ความปลอดภัยของระบบ

1. Infrastructure Security

Railway (Singapore region, ISO 27001) · MySQL 8.4 with encrypted storage · Cloudflare WAF + DDoS protection · daily automated backups (encrypted, tested monthly) · redundant networking with automatic failover

2. Application Security

OWASP Top 10 checklist ทุก release · SAST + DAST ใน CI/CD pipeline · dependency scanning (Dependabot) · manual pen-test รายปีโดยบุคคลที่สาม · code review บังคับทุก PR · branch protection ใน main

3. Data Encryption

At-rest: AES-256-GCM · In-transit: TLS 1.3 (minimum TLS 1.2) · Key rotation ทุก 90 วัน · HSM สำหรับ master key (Enterprise) · เลขบัตรประชาชนเก็บเฉพาะ SHA-256 hash ไม่เก็บเลขจริง

4. Access Control

MFA บังคับสำหรับ admin ทุกคน · RBAC 5 ระดับ (Super Admin / Tenant Admin / Manager / Staff / Viewer) · session timeout 30 นาที · IP allowlist ใช้ได้สำหรับแผน Enterprise · privileged access workstation (PAW) สำหรับ production

5. Audit & Monitoring

Audit log บันทึกทุก action · 24/7 SOC monitoring · anomaly detection ด้วย ML · incident response SLA < 30 นาทีสำหรับ P1 · security dashboard สำหรับ Enterprise · SIEM integration (Enterprise Add-on)

6. Compliance

PDPA (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) · SOC 2 Type II — กำลังดำเนินการ (คาด Q4 2569) · ISO 27001 — roadmap 2570 · OWASP ASVS Level 2 · DPA ให้ลูกค้าสามารถขอได้ทุกเมื่อ

7. Vulnerability Disclosure

Responsible disclosure: security@mequeue.com · Bug Bounty ฿1,000 – ฿100,000 ขึ้นกับ severity · ตอบรับภายใน 24 ชม. · แก้ไข P1 ภายใน 72 ชม. · Hall of Fame สำหรับผู้รายงาน

พบช่องโหว่?

กรุณาแจ้งเราที่ security@mequeue.com ก่อนเปิดเผยสาธารณะ · เรามี Bug Bounty สูงสุด ฿100,000 สำหรับช่องโหว่ที่ส่งผลกระทบรุนแรง