต์แวร์หรือระบบที่ผู้ใช้บริการติดตั้งเอง

10.2 เหตุสุดวิสัย

ผู้ให้บริการจะได้รับการยกเว้นความรับผิด หากไม่สามารถปฏิบัติตามข้อตกลงได้เนื่องจากเหตุการณ์ที่อยู่นอกเหนือการควบคุม เช่น:

• ภัยพิบัติทางธรรมชาติ เช่น น้ำท่วม แผ่นดินไหว พายุ
• เหตุจลาจล สงคราม การก่อการร้าย หรือความไม่มั่นคงทางการเมือง
• ไฟฟ้าหรือโครงข่ายสื่อสารสาธารณะล่ม
• เหตุการณ์ความมั่นคงไซเบอร์ระดับประเทศ เช่น โครงข่าย ISP ล่มพร้อมกันหลายจุด

ในกรณีดังกล่าว ผู้ให้บริการจะพยายามแก้ไขสถานการณ์และฟื้นฟูระบบโดยเร็วที่สุด พร้อมแจ้งสถานการณ์ให้ผู้ใช้บริการทราบ

11. นโยบายการจัดการเหตุขัดข้อง (Incident Management & RCA Policy) #

ผู้ให้บริการมีระบบจัดการเหตุขัดข้อง (Incident Management System) เพื่อให้สามารถตรวจจับ วิเคราะห์ และแก้ไขปัญหาได้อย่างรวดเร็ว

11.1 การตรวจจับและแจ้งเตือนเหตุผิดปกติ

• ระบบ Monitoring ตรวจจับความผิดปกติแบบ Real-time
• แจ้งเตือนทีม NOC ภายใน 1 นาทีหลังพบเหตุ
• มีการจัดลำดับความสำคัญของเหตุการณ์ตาม Severity Level

11.2 กระบวนการแก้ไขเหตุการณ์

• ทีม NOC ตรวจสอบและยืนยันเหตุการณ์ทันทีเมื่อได้รับแจ้งเตือน
• แยกสาเหตุเบื้องต้น เช่น เครื่องลูกค้า, ระบบเครือข่าย, ระบบภายใน
• ดำเนินการแก้ไขตามลำดับความสำคัญ (Critical, High, Medium, Low)
• สื่อสารสถานะเหตุการณ์แก่ผู้ใช้บริการตามความเหมาะสม

11.3 รายงานสรุปเหตุการณ์ (RCA)

• จัดทำ RCA ภายใน 72 ชั่วโมงสำหรับกรณี Critical Incident
• เนื้อหา RCA ครอบคลุมสาเหตุ ผลกระทบ ระยะเวลา Downtime และแนวทางป้องกัน
• RCA จะถูกส่งให้ผู้ใช้บริการผ่านอีเมลหรือระบบ Ticket
• มีการติดตามผลการแก้ไข (Follow-up Action)

11.4 การบันทึกเหตุการณ์ (Incident Log)

• บันทึกรายละเอียดเหตุการณ์ทุกระดับ
• เก็บประวัติอย่างน้อย 12 เดือน
• ใช้ข้อมูลเพื่อวิเคราะห์และปรับปรุงกระบวนการ

12. มาตรฐานด้านความปลอดภัย (Security Standards) #

มาตรฐานด้านความปลอดภัยแบ่งออกเป็น 2 ส่วน คือ MDC ซึ่งดูแลด้านความปลอดภัยของระบบและข้อมูลในระดับบริหารจัดการ (Managed Service) และ IDC ซึ่งดูแลด้านความปลอดภัยทางกายภาพและโครงสร้างพื้นฐานของศูนย์ข้อมูล

12.1 มาตรฐานความปลอดภัยของ MDC

MDC.in.th ดูแลระบบในระดับแอปพลิเคชัน ระบบบริการ และข้อมูลของลูกค้า

1) ความปลอดภัยของระบบ

• อัปเดตแพตช์ความปลอดภัยของระบบบริหารจัดการเป็นประจำ
• ตรวจสอบความผิดปกติของระบบด้วย Monitoring ตลอด 24/7
• จำกัดสิทธิ์การเข้าถึงตามหลัก Least Privilege
• ใช้ระบบยืนยันตัวตนหลายชั้น (MFA) สำหรับผู้ดูแลระบบภายใน

2) ความปลอดภัยของข้อมูล

• ข้อมูลถูกเข้ารหัสระหว่างส่งผ่าน TLS 1.2+ หรือสูงกว่า
• ข้อมูลสำรองถูกเข้ารหัสก่อนจัดเก็บตามนโยบาย Backup
• จำกัดเจ้าหน้าที่ที่สามารถเข้าถึงข้อมูลได้เฉพาะผู้จำเป็น
• มีระบบบันทึกการเข้าถึงข้อมูล (Access Logs) เพื่อการตรวจสอบ

3) ความปลอดภัยของเครือข่าย

• ใช้ Firewall และการกรองความปลอดภัยตามระดับบริการที่บริหารจัดการโดย MDC
• ตรวจสอบพฤติกรรมที่ผิดปกติของทราฟฟิกผ่านระบบ Monitoring
• ใช้เครือข่ายต้นทางจาก IDC ซึ่งมีความมั่นคงสูงและมีระบบป้องกันหลายชั้น

4) การจัดการเหตุการณ์ด้านความปลอดภัย

• ทีม NOC ตรวจสอบเหตุผิดปกติทางความปลอดภัย 24 ชั่วโมง
• ตอบสนองเหตุการณ์ตามระดับความรุนแรงที่ระบุใน SLA
• ประสานกับ IDC ทันทีหากพบเหตุที่เกี่ยวข้องกับโครงสร้างพื้นฐาน

5) การจัดการข้อมูลสำรองและกู้คืน

• สำรองข้อมูลตามรอบเวลาที่กำหนดของบริการ
• ตรวจสอบความสมบูรณ์ของไฟล์สำรองตามรอบที่กำหนด
• ประสานงานการกู้คืนข้อมูลให้ลูกค้าตามขั้นตอนในข้อ 14

---

12.2 มาตรฐานความปลอดภัยของ IDC (Facility Security)

IDC ดูแลความปลอดภัยด้านกายภาพ พลังงาน ระบบเครือข่าย และโครงสร้างพื้นฐานทั้งหมด

1) ความปลอดภัยทางกายภาพ

• ระบบควบคุมการเข้าออกแบบหลายชั้น (Multi-layer Access Control)
• กล้องวงจรปิด CCTV ครอบคลุมพื้นที่ 24 ชั่วโมง
• ตรวจสอบบันทึกผู้เข้าออก (Visitor Logging)
• เจ้าหน้าที่รักษาความปลอดภัยประจำศูนย์ข้อมูลตลอด 24 ชั่วโมง

2) ระบบพลังงานและไฟฟ้า

• ใช้ระบบ UPS แบบ N+1 หรือมากกว่า เพื่อป้องกันไฟตก/ไฟดับ
• มีเครื่องกำเนิดไฟฟ้าสำรองที่สามารถทำงานได้ต่อเนื่องหลายชั่วโมง
• ระบบไฟฟ้าภายในศูนย์ข้อมูลมีเส้นทางสำรองหลายเส้น (Redundant Power Path)
• มีระบบป้องกันไฟกระชากและ Grounding ตามมาตรฐานสากล

3) ระบบควบคุมอุณหภูมิ

• ระบบปรับอากาศแบบ Precision Cooling
• รักษาอุณหภูมิในช่วง 18–27°C ตามมาตรฐาน ASHRAE
• ระบบความเย็นสำรองแบบ N+1

4) ระบบป้องกันอัคคีภัย

• ระบบดับเพลิงอัตโนมัติ เช่น FM-200 หรือ Novec 1230
• เซนเซอร์ตรวจจับควันความไวสูง (VESDA)
• มีพื้นที่อพยพฉุกเฉินและเส้นทางหนีไฟตามมาตรฐาน

5) มาตรฐานศูนย์ข้อมูลและความพร้อมใช้งาน

• ใช้ศูนย์ข้อมูลที่อยู่ในเกณฑ์ Tier III ขึ้นไป
• สายสื่อสารสำรองหลายเส้นทาง (Fiber Redundant Paths)
• โครงข่ายอินเทอร์เน็ตหลายผู้ให้บริการ (Multi-Upstream ISP)
• Network Uptime 99.9% – 99.99% ตามมาตรฐาน IDC

6) การปฏิบัติตามข้อกำหนด (Compliance)

• IDC ปฏิบัติตามมาตรฐาน ISO/IEC 27001 ในระดับศูนย์ข้อมูล
• บางศูนย์ข้อมูลผ่านมาตรฐาน ISO/IEC 20000 และ ISO/IEC 22301
• เป็นไปตามข้อกำหนดของ PDPA และกฎหมายไทยที่เกี่ยวข้อง

13. นโยบายการยกเลิกบริการและการระงับบริการ (Termination & Service Suspension) #

13.1 การยกเลิกบริการโดยผู้ใช้บริการ

• แจ้งล่วงหน้าอย่างน้อย 7 วันก่อนยกเลิกบริการ
• ต้องชำระค่าบริการค้างทั้งหมดก่อนยกเลิก
• ผู้ใช้บริการต้องสำรองข้อมูลก่อนยกเลิก
• ค่าบริการที่ชำระแล้วไม่สามารถคืนเงินได้

13.2 การลบข้อมูลหลังการยกเลิกบริการ

• ข้อมูลจะถูกเก็บไว้ 30 วันหลังยกเลิก
• ครบกำหนด 30 วัน ข้อมูลทั้งหมดจะถูกลบถาวร
• หากต้องการลบทันที ต้องแจ้งเป็นลายลักษณ์อักษร

13.3 การระงับบริการชั่วคราว (Service Suspension)

กรณีที่สามารถระงับได้ทันที:

• ค้างชำระค่าบริการ (แจ้งเตือนล่วงหน้า 3 วัน)
• ละเมิด AUP เช่น ส่งสแปม, โฮสต์ Malware, DDoS
• กิจกรรมผิดกฎหมาย เช่น Phishing, Fraud
• กิจกรรมที่ส่งผลต่อความปลอดภัยระบบหรือผู้ใช้อื่น
• พบ Traffic ผิดปกติรุนแรงหรือเหตุคุกคามความปลอดภัย

13.4 การยกเลิกบริการโดยผู้ให้บริการ

• ค้างชำระเกิน 30 วันและผู้ใช้บริการไม่ติดต่อกลับ
• ละเมิดกฎหมายหรือใช้งานผิดเงื่อนไขซ้ำซาก
• การใช้งานที่ก่อให้เกิดความเสียหายต่อระบบหรือผู้ใช้รายอื่น
• ผู้ใช้บริการกระทำผิดเกี่ยวกับความมั่นคง หรือความปลอดภัย

13.5 การเปิดใช้บริการอีกครั้ง (Service Reactivation)

• เปิดใช้ได้หลังชำระเงินค้างหรือแก้ไขปัญหาที่ระบุ
• อาจมีค่าธรรมเนียม Reactivation
• หากข้อมูลถูกลบแล้วจะไม่สามารถกู้คืนได้

14. ระบบสำรองและกู้คืนระบบ (Backup & Disaster Recovery) #

ผู้ให้บริการมีระบบสำรองข้อมูลและระบบกู้คืนฉุกเฉิน (BDR/DRP) เพื่อให้มั่นใจว่าข้อมูลและบริการของผู้ใช้บริการสามารถกู้คืนได้เมื่อเกิดเหตุการณ์ผิดปกติ

14.1 นโยบายการสำรองข้อมูล (Backup Policy)

• ผู้ให้บริการจะสำรองข้อมูลตามรอบเวลาของบริการ เช่น รายวัน รายสัปดาห์ หรือกำหนดเอง
• ข้อมูลสำรองครอบคลุมข้อมูลสำคัญ เช่น Virtual Machine, Database, Configuration Files
• มีการสำรองข้อมูลแบบ Snapshot, Incremental, Differential ตามประเภทบริการ
• ข้อมูลสำรองถูกเข้ารหัสเพื่อความปลอดภัย โดยใช้มาตรฐาน AES-256 หรือเทียบเท่า

14.2 การจัดเก็บข้อมูลสำรอง (Backup Storage Architecture)

• ข้อมูลสำรองถูกจัดเก็บแยกจากระบบ Production เพื่อป้องกันเหตุ Failover หรือการโจมตี
• สิทธิ์การเข้าถึงสำรองข้อมูลจำกัดเฉพาะเจ้าหน้าที่ที่เกี่ยวข้อง (Least Privilege)
• ระบบสำรองข้อมูลเก็บรักษาข้อมูลตามนโยบาย 30–90 วัน ตามบริการ
• มีระบบตรวจสอบความสมบูรณ์ของข้อมูลสำรอง (Backup Integrity Check)

14.3 การสำรองข้อมูลต่างศูนย์ (Off-site & Geo-redundancy)

• ข้อมูลสำรองชุดสำคัญถูกเก็บในศูนย์ข้อมูลอีกแห่ง (Off-site Backup)
• ศูนย์ข้อมูลต้องมีมาตรฐานความปลอดภัยเทียบเท่าหรือสูงกว่า Data Center หลัก
• ข้อมูลระหว่างศูนย์เข้ารหัสด้วย TLS 1.2+ และมีการตรวจสอบสิทธิ์ทุกครั้ง
• รองรับ Geo-Redundant Backup สำหรับบริการระดับสูง

14.4 ค่าเวลาการกู้คืนระบบ (RTO)

• บริการทั่วไป: RTO 1–4 ชั่วโมง
• บริการระดับ Critical: RTO ≤ 1 ชั่วโมง
• บริการแบบ DR Site: สามารถ Failover ได้ใน 15–30 นาที

14.5 ค่าเวลาสูญหายของข้อมูล (RPO)

• บริการทั่วไป: RPO ≤ 24 ชั่วโมง
• บริการระดับสูง: RPO ≤ 1–4 ชั่วโมง
• ระบบที่รองรับ Replication: RPO ≤ 15 นาที

14.6 ขั้นตอนการกู้คืนระบบ

• ประเมินสาเหตุและขอบเขตความเสียหายของระบบ
• เลือกข้อมูลสำรองตาม RPO ที่เหมาะสมที่สุด
• กู้คืนระบบ/VM/Database และตรวจสอบความสมบูรณ์ของข้อมูล
• ทดสอบการทำงานหลังการกู้คืน ก่อนเปิดให้ใช้งานจริง
• จัดทำรายงานสรุปเหตุการณ์และแนวทางป้องกันในอนาคต

14.7 การทดสอบระบบ DR

• ผู้ให้บริการทดสอบแผนกู้คืนระบบอย่างน้อยปีละ 1 ครั้ง
• ทดสอบทั้ง Backup/Restore, Failover และ Communication Plan
• ผู้ให้บริการจัดทำรายงานผลการทดสอบ DR เพื่อปรับปรุงกระบวนการ
• หากพบช่องโหว่ จะมีการปรับปรุง DRP ภายใน 30 วัน

14.8 ข้อจำกัดและความรับผิดชอบของผู้ใช้บริการ

• การกู้คืนข้อมูลขึ้นอยู่กับรอบสำรองข้อมูลของแพ็กเกจที่สมัคร
• ข้อมูลที่ถูกลบโดยผู้ใช้บริการเอง อาจไม่สามารถกู้คืนได้
• ข้อมูลที่เกินระยะเวลาเก็บรักษาตามนโยบายจะไม่ถูกเก็บสำรองอีก
• ผู้ใช้บริการต้องทดสอบความถูกต้องของข้อมูลหลังการกู้คืน

15. นโยบายการใช้บริการที่ยอมรับได้ (AUP) #

• ห้ามโฮสต์หรือเผยแพร่เนื้อหาที่ผิดกฎหมาย รวมถึงเนื้อหาที่ละเมิดลิขสิทธิ์ ข่าวปลอม อนาจารเด็ก ความรุนแรงสุดโต่ง หรือเนื้อหาที่ขัดต่อกฎหมายไทย
• ห้ามใช้บริการเพื่อโจมตีระบบอื่น ไม่ว่าจะเป็นการสแกนพอร์ต การแฮ็ก การ Brute Force การรันสคริปต์สร้างโหลดสูงผิดปกติ หรือการโจมตีแบบ DDoS
• ห้ามส่งสแปม มัลแวร์ ฟิชชิง Ransomware หรือข้อความจำนวนมากผิดปกติผ่านระบบแจ้งเตือน เช่น Line, Telegram, Email หรือ Webhook
• ห้ามใช้บริการเป็น Proxy/VPN หรือ Relay ใด ๆ เพื่อกระทำการที่ผิดกฎหมาย หรือหลีกเลี่ยงการติดตามตัวตน
• ห้ามใช้งานเพื่อตรวจสอบหรือ Monitoring ระบบของบุคคลอื่นโดยไม่ได้รับอนุญาตจากเจ้าของระบบ
• ห้ามใช้บริการในกิจกรรมที่มีความเสี่ยงสูง เช่น ระบบควบคุมทางการแพทย์ ระบบอุตสาหกรรมที่อาจส่งผลต่อชีวิตหรือความปลอดภัย
• ผู้ใช้ต้องดูแลบัญชีผู้ใช้ API Key และ Token ของตนเองให้ปลอดภัย และไม่เปิดเผยต่อบุคคลอื่น
• ห้ามส่ง Request/API เกินขีดจำกัดของแพ็กเกจ หรือทำให้ระบบโดยรวมทำงานผิดปกติ
• ทีมงานมีสิทธิ์ระงับ บล็อก หรือยกเลิกการให้บริการ หากตรวจพบการใช้งานผิดเงื่อนไขหรือมีความเสี่ยงต่อระบบส่วนรวม

16. การปฏิบัติตามกฎหมาย (Compliance) #

• ปฏิบัติตาม พ.ร.บ. คอมพิวเตอร์ พ.ศ. 2550 และที่แก้ไขเพิ่มเติมทุกฉบับ เช่น การป้องกันการเข้าถึงข้อมูลโดยมิชอบ การเผยแพร่ข้อมูลเท็จ และการทำลายความมั่นคงของระบบ
• ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA พ.ศ. 2562) ในการจัดเก็บ ประมวลผล ใช้ และเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการอย่างปลอดภัย
• เคารพและปฏิบัติตามกฎหมายไทยทุกประการ รวมถึงกฎหมายเกี่ยวกับลิขสิทธิ์ ทรัพย์สินทางปัญญา ความมั่นคงปลอดภัยสารสนเทศ โทรคมนาคม และกฎระเบียบอื่นที่เกี่ยวข้อง
• ผู้ใช้บริการต้องไม่ใช้บริการเพื่อกระทำการที่ผิดกฎหมาย เช่น ฉ้อโกง ฟอกเงิน การพนันออนไลน์ สร้างความเสียหายต่อระบบผู้อื่น หรือการกระทำที่ผิดกฎหมายตาม พ.ร.บ.คอมพิวเตอร์
• ผู้ให้บริการมีสิทธิ์ระงับหรือยกเลิกบริการ หากพบว่ามีการใช้งานที่ขัดต่อกฎหมายหรือมีเหตุอันควรสงสัยว่าเกี่ยวข้องกับกิจกรรมที่ผิดกฎหมาย
• ผู้ใช้บริการต้องรับผิดชอบต่อผลลัพธ์ทางกฎหมายที่เกิดขึ้นจากการใช้งานระบบทุกกรณี หากมีการละเมิดกฎหมายหรือข้อบังคับที่กำหนด

17. พื้นที่ให้บริการ (Service Coverage Areas) #

17.1 พื้นที่ให้บริการแบบออนไลน์ (Online Services)

• ให้บริการออนไลน์ครอบคลุมทั่วประเทศ
• รองรับ Hosting, VM, Backup, ระบบคลาวด์ และบริการที่เกี่ยวข้อง
• ไม่มีข้อจำกัดพื้นที่ในการรับบริการออนไลน์
• รองรับช่องทางติดต่อ Ticket, Email, Line OA และโทรศัพท์

17.2 พื้นที่ให้บริการแบบออนไซต์ (On-Site Services)

• ให้บริการออนไซต์เฉพาะพื้นที่ที่ระบุในนโยบายตามรายการด้านล่าง
• รองรับงานติดตั้ง ตรวจสอบระบบ แก้ไขปัญหา เดินสาย และงานภาคสนาม
• พื้นที่ห่างไกลอาจมีค่าใช้จ่ายเพิ่มเติมตามความจำเป็น
• การเข้าพื้นที่ที่มีการควบคุม (เช่น IDC หรือสถานที่ราชการ) ต้องได้รับอนุญาตจากหน่วยงานปลายทาง

17.3 อัตราค่าบริการ (Online & On-Site Service Rates)

17.3.1 บริการออนไลน์ (Online Support)

ประเภทธุรกรรม	อัตราค่าบริการ
ค่าบริการออนไลน์	500 บาท / 2 ชั่วโมงแรก
ชั่วโมงเพิ่มเติม	50 บาท / ชั่วโมง

17.3.2 บริการออนไซต์ (On-Site Support)

พื้นที่ให้บริการ	2 ชั่วโมงแรก	ชั่วโมงถัดไป
อ. คุระบุรี / อ. ตะกั่วป่า	500 บาท	100 บาท/ชั่วโมง
อ. กะปง / อ. สุขสำราญ (ระนอง)	1,000 บาท	100 บาท/ชั่วโมง
อ. เมืองพังงา / อ. ท้ายเหมือง / อ. ตะกั่วทุ่ง	1,500 บาท	100 บาท/ชั่วโมง
อ. ทับปุด (พังงา) / อ. อ่าวลึก (กระบี่) / อ. พนม (สุราษฎร์ธานี) / อ. กะเปอร์ (ระนอง)	2,000 บาท	100 บาท/ชั่วโมง