📋 สรุปสั้นๆ ใน 30 วินาที — คำมั่นสัญญา 5 ข้อของ Nebrix
- ข้อมูลของคุณเก็บบน Microsoft Azure — Southeast Asia (Singapore) — ได้รับมาตรฐาน ISO 27001, SOC 2 Type II
- Nebrix ไม่ขายข้อมูลของคุณให้ใครทั้งสิ้น
- AI (ปัญญ์) ไม่นำข้อมูลของคุณไปเทรน model
- คุณสามารถส่งออกหรือลบข้อมูลทั้งหมดได้ทุกเมื่อ
- Nebrix ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA) พ.ศ. 2562
1. ข้อมูลที่เราเก็บและเหตุผล
📝 ข้อมูลที่คุณให้กับเรา
- ข้อมูลบัญชีผู้ใช้ — ชื่อ, อีเมล, เบอร์โทรศัพท์, ชื่อธุรกิจ
- ข้อมูลทางการเงิน — รายการเงินสด, ใบแจ้งหนี้, ข้อมูลลูกค้า, ใบเสนอราคา
- ข้อมูลบัญชีธนาคาร — เชื่อมผ่าน Open Banking API เท่านั้น (ไม่เก็บรหัสผ่าน)
⚙️ ข้อมูลที่ระบบเก็บอัตโนมัติ
- Log การใช้งาน — หน้าที่เข้าชม, เวลา, IP address
- ข้อมูลอุปกรณ์ — browser, OS (เพื่อแก้ bug เท่านั้น)
- ข้อมูลประสิทธิภาพ — response time, error logs
🚫 ข้อมูลที่เราไม่เก็บ
- รหัสผ่านธนาคารหรือรหัส PIN
- ข้อมูลบัตรเครดิต/เดบิต (ชำระผ่าน payment gateway ที่ได้รับการรับรอง)
- ข้อมูลที่ไม่เกี่ยวข้องกับธุรกิจของคุณ
2. เราใช้ข้อมูลทำอะไรบ้าง
| วัตถุประสงค์ | สิ่งที่ Nebrix ทำ | สิ่งที่ Nebrix ไม่ทำ |
|---|
| พยากรณ์กระแสเงินสด |
ใช้ข้อมูลธุรกรรมของคุณเท่านั้น |
ไม่ผสมข้อมูลของธุรกิจอื่น |
| ปัญญ์ AI CFO |
ส่งเฉพาะตัวเลขที่จำเป็นให้ AI วิเคราะห์ |
ไม่บันทึกบทสนทนาไว้ถาวร |
| ปรับปรุง FlowIQ |
วิเคราะห์พฤติกรรมการใช้งาน (anonymized) |
ไม่ใช้ข้อมูลการเงินในการพัฒนา |
| แจ้งเตือนสำคัญ |
ส่ง alert ผ่านอีเมล/ระบบ |
ไม่ส่ง marketing โดยไม่ได้รับอนุญาต |
| ปฏิบัติตามกฎหมาย |
เปิดเผยข้อมูลเมื่อมีคำสั่งศาลเท่านั้น |
ไม่แบ่งปันข้อมูลกับหน่วยงานใดโดยสมัครใจ |
3. AI และปัญญ์ — ทำงานอย่างไรกับข้อมูลคุณ
⚡ คำถามที่ SMEs ถามบ่อยที่สุด
"AI เอาข้อมูลเราไปเทรน model ไหม?" → ไม่ครับ
🤖 หลักการทำงานของปัญญ์
- ปัญญ์ส่งเฉพาะ "สรุปตัวเลข" ที่จำเป็นให้ AI วิเคราะห์ — ไม่ส่ง raw transaction ทั้งหมด
- ตัวอย่าง: คำถาม "วันนี้มีรายการอะไร" → ส่งเฉพาะ "ยอดรวม 5 รายการ วันนี้" ไม่ส่งชื่อลูกค้า
- บทสนทนากับปัญญ์ไม่ถูกบันทึกไว้ใน server ของ AI provider ภายนอก
- Nebrix ใช้ LLM provider ที่มีข้อตกลง No Training: บทสนทนาไม่นำไปเทรน model ใดๆ
🌐 AI Provider ที่เราใช้
- Typhoon (OpenTyphoon) — LLM ของไทย เหมาะกับภาษาไทย
- Anthropic Claude — สำหรับงานวิเคราะห์เชิงลึก
- ทั้งคู่มีข้อตกลง Enterprise ที่ห้ามนำข้อมูล customer ไปเทรน model
4. ข้อมูลเก็บที่ไหน และปลอดภัยแค่ไหน
ℹ️ Data Residency — Microsoft Azure Southeast Asia (Singapore)
- ฐานข้อมูลหลัก: Microsoft Azure SQL — Region: Southeast Asia (Singapore)
- Microsoft Azure ได้รับการรับรอง ISO 27001, SOC 2 Type II, CSA STAR Level 2
- Azure ปฏิบัติตาม PDPA ของสิงคโปร์ (PDPA SG) และ GDPR ซึ่งมีมาตรฐานสูงกว่าหรือเทียบเท่า PDPA ไทย
- ข้อมูลไม่กระจายไปยัง region อื่นโดยไม่ได้รับความยินยอม
- Backup ทำทุก 6 ชั่วโมง เก็บไว้ 30 วัน
📌 ทำไมไม่เก็บในไทย 100%?
Azure ยังไม่มี Data Center ในประเทศไทยที่รองรับ SQL Managed Instance ครบถ้วน (Azure Thailand Central เปิดให้บริการบางส่วนแล้ว) Nebrix อยู่ระหว่างประเมินการย้าย Data Residency มาอยู่ในไทยเมื่อพร้อม และจะแจ้งให้ทราบล่วงหน้า 60 วัน
🔐 มาตรการรักษาความปลอดภัย
- การเข้ารหัสข้อมูล: TLS 1.3 ระหว่างส่ง + Azure TDE (Transparent Data Encryption) เมื่อจัดเก็บ
- Authentication: JWT Token + Refresh Token พร้อม session timeout
- Access Control: แต่ละบัญชีเห็นเฉพาะข้อมูลของตัวเอง (Tenant Isolation)
- Azure SQL Firewall: จำกัด IP ที่เข้าถึงฐานข้อมูลได้
- Penetration Testing: ทดสอบทุก 6 เดือน
- พนักงาน Nebrix: เข้าถึงข้อมูลเฉพาะเมื่อจำเป็นสำหรับ support และต้องผ่าน 2FA
5. สิทธิของคุณตาม PDPA
ในฐานะเจ้าของข้อมูล คุณมีสิทธิเหล่านี้ทั้งหมด และ Nebrix พร้อมดำเนินการภายใน 30 วัน
สิทธิ
วิธีใช้สิทธิ
📋 ขอดูข้อมูล
Settings → ส่งออกข้อมูล → เลือกช่วงวันที่
✏️ แก้ไขข้อมูล
แก้ไขได้ตรงจากระบบ หรือแจ้งทีม Support
🗑️ ลบข้อมูล
Settings → ลบบัญชี → ยืนยัน → ข้อมูลถูกลบใน 30 วัน
📤 ส่งออกข้อมูล
Settings → Export → ได้ไฟล์ Excel/CSV ทันที
🚫 คัดค้านการประมวลผล
ติดต่อ privacy@nebrix.co.th
🔕 ถอนความยินยอม
ถอนได้ทุกเมื่อ — ไม่กระทบข้อมูลที่ประมวลผลไปแล้ว
6. เราแบ่งปันข้อมูลกับใครบ้าง
⚠️ Nebrix ไม่ขายข้อมูลของคุณให้ใครทั้งสิ้น — ไม่มีข้อยกเว้น
👥 ผู้ให้บริการที่อาจเข้าถึงข้อมูล (เพื่อให้บริการเท่านั้น)
- Microsoft Azure (Singapore) — Infrastructure provider ผูกพันด้วย Microsoft Data Processing Agreement (DPA)
- AI API Provider (Typhoon, Anthropic) — รับเฉพาะ prompt ที่จำเป็น มีข้อตกลง No Training
- Payment Gateway — สำหรับชำระค่าบริการ (ไม่เห็นข้อมูลการเงินธุรกิจของคุณ)
- ทีม Support ของ Nebrix — เฉพาะเมื่อคุณร้องขอความช่วยเหลือ
7. เก็บข้อมูลนานแค่ไหน
- ข้อมูลบัญชีและการเงิน: ตลอดอายุสัญญา + 1 ปี (ตาม พ.ร.บ. บัญชี พ.ศ. 2543)
- Log การใช้งาน: 90 วัน
- บทสนทนากับปัญญ์: 30 วัน
- หลังยกเลิกบัญชี: ลบภายใน 30 วัน ยกเว้นข้อมูลที่กฎหมายกำหนดให้เก็บ
8. PDPA Compliance
Nebrix ดำเนินการภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) และจัดทำบันทึกรายการประมวลผลข้อมูล (ROPA)
- ฐานกฎหมายในการประมวลผล: การปฏิบัติตามสัญญา + ประโยชน์โดยชอบด้วยกฎหมาย
- ไม่ประมวลผลข้อมูลอ่อนไหว เช่น ข้อมูลสุขภาพ ศาสนา การเมือง
- มีกระบวนการแจ้งเหตุละเมิดภายใน 72 ชั่วโมง ตามที่กฎหมายกำหนด
9. แผนการพัฒนาด้านความเป็นส่วนตัว
ปัจจุบัน — Azure SQL Southeast Asia (Singapore) พร้อม Encryption + PDPA compliance
ระยะกลาง (2026–2027) — ประเมิน Azure Thailand Central สำหรับ Data Residency ในไทย
ระยะยาว — On-Premise option สำหรับลูกค้า Enterprise ที่ต้องการ Data ใน Server ตัวเอง
ทุกการเปลี่ยนแปลง — แจ้งล่วงหน้า 60 วัน ผ่านอีเมลและ in-app notification
10. การเปลี่ยนแปลงนโยบาย
หากมีการเปลี่ยนแปลงสำคัญ Nebrix จะแจ้งล่วงหน้า อย่างน้อย 30 วัน ผ่านอีเมลและการแจ้งเตือนในระบบ คุณมีสิทธิ์ยกเลิกบัญชีหากไม่เห็นด้วยกับการเปลี่ยนแปลง
11. ติดต่อเรา
← กลับหน้าแรก