NDID Security Assessment บริการตรวจประเมิน และให้คำปรึกษาการตรวจประเมิน NDID Member Qualification Assessment Framework (MQA)

ผู้ให้บริการส่วนใหญ่ที่มีระบบ Digital ID ย่อมรู้จัก National Digital ID (ระบบ NDID) กันเป็นอย่างดี เพราะเริ่มใช้บริการกันมาตั้งแต่ปี 2020 ระบบ NDID เป็นระบบการพิสูจน์ และการยืนยันตัวตนทางดิจิทัลที่พัฒนาขึ้นโดยบริษัท National Digital ID (NDID) เพื่อเชื่อมต่อการยืนยันตัวตนจากทุกภาคส่วนเข้าไว้ด้วยกัน และเป็นแพลตฟอร์มการตรวจสอบตัวตน (eKYC) ของผู้ใช้บริการบนโลกดิจิทัลที่ช่วยให้ทำธุรกรรมออนไลน์ต่าง ๆ ได้สมบูรณ์ 100% ทำให้สามารถเชื่อมโยงข้อมูลจากทุก Authorizing Source และ ID Provider เข้าด้วยกัน โดยใช้ระบบ Blockchain ที่รองรับการจัดเก็บข้อมูลจากผู้ใช้งานจำนวนมาก เพื่อแก้จุดอ่อนเรื่องความปลอดภัยของระบบ

องค์กรใดที่มีความประสงค์จะเชื่อมต่อเข้าใช้งานระบบ NDID จำเป็นจะต้องสมัครเป็นสมาชิก และปฏิบัติตามมาตรการที่ระบุใน NDID Member Qualification Assessment Framework (MQA) ซึ่งเป็นการประเมิน (Assessment) มาตรการต่าง ๆ ที่หน่วยงานสมาชิกใช้ในการระบุ (Identify), ป้องกัน (Protect), ตรวจสอบ (Detect), รับมือ (Response) และกู้คืน (Recover) ภัย หรือความเสี่ยงทางไซเบอร์



ภาพโครงสร้างของ NDID Member Qualification Assessment Framework (MQA)

NDID แบ่งสมาชิกออกเป็น 2 ระดับ ได้แก่ สมาชิกระดับ 1 (Tier 1) และสมาชิกระดับ 2 (Tier 2) โดยพิจารณาจากระดับผลกระทบที่อาจเกิดขึ้นต่อสังคม จากเหตุภัยคุกคาม หรือเหตุการณ์ไม่คาดคิดขึ้น ซึ่งการประเมินสมาชิกแบ่งเป็น 2 วิธี คือ

  • การตรวจประเมินโดยผู้ตรวจสอบอิสระ (Independent Audit)

ใช้สำหรับประเมินสมาชิกระดับ 1 (Tier 1) ทั้งระยะก่อนได้รับอนุญาตให้เชื่อมต่อระบบ NDID และหลังจากเชื่อมต่อระบบ NDID แล้ว โดยผู้ตรวจสอบอิสระจะอ้างอิงหลักเกณฑ์ และหัวข้อการตรวจประเมินตามที่ NDID กำหนด

  • การประเมินตนเองของหน่วยงานสมาชิก (Self-Assessment)

ใช้สำหรับประเมินสมาชิกระดับ 2 (Tier 2) ทั้งระยะก่อนได้รับอนุญาตให้เชื่อมต่อระบบ NDID และหลังจากเชื่อมต่อระบบ NDID แล้ว โดยผู้ประเมินต้องระบุคำตอบลงในแบบสอบถามที่ NDID จัดทำขึ้น พร้อมแนบหลักฐานประกอบตามที่กำหนด

Tier 1 Member

ACinfotec ในฐานะผู้ตรวจสอบอิสระ (Independent Auditor) และเป็นผู้พัฒนา NDID Member Qualification Assessment Framework (MQA) ยินดีให้คำปรึกษา และให้บริการตรวจประเมินหน่วยงานสมาชิกตามขอบเขต และหลักเกณฑ์ที่ NDID กำหนด รวมถึงออกรายงานผลการตรวจประเมินให้กับหน่วยงานสมาชิก โดยรายงานฉบับนี้ ได้รับการรับรองจากผู้มีคุณสมบัติตาม Auditor Qualification

นอกจากการตรวจประเมินตาม NDID MQA แล้วนั้น สำหรับแอปพลิเคชัน หรือระบบใด ๆ ที่จะเชื่อมต่อเข้ากับเครือข่ายของ NDID จำเป็นต้องผ่านการทดสอบเจาะระบบ และดำเนินการแก้ไขช่องโหว่ให้เรียบร้อยด้วยเช่นกัน ACinfotec มีบริการด้านการทดสอบเจาะระบบ (Penetration Testing) กับระบบ หรือแอปพลิเคชันที่มีการเชื่อมต่อกับ NDID ทั้ง RP IdP และ AS แก่บริษัทหรือองค์กรที่สนใจ โดยการทดสอบดังกล่าวอ้างอิงมาจาก NIST SP 800–63 Digital Identity Guidelines นำมาปรับประยุกต์ใช้

สำหรับบริษัทหรือองค์กรใดที่ต้องการที่ปรึกษา เพื่อเตรียมความพร้อมบริการตรวจประเมิน และรับการตรวจประเมิน NDID MQA สามารถสอบถามข้อมูลเพิ่มเติมได้ที่ ACinfotec Co., Ltd. [email protected] หรือ โทร 02-670-8980 ถึง 3 (จันทร์ – ศุกร์, 09:00น. – 18:00น.)