Compliance & นโยบายข้อมูล
ข้อมูลเกี่ยวกับการประมวลผลข้อมูล ความปลอดภัย และหน้าที่ของคู่สัญญา
Hectocorn ทำหน้าที่เป็น ผู้ประมวลผลข้อมูล (Data Processor) Processor ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
ท่านในฐานะผู้ใช้บริการ API ถือเป็น ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) Controller และมีหน้าที่รับผิดชอบต่อเจ้าของข้อมูลที่ท่านส่งมาประมวลผลกับระบบของเรา
หน้าที่ที่ท่านต้องรับผิดชอบในฐานะ Data Controller:
- ได้รับความยินยอม (Consent) จากเจ้าของข้อมูลก่อนส่งข้อมูลส่วนบุคคลมาประมวลผล
- แจ้งวัตถุประสงค์การใช้งานให้เจ้าของข้อมูลทราบ
- ไม่ส่งข้อมูลอ่อนไหว เช่น ข้อมูลสุขภาพ ศาสนา หรือข้อมูลชีวมิติ โดยไม่มีฐานทางกฎหมายที่ชัดเจน
สิ่งที่เราไม่เก็บ:
- เนื้อหาของรูปภาพหรือไฟล์ที่ท่านส่งมา
- ผลลัพธ์ที่ได้จากการประมวลผล (ข้อความจาก OCR, ผลการวิเคราะห์)
สิ่งที่เราเก็บเพื่อการบริหารระบบ:
- Metadata การใช้งาน — เวลา, endpoint ที่เรียก, สถานะ (success/failed), เวลาตอบสนอง
- ข้อมูลบัญชีและการใช้ credits ของท่าน
Hectocorn ใช้บริการจากบุคคลที่สามต่อไปนี้ในการให้บริการ:
| ผู้ให้บริการ | วัตถุประสงค์ | Privacy policy |
|---|---|---|
| Google Cloud Vision API | ประมวลผล OCR และ Image Analysis | อ่าน DPA |
| ElevenLabs | แปลงข้อความเป็นเสียง (TTS) | อ่าน DPA |
| fal.ai | สร้างรูปภาพด้วย AI | Privacy Policy |
| Supabase | ฐานข้อมูล, Authentication | อ่าน DPA |
| Render | โครงสร้างพื้นฐาน (Hosting) | อ่าน DPA |
ผู้ให้บริการทุกรายมีข้อตกลงการประมวลผลข้อมูล (Data Processing Agreement) กับ Hectocorn และมีมาตรการรักษาความปลอดภัยตามมาตรฐานสากล
- API Key ถูกเข้ารหัสด้วย HMAC-SHA256 — ระบบไม่เก็บ key ต้นฉบับ
- การสื่อสารทุกช่องทางเข้ารหัสด้วย TLS
- การตัดเครดิตใช้ Row-Level Lock ใน Database เพื่อป้องกัน Race Condition
- โครงสร้างพื้นฐานผ่านการรับรอง SOC 2 Type II (Render, Supabase)
หากท่านมีคำถามเกี่ยวกับการประมวลผลข้อมูล หรือต้องการทำ Data Processing Agreement เพิ่มเติม กรุณาติดต่อ contact@hectocornlabs.com
อัปเดตล่าสุด: เมษายน 2569