ความปลอดภัยและการปฏิบัติตามกฎระเบียบ

เวอร์ชันละเอียดและเข้าใจง่ายของวิธีที่ JazzNode ปกป้องข้อมูลของคุณ

อัปเดตล่าสุด: 14 เมษายน 2026

1. ปรัชญาความปลอดภัยของเรา

JazzNode มีอยู่เพื่อให้นักดนตรี สถานที่ และแฟนๆ สามารถไว้วางใจแหล่งข้อมูลเดียวสำหรับการแสดงที่สำคัญได้ ความไว้วางใจนั้นสร้างบนหลักการสามประการ: เก็บข้อมูลให้น้อยที่สุด ทำงานบนโครงสร้างพื้นฐานที่ผ่านการตรวจสอบ และซื่อสัตย์เกี่ยวกับสิ่งที่เรามีและไม่มี

เราไม่ใช่บริษัทใหญ่และไม่เสแสร้งว่าเป็น แต่เราสร้างบนผู้ให้บริการที่ผ่านการตรวจสอบตามมาตรฐานองค์กรใหญ่ ดังนั้นการรับประกันระดับเดียวกันจึงใช้กับข้อมูลของคุณที่นี่

2. โครงสร้างพื้นฐานและการปฏิบัติตามของผู้ขาย

JazzNode ทำงานบนผู้ให้บริการจำนวนน้อยที่คัดสรรมาอย่างรอบคอบ แต่ละรายมีการตรวจสอบโดยอิสระจากบุคคลที่สาม:

Stripe (การชำระเงิน): PCI DSS Level 1 — การรับรองระดับสูงสุดในอุตสาหกรรมบัตรเครดิต Stripe จัดการข้อมูลบัตรทั้งหมด JazzNode ไม่เคยเก็บ จัดการ หรือส่งหมายเลขบัตรดิบ
Supabase (ฐานข้อมูล การยืนยันตัวตน การจัดเก็บ): SOC 2 Type 2, ISO 27001, พร้อม HIPAA ข้อมูลขณะพักถูกเข้ารหัส Row Level Security บังคับใช้การเข้าถึงต่อผู้ใช้
Vercel (โฮสติ้ง เครือข่ายเอดจ์ บิลด์): SOC 2 Type 2, ISO 27001 โฮสติ้งแอปพลิเคชันพร้อมตัวแปรสภาพแวดล้อมที่เข้ารหัสและการยืนยันคลาวด์แบบ OIDC
Google (OAuth sign-in): Google Identity Platform, มาตรฐาน OAuth 2.0 JazzNode ไม่เคยเห็นรหัสผ่าน Google ของคุณ
Resend (อีเมลธุรกรรม): SOC 2 Type 2 ใช้ภูมิภาคโตเกียวเพื่อลดเลเทนซีในเอเชียแปซิฟิก DKIM, SPF และ DMARC บังคับใช้ในทุกโดเมนของ JazzNode
AWS S3 (การจัดเก็บไฟล์): SOC 2, ISO 27001, PCI DSS ใช้สำหรับรูปโปรไฟล์ รูปสถานที่ และชุดสื่อมวลชน

3. การเข้ารหัส

การรับส่งข้อมูลทั้งหมดไปยังและจาก JazzNode ถูกเข้ารหัสด้วย TLS 1.2 หรือสูงกว่า HTTP Strict Transport Security (HSTS) เปิดใช้งานในทุกโดเมนของ JazzNode

ข้อมูลขณะพักถูกเข้ารหัสโดยผู้ให้บริการโครงสร้างพื้นฐานของเราด้วย AES-256 (Supabase, AWS S3, Vercel)

QR code ตั๋วใช้โทเค็นลงนามที่ไม่สามารถปลอมแปลงหรือเล่นซ้ำโดยบุคคลที่สาม

4. การยืนยันตัวตนและการควบคุมการเข้าถึง

ผู้ใช้ยืนยันตัวตนผ่านอีเมล/รหัสผ่าน (แฮชด้วย bcrypt โดย Supabase Auth) หรือ Google OAuth 2.0 JazzNode ไม่เคยเก็บรหัสผ่านข้อความธรรมดาหรือข้อมูลรับรอง Google

การดำเนินการภายในแบ่งเป็นบทบาท Owner, Admin และ Editor การกระทำที่ละเอียดอ่อน — การคืนเงิน การจ่ายเงิน การส่งออกข้อมูล การลบบัญชี — ต้องใช้บทบาทที่ยกระดับและถูกบันทึก

Row Level Security (RLS) ถูกบังคับใช้ที่ชั้นฐานข้อมูล แม้จะมีบั๊กแอปพลิเคชัน ฐานข้อมูลจะปฏิเสธการอ่านและเขียนที่ไม่ได้รับอนุญาต

5. การเก็บข้อมูลให้น้อยที่สุดและการเก็บรักษา

เราเก็บเฉพาะสิ่งที่จำเป็นสำหรับการดำเนินงาน: ข้อมูลพื้นฐานบัญชี ตั๋วที่คุณซื้อ ข้อความที่คุณส่งผ่านแพลตฟอร์ม ข้อมูลบัตร รหัสผ่าน Google และข้อมูลไบโอเมตริกของอุปกรณ์ไม่เคยถูกเก็บโดย JazzNode

สามารถลบบัญชีได้ตามคำขอ ข้อมูลส่วนบุคคลจะถูกลบภายใน 30 วัน ยกเว้นที่กฎหมายกำหนดให้เก็บรักษา (เช่น บันทึกภาษีจากการขายตั๋ว)

ดูรายละเอียดทั้งหมดในนโยบายความเป็นส่วนตัว

6. การจัดการความลับและข้อมูลรับรอง

ความลับของโปรดักชันอยู่ในที่เก็บตัวแปรสภาพแวดล้อมที่เข้ารหัสของ Vercel สภาพแวดล้อม Preview, Development และ Production ถูกแยกจากกันอย่างสมบูรณ์

การยืนยันตัวตนระหว่างคลาวด์ใช้โทเค็น OIDC ที่มีอายุสั้น ไม่มีข้อมูลรับรองที่มีอายุยาวถูกคอมมิตเข้าสู่ source control

การเข้าถึงเครื่องมือภายในถูกทบทวนและเพิกถอนเมื่อสมาชิกทีมเปลี่ยนบทบาทหรือออกจากทีม

7. การตรวจสอบและการตอบสนองต่อเหตุการณ์

ข้อผิดพลาดของรันไทม์และความผิดปกติถูกตรวจสอบผ่าน Vercel Observability และบันทึกของ Supabase เหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยถูกติดธงเพื่อตรวจสอบ

หากเหตุการณ์ส่งผลกระทบต่อข้อมูลของคุณ เราจะแจ้งผู้ใช้ที่ได้รับผลกระทบภายใน 72 ชั่วโมงหลังยืนยัน ตามข้อกำหนดของ GDPR มาตรา 33

มีการสำรองข้อมูลและการกู้คืนย้อนเวลาสำหรับฐานข้อมูลโปรดักชัน

8. การเปิดเผยอย่างรับผิดชอบ

หากคุณเชื่อว่าพบช่องโหว่ด้านความปลอดภัย กรุณาส่งอีเมลไปที่ security@jazznode.com

เราสัญญาว่าจะ:

ยืนยันรับรายงานของคุณภายใน 72 ชั่วโมง
อัปเดตความคืบหน้าการสอบสวนอย่างต่อเนื่อง
ให้เครดิตคุณ (หากคุณต้องการ) หลังจากปัญหาได้รับการแก้ไข
ไม่ดำเนินคดีทางกฎหมายกับนักวิจัยที่สุจริตซึ่งปฏิบัติตามขอบเขตและข้อกำหนด safe-harbor ของเรา

อยู่ในขอบเขต: jazznode.com, *.jazznode.com, แอป JazzNode iOS และ Android นอกขอบเขต: การโจมตีแบบ DoS, social engineering, การโจมตีทางกายภาพ และการวิจัยที่ลดประสิทธิภาพบริการสำหรับผู้ใช้อื่น

9. การปฏิบัติตามกฎระเบียบ

GDPR: ผู้ใช้ EU มีสิทธิ์เข้าถึง แก้ไข ส่งออก และลบข้อมูลของตน ผู้ประมวลผลของเรารองรับการอยู่อาศัยของข้อมูลใน EU และข้อกำหนดสัญญามาตรฐาน

PDPA ไต้หวัน (個人資料保護法): 娛興喂有限公司 ดำเนินการ JazzNode ในไต้หวันภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

พระราชบัญญัติคุ้มครองผู้บริโภคไต้หวัน มาตรา 43: กระบวนการขายตั๋วของเราเป็นไปตามกรอบการคืนเงินแบบเป็นระดับของ 票券定型化契約

DMCA: เจ้าของลิขสิทธิ์สามารถส่งคำแจ้ง takedown ไปยังตัวแทนที่ลงทะเบียนของเรา ดูนโยบาย DMCA

10. การรับรองและแผนผัง

เราจะไม่อ้างการรับรองที่เราไม่มี นี่คือสถานะปัจจุบันอย่างซื่อสัตย์:

ถือไว้วันนี้: สืบทอด PCI DSS Level 1 (Stripe), SOC 2 Type 2 (Supabase, Vercel, Resend), ISO 27001 (Supabase, Vercel, AWS)
กำลังดำเนินการ: การประเมินความพร้อม SOC 2 ด้วยเครื่องมือปฏิบัติตามกฎระเบียบอัตโนมัติ การทดสอบเจาะระบบโดยบุคคลที่สามประจำปี DPA ที่เผยแพร่
วางแผนไว้: การรับรอง SOC 2 Type 1 เริ่มเมื่อมีความต้องการจากองค์กร SOC 2 Type 2 ดำเนินการหลัง Type 1 และช่วงสังเกตการณ์ 12 เดือน ISO 27001 และ P-mark ญี่ปุ่นประเมินตามความต้องการของตลาด

11. ติดต่อ

สำหรับปัญหาความปลอดภัย ส่งอีเมลไปที่ security@jazznode.com

สำหรับคำขอด้านความเป็นส่วนตัว การปฏิบัติตามกฎระเบียบ หรือ DPA ทั่วไป DPA มาตรฐานสามารถดูได้ที่ /legal/dpa

สำหรับแบบสอบถามความปลอดภัยเชิงพาณิชย์/องค์กร กรุณาระบุคำว่า 'security questionnaire' ในหัวเรื่อง เราจะจัดลำดับความสำคัญในการตอบกลับ