[Shoper Gamer] ควรเก็บข้อมูลอะไรไว้ใน Log บ้าง โดย

สำรวจ
ลงทุน
คำถาม

มีบัญชีอยู่แล้ว?หรือ

Shoper Gamer

•

25 พ.ค. เวลา 07:51 • การศึกษา

Website By Shoper Gamer

ควรเก็บข้อมูลอะไรไว้ใน Log บ้าง

โดย

ทำไมการเก็บ Log ต้องทำตามกฎหมาย?

หลังจากการประกาศใช้ PDPA (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) และ กฎหมายว่าด้วยการกระทำผิดทางคอมพิวเตอร์ การเก็บ Log ไม่ใช่แค่เรื่องประสิทธิภาพระบบอีกต่อไป แต่เป็นข้อกำหนดทางกฎหมาย ที่ผู้ดูแลเว็บไซต์ และ ระบบ IT ต้องปฏิบัติตาม

★
1) ข้อมูลที่ต้องเก็บไว้ใน Log

☆ 1.1 ข้อมูลบังคับตาม PDPA และ กฎหมายคอมพิวเตอร์

○ ข้อมูลการเข้าถึงระบบ

- IP Address , ชื่อผู้ใช้/ID , เวลาล็อกอิน-ล็อกเอ้าท์

(พ.ร.บ.คอมพิวเตอร์ มาตรา 26 )

○ กิจกรรมสำคัญ

- การแก้ไข/ลบข้อมูลสำคัญ , การเปลี่ยนแปลงสิทธิ์ผู้ใช้ , การเข้าถึงข้อมูลส่วนบุคคล

(PDPA มาตรา 39)

○ ความปลอดภัย

- การล็อกอินผิดพลาด , การโจมตีที่ตรวจจับได้ (เช่น DDoS) , การแจ้งเตือนจากระบบ Security , ประกาศ กสทช. เรื่องมาตรฐานความปลอดภัย

○ การรับส่งข้อมูล

- การอัปโหลด/ดาวน์โหลดไฟล์ , การเรียกใช้ API กับข้อมูลสำคัญ , กรณีอุทธรณ์หรือตรวจสอบ

☆ 1.2 ข้อมูลเพิ่มเติมที่แนะนำให้เก็บ (Best Practices)

- Performance Metrics : Response time, Server load

- User Behavior : Navigation path, Click tracking (ไม่เก็บข้อมูลส่วนตัวเกินจำเป็น)

- System Health : Auto-scaling events, Database query time

★
2) ระยะเวลาเก็บ Log (อิงตามกฎหมายไทย)

☆ 2.1 ระยะเวลาขั้นต่ำตามกฎหมาย

○ Log การเข้าถึงระบบ 90 วัน พ.ร.บ.คอมพิวเตอร์ มาตรา 26

○ Log กิจกรรมแก้ไขข้อมูลส่วนบุคคล 1 ปี หรือ ตามอายุความคดี PDPA มาตรา 39

○ Log ความปลอดภัย (Security Events) 180 วัน ประกาศกระทรวงดิจิทัล

○ Log ธุรกรรมทางการเงิน 5 ปี พ.ร.บ.ว่าด้วยการประกอบธุรกิจดิจิทัล

☆ 2.2 กรณีพิเศษที่ต้องเก็บนานกว่า

○ เมื่อมีการฟ้องร้องหรือคดีความ : ต้องเก็บจนกว่าคดีจะสิ้นสุด

○ องค์กรทางการเงิน : ตามกฎหมาย AML (ป้องกันฟอกเงิน) เก็บขั้นต่ำ 5 ปี

- ข้อมูลที่เกี่ยวข้องกับนิติวิทยาศาสตร์ : อาจต้องเก็บนานถึง 10 ปี

★
3) แนวทางการจัดการ Log ตามาตรฐานสากล

☆ 3.1 หลักการเก็บ Log อย่างปลอดภัย

○ Encrypt Log Files : เข้ารหัสไฟล์ Log ที่เก็บไว้

○ Access Control : กำหนดสิทธิ์การเข้าถึง Log เฉพาะผู้ที่จำเป็น

○ Integrity Check : ใช้ Hashing เพื่อป้องกันการแก้ไข Log

☆ 3.2 เครื่องมือแนะนำสำหรับองค์กรไทย

○ SIEM Systems (เช่น Splunk, IBM QRadar)

○ Cloud Services (AWS CloudWatch Logs, Azure Sentinel)

○ Open Source (ELK Stack + Filebeat)

★
4) บทลงโทษหากไม่ปฏิบัติตาม

- โทษทางปกครอง : ปรับสูงสุด 3 ล้านบาท (PDPA มาตรา 82)

- โทษทางอาญา : จำคุกสูงสุด 1 ปี (พ.ร.บ.คอมพิวเตอร์ มาตรา 66)

- ความรับผิดทางแพ่ง : ชดเชยค่าเสียหายหากเกิดข้อมูลรั่วไหล

★
5) ตัวอย่างการตั้งค่าเก็บ Log ในระบบต่างๆ

☆ 5.1 Web Server (Nginx/Apache)

```bash

# ตัวอย่างการตั้งค่าใน nginx.conf

access_log /var/log/nginx/access.log combined buffer=32k;

keep_logs_days 90;

```

☆ 5.2 Database (MySQL)

```sql

-- เปิด General Query Log

SET GLOBAL general_log = 'ON';

SET GLOBAL log_output = 'TABLE';

-- ตั้งค่า rotation ทุก 30 วัน

SET GLOBAL expire_logs_days = 30;

```

✏️ Shoper Gamer

>> https://linkbio.co/ShoperGamer

✓
Log คืออะไร

>> https://www.blockdit.com/posts/6832c11dceab9e8e771e26d7

✓
[กฎหมายที่เกี่ยวข้อง] PDPA คืออะไร 👇

>> https://www.blockdit.com/posts/667d515191eb2e8ef874f328

✓
[กฎหมายที่เกี่ยวข้อง] กฎหมายคอมพิวเตอร์ คืออะไร 👇

>> https://www.blockdit.com/posts/6763d6c0fad23220ecaa90bf

✓
ตัวอย่างการเก็บ Log บน Blockdit 👇

>> https://www.blockdit.com/posts/683a73fc5de4f3e8131a4126

Credit :

👇

●
https://openpdpa.org/log-file-comply-pdpa/

●
https://www.cyberelite.co.th/blog/pdpa-4/

●
https://ditc.co.th/knowledge/log-file/

●
https://tinyurl.com/2kcsuxnk

ดูเพิ่มเติมในซีรีส์

Website

โฆษณา

ดาวน์โหลดแอปพลิเคชัน

ควรเก็บข้อมูลอะไรไว้ใน Log บ้าง

ดาวน์โหลดแอปพลิเคชัน