นโยบายความเป็นส่วนตัว
ปรับปรุงล่าสุด: 2026-05-02
เอกสารฉบับนี้อธิบายว่า NodeTH DNS Console เก็บและประมวลผลข้อมูลใดบ้าง เพื่อวัตถุประสงค์อะไร และคุณมีสิทธิ์อย่างไรต่อข้อมูลส่วนตัวของคุณ ตามหลักการที่สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) ของไทย และ GDPR ของสหภาพยุโรป
1. ผู้ควบคุมข้อมูล
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือผู้ดูแลระบบของ NodeTH DNS Console ติดต่อได้ตามท้ายเอกสาร
2. ข้อมูลที่เราเก็บ
2.1 ข้อมูลที่คุณให้กับเราโดยตรง
- อีเมล — ใช้เป็น login id และส่งการแจ้งเตือน
- ชื่อ — แสดงในระบบและในอีเมลทักทาย
- รหัสผ่าน — เก็บในรูป hash (bcrypt) เท่านั้น เราไม่เห็นรหัสจริง
- 2FA secret + recovery codes — เก็บแบบเข้ารหัสหรือ hashed
- การตั้งค่าโปรไฟล์ — ภาษา, การตั้งค่าการแจ้งเตือน
- API tokens — เก็บแบบ hash; เราไม่สามารถดูค่าจริงได้หลังสร้าง
- Webhook URL + secret — ที่คุณกำหนดเอง
2.2 ข้อมูลที่ระบบเก็บโดยอัตโนมัติ
- IP address — เพื่อ rate-limit, ตรวจจับการ login จากอุปกรณ์ใหม่ และการรักษาความปลอดภัย
- User agent — เพื่อแสดงในรายการ session ของคุณและตรวจจับ anomaly
- Login attempts — บันทึกความสำเร็จ/ล้มเหลวเพื่อป้องกัน brute-force
- Audit log — การดำเนินการของคุณในระบบ (สร้าง/แก้ไข/ลบ records, เปลี่ยนรหัสผ่าน ฯลฯ)
- Session cookie — เพื่อรักษาสถานะการ login (HttpOnly, SameSite=Lax)
- Cookie ภาษา — เพื่อจดจำภาษาที่เลือก (1 ปี)
2.3 ข้อมูล DNS ที่คุณสร้าง
DNS records (A, AAAA, MX, TXT ฯลฯ) เผยแพร่ต่อสาธารณะ ตามธรรมชาติของระบบ DNS ใครก็ตามสามารถ query และเห็นค่าได้ การวาง personally identifiable info ใน records จึงเทียบเท่าการเผยแพร่สาธารณะ — โปรดพิจารณาเอง
3. วัตถุประสงค์การประมวลผล
- ให้บริการ DNS และจัดการบัญชีของคุณ
- รักษาความปลอดภัย ตรวจจับ และป้องกันการโจมตี
- ส่งการแจ้งเตือนที่จำเป็น (เปลี่ยนรหัสผ่าน, login จาก IP ใหม่, DNSSEC rollover ฯลฯ)
- ปรับปรุงคุณภาพบริการ ดู usage pattern ที่ aggregate (ไม่เชื่อมโยงกับบุคคล)
- ปฏิบัติตามคำสั่งศาลหรือหน่วยงานที่มีอำนาจตามกฎหมาย
4. การแบ่งปันข้อมูล
เรา ไม่ขาย ข้อมูลของคุณ และจะแบ่งปันเฉพาะกรณีต่อไปนี้:
- ผู้ให้บริการโครงสร้างพื้นฐาน (cloud, อีเมล relay, monitoring) ภายใต้สัญญารักษาความลับ
- เจ้าหน้าที่รัฐเมื่อมีคำสั่งทางกฎหมาย
- กรณีโอนกิจการ — ผู้รับโอนต้องผูกพันตามนโยบายฉบับนี้หรือเข้มงวดกว่า
5. ระยะเวลาเก็บข้อมูล (Retention)
| ประเภท | เก็บไว้ |
|---|---|
| บัญชีและโปรไฟล์ | จนกว่าจะยกเลิกบัญชี |
| Login attempts | 60 วัน |
| Audit log | 180 วัน |
| DNS records audit | 180 วัน |
| Health history | 90 วัน |
| Webhook deliveries | 30 วัน |
| Cron run logs | 30 วัน |
| Mail queue (sent/failed) | 30 วัน |
ค่าข้างต้นเป็นค่าตั้งต้น ผู้ดูแลระบบสามารถปรับเปลี่ยนได้ตาม policy ภายใน
6. ความปลอดภัย
- เก็บรหัสผ่านเป็น bcrypt hash (ไม่ใช่ plaintext)
- ส่งข้อมูลผ่าน HTTPS/TLS เท่านั้น เปิด HSTS + CSP + CSRF protection
- รองรับ 2FA (TOTP) + recovery codes
- Rate-limit login, forgot password, register และ 2FA challenge
- Session ผูกกับ HttpOnly cookie + revoke ทุก session ทันทีที่เปลี่ยนรหัสผ่าน/อีเมล
- Webhook URL ผ่านการตรวจกัน SSRF — ห้าม private/loopback/cloud-metadata IP
7. สิทธิ์ของคุณ (PDPA / GDPR)
- สิทธิ์ในการเข้าถึง — ดูข้อมูลของคุณในหน้า Profile, Activity และ Sessions
- สิทธิ์ในการแก้ไข — แก้ไขชื่อ, อีเมล, ภาษา และการตั้งค่าได้เองในระบบ
- สิทธิ์ในการลบ ("right to be forgotten") — แจ้งผู้ดูแลระบบเพื่อลบบัญชี ข้อมูลที่เก็บตามกฎหมาย (เช่น log การละเมิด) อาจคงไว้ตามที่กฎหมายกำหนด
- สิทธิ์ในการคัดค้านการประมวลผล — ปิดการแจ้งเตือนได้ในหน้า Profile
- สิทธิ์ในการขอข้อมูลพกพา (portability) — ขอ export ข้อมูลของบัญชีคุณได้
- สิทธิ์ในการร้องเรียน — ต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) สำหรับผู้ใช้ในไทย
8. คุกกี้
- session cookie (จำเป็น) — รักษาสถานะการ login
- theme (functional, localStorage) — จดจำธีม light/dark
- lang (functional, 1 ปี) — จดจำภาษาที่เลือก
เราไม่ใช้คุกกี้สำหรับ tracking, advertising หรือ analytics ของบุคคลที่สาม
9. การโอนข้อมูลข้ามประเทศ
nameservers ของเรากระจายอยู่ในหลายภูมิภาค (ไทย, สิงคโปร์, สหรัฐฯ, เนเธอร์แลนด์, ญี่ปุ่น) ดังนั้น DNS query ของคุณ (ไม่ใช่ข้อมูลส่วนตัว) อาจถูกตอบกลับจาก server นอกประเทศไทย ข้อมูลส่วนตัวของบัญชี (database) ถูกเก็บไว้ในศูนย์ข้อมูลที่ผู้ดูแลระบบกำหนด
10. เด็ก
บริการนี้ไม่ได้ออกแบบสำหรับผู้ใช้ที่อายุต่ำกว่า 13 ปี หากเราพบว่ามีบัญชีที่สร้างโดยผู้เยาว์ที่ไม่มีผู้ปกครองยินยอม จะลบบัญชีดังกล่าวทันที
11. การเปลี่ยนแปลงนโยบาย
หากเราปรับปรุงนโยบายฉบับนี้ในเรื่องที่มีผลกระทบมีนัยสำคัญ เราจะแจ้งทางอีเมลหรือใน dashboard ล่วงหน้าอย่างน้อย 14 วัน วันที่ "ปรับปรุงล่าสุด" จะแสดงที่ด้านบนของเอกสาร
การติดต่อ
หากมีข้อสงสัยเกี่ยวกับเอกสารฉบับนี้ ส่งข้อความผ่าน หน้าติดต่อเรา หรืออีเมล info@thaidns.co.th