รีจิสเตอร์ตัวประมวลผลย่อย
อัปเดตล่าสุด: 23/02/2026
1. วัตถุประสงค์
เอกสารฉบับนี้ระบุผู้ประมวลผลข้อมูลช่วง (Sub-processor) ที่เป็นบุคคลที่สาม ซึ่งได้รับการแต่งตั้งโดย GlobeID Limited (“GlobeID”) เพื่อประมวลผลข้อมูลส่วนบุคคลในนามของลูกค้า ที่เกี่ยวข้องกับบริการ PassportScan Cloud ตามมาตรา 28(2) และ 28(4) แห่ง GDPR
รายชื่อผู้ประมวลผลข้อมูลช่วงฉบับนี้ถือเป็นส่วนหนึ่งของข้อตกลงการประมวลผลข้อมูล (Data Processing Agreement – DPA)
2. หลักการทั่วไป
- แต่งตั้งผู้ประมวลผลข้อมูลช่วงเฉพาะเมื่อมีความจำเป็นอย่างเคร่งครัดต่อการให้บริการเท่านั้น
- ผู้ประมวลผลข้อมูลช่วงทุกรายอยู่ภายใต้ข้อตกลงคุ้มครองข้อมูลเป็นลายลักษณ์อักษร ซึ่งกำหนดภาระหน้าที่ไม่น้อยกว่าที่กำหนดไว้ใน DPA
- GlobeID ยังคงรับผิดชอบอย่างเต็มที่ต่อการกระทำหรือการละเว้นของผู้ประมวลผลข้อมูลช่วง ตามมาตรา 28(4) แห่ง GDPR
- ฐานข้อมูลหลักของแพลตฟอร์มโฮสต์อยู่ภายในสหภาพยุโรปเท่านั้น (AWS eu-west-1 – ไอร์แลนด์)
- หากเปิดใช้งานการจัดเก็บแบบภูมิภาค (S3) ภาพเอกสารจะถูกจัดเก็บในภูมิภาค AWS ที่สอดคล้องกับเขตอำนาจการดำเนินงานของโรงแรม
- ไม่มีการตั้งค่าการทำซ้ำข้อมูลข้ามภูมิภาค (cross-region replication) สำหรับฐานข้อมูลหลัก
- PassportScan ไม่มีการจัดเก็บหรือดูแลสภาพแวดล้อมข้อมูลผู้ถือบัตร (Cardholder Data Environment – CDE)
3. ผู้ประมวลผลข้อมูลช่วงที่ได้รับอนุญาต (ตารางสรุป)
| ผู้ประมวลผลข้อมูลช่วง | ประเภทบริการ | วัตถุประสงค์ / หน้าที่ | ประเภทข้อมูลที่ประมวลผล | สถานที่ประมวลผล |
|---|---|---|---|---|
| Amazon Web Services, Inc. (AWS) | โครงสร้างพื้นฐานคลาวด์ & โฮสติ้ง | โฮสต์บริการแอปพลิเคชัน ฐานข้อมูล การจัดเก็บวัตถุแบบเข้ารหัส (S3) การสำรองข้อมูล และความปลอดภัยของโครงสร้างพื้นฐาน | ข้อมูลระบุตัวตน ข้อมูลการจอง บันทึกการใช้งาน (logs) ภาพเอกสาร (เมื่อเปิดใช้งาน) | ระบบหลัก: สหภาพยุโรป (ไอร์แลนด์ – eu-west-1) S3: ภูมิภาคที่สอดคล้องกับเขตอำนาจของโรงแรม (อาจรวมถึงภูมิภาคนอก EEA) |
| Clerk, Inc. | การยืนยันตัวตน & การพิสูจน์ตัวตน | การยืนยันตัวผู้ใช้ การตรวจสอบตัวตน และการจัดการวงจรชีวิตของเซสชัน | อีเมล ที่อยู่ IP เมตาดาต้าอุปกรณ์ โทเคนเซสชัน | ตามที่ระบุในเอกสารของ Clerk |
| Datadog, Inc. | การบันทึกข้อมูล & การเฝ้าระวังระบบ | การเฝ้าระวังโครงสร้างพื้นฐาน ประสิทธิภาพแอปพลิเคชัน การบันทึกความปลอดภัย และการตรวจจับความผิดปกติ | เมตาดาต้าของบันทึก ที่อยู่ IP เหตุการณ์การยืนยันตัวตน ข้อมูลวินิจฉัยทางเทคนิค | ตามที่ระบุในเอกสารของ Datadog |
| Google LLC (Google Workspace) | เครื่องมือการทำงานองค์กร & การสื่อสาร | การสื่อสารภายในองค์กร อีเมล และการจัดการเอกสาร | ข้อมูลติดต่อทางธุรกิจ และข้อมูลการสื่อสารเชิงปฏิบัติการในขอบเขตจำกัด | ตามที่ Google ระบุ |
| Stripe, Inc. | การประมวลผลการชำระเงิน | การซื้อเครดิตและการเปิดใช้งานบัญชี | ประมวลผลโดย Stripe: ข้อมูลบัตรชำระเงิน ข้อมูลการเรียกเก็บเงิน หมายเลขอ้างอิงธุรกรรม ที่ PassportScan ได้รับ: รหัสธุรกรรม สถานะการชำระเงิน จำนวนเงิน สกุลเงิน อีเมลสำหรับใบแจ้งหนี้ (ถ้ามี) |
ตามที่ระบุในเอกสารของ Stripe |
4. ข้อยกเว้นโดยชัดแจ้ง
- ไม่มีผู้ประมวลผลข้อมูลช่วงรายใดเข้าถึงข้อมูลเอกสารประจำตัวในรูปแบบที่ถอดรหัสแล้ว
- PassportScan ไม่จัดเก็บหรือประมวลผลหมายเลขบัตร CVV หรือวันหมดอายุของบัตร
- Stripe ประมวลผลข้อมูลผู้ถือบัตรภายในโครงสร้างพื้นฐานที่เป็นไปตามมาตรฐาน PCI-DSS
- ไม่มีการเปิดใช้งานการทำซ้ำข้อมูลข้ามภูมิภาคสำหรับฐานข้อมูลการผลิตหลัก
5. การโอนข้อมูลระหว่างประเทศ
ในกรณีที่ผู้ประมวลผลข้อมูลช่วงประมวลผลข้อมูลนอกเขตเศรษฐกิจยุโรป (EEA)
GlobeID จะรับรองว่ามีมาตรการคุ้มครองที่เหมาะสม รวมถึงข้อสัญญามาตรฐาน (SCC)
หรือกลไกการโอนข้อมูลที่ชอบด้วยกฎหมายอื่น ๆ ตามบทที่ V ของ GDPR
สำหรับการจัดเก็บ S3 นอก EEA การโอนข้อมูลจะอยู่ภายใต้ AWS Data Processing Addendum และ SCC ที่เกี่ยวข้อง
6. การอัปเดตและการแจ้งเตือน
GlobeID อาจปรับปรุงรายชื่อผู้ประมวลผลข้อมูลช่วงนี้เป็นระยะ
ลูกค้าจะได้รับแจ้งเกี่ยวกับผู้ประมวลผลข้อมูลช่วงรายใหม่ผ่านการเผยแพร่รายชื่อฉบับปรับปรุง
หากกฎหมายที่ใช้บังคับหรือ DPA กำหนด ลูกค้ามีสิทธิ์คัดค้านตามขั้นตอนที่ระบุไว้ใน DPA
เอกสารฉบับล่าสุดจะเผยแพร่พร้อมวันที่อัปเดตเสมอ
