คลาวด์ภาครัฐ มาตรฐานสากลSovereign Cloud ภาครัฐ อธิปไตยข้อมูลไทย (Data Residency)
Sovereign Cloud คือ คลาวด์ที่ข้อมูล ระบบ และการดูแลทั้งหมดอยู่ภายในประเทศไทย ภายใต้เขตอำนาจกฎหมายไทยเพียงประเทศเดียว เหมาะกับข้อมูลราชการชั้น Protected และ Highly Protected ที่ไม่ควรไหลออกนอกประเทศ
- ISO/IEC 27001
- ISO 22301
- ISO 20000-1
- CSA-STAR
Data Center ในไทย มาตรฐาน TIA-942 Tier 3+ ข้อมูลอยู่ในประเทศไทย
Sovereign Cloud คืออะไร ทำไมภาครัฐทั่วโลกให้ความสำคัญ
Sovereign Cloud คือ ระบบคลาวด์ที่ออกแบบให้ข้อมูล ระบบประมวลผล และการบริหารจัดการทั้งหมดอยู่ภายใต้เขตอำนาจกฎหมายของประเทศเดียว ตั้งแต่ที่ตั้งของ Data Center สัญชาติของผู้ให้บริการ ไปจนถึงทีมงานที่ดูแลระบบ เพื่อให้มั่นใจว่าไม่มีรัฐต่างชาติเข้าถึงข้อมูลได้โดยอาศัยกฎหมายของประเทศอื่น
แนวคิดนี้ได้รับความสำคัญทั่วโลก เพราะคลาวด์ขนาดใหญ่ส่วนมากดำเนินการโดยบริษัทข้ามชาติที่ต้องปฏิบัติตามกฎหมายของประเทศแม่ หลายประเทศจึงพัฒนา Sovereign Cloud ของตนเองสำหรับงานราชการและงานความมั่นคง
สำหรับประเทศไทย นโยบาย Cloud First ผลักดันให้หน่วยงานรัฐใช้คลาวด์เป็นทางเลือกแรก คำถามจึงไม่ใช่จะขึ้นคลาวด์หรือไม่ แต่คือวางข้อมูลแต่ละชั้นบนคลาวด์แบบใด ซึ่ง Sovereign Cloud ไทยคือคำตอบของข้อมูลที่อ่อนไหวที่สุด
Data Residency คืออะไร ต่างจาก Data Sovereignty อย่างไร
Data Residency คือ การเก็บข้อมูลไว้ภายในประเทศในเชิงกายภาพ คือเซิร์ฟเวอร์และสื่อบันทึกข้อมูลตั้งอยู่ใน Data Center ในไทย ส่วน Data Sovereignty หรืออธิปไตยข้อมูล ลึกกว่านั้นอีกขั้น คือข้อมูลอยู่ภายใต้เขตอำนาจกฎหมายของประเทศใด และใครมีอำนาจสั่งเปิดเผยข้อมูลได้
อีกระดับที่มักถูกมองข้ามคือ Operational Sovereignty หรืออธิปไตยเชิงปฏิบัติการ คือใครเป็นผู้ดูแลระบบ สังกัดนิติบุคคลสัญชาติใด และมีการเข้าถึงระบบข้ามประเทศหรือไม่ สรุปเป็นสามระดับดังนี้
- Data Residency: ข้อมูลถูกจัดเก็บและประมวลผลใน Data Center ภายในประเทศไทย
- Data Sovereignty: ข้อมูลอยู่ภายใต้กฎหมายไทยเท่านั้น ไม่มีกฎหมายต่างชาติมีผลเหนือข้อมูล
- Operational Sovereignty: ผู้ดูแลระบบเป็นทีมงานในประเทศ ควบคุมสิทธิ์การเข้าถึงได้ทั้งหมด
Sovereign Cloud ที่แท้จริงต้องครบทั้งสามระดับ ไม่ใช่เพียงตั้งเซิร์ฟเวอร์ในไทย ควรตรวจสอบที่ตั้งข้อมูล สัญชาตินิติบุคคล และทีมปฏิบัติการของผู้ให้บริการไปพร้อมกัน

ทำไมกฎหมายต่างชาติจึงเป็นความเสี่ยงต่อข้อมูลราชการ
หลายประเทศมีกฎหมายให้อำนาจหน่วยงานรัฐของตนเรียกขอข้อมูลจากผู้ให้บริการสัญชาติของประเทศนั้น โดยหลักการ อำนาจนี้ติดตัวบริษัทไปทุกที่ แม้ข้อมูลจะถูกจัดเก็บใน Data Center นอกประเทศแม่ก็ตาม
ผลคือ การที่ผู้ให้บริการต่างชาติเปิดศูนย์ข้อมูลในไทยตอบโจทย์ Data Residency ได้จริง แต่ยังไม่ตอบโจทย์อธิปไตยข้อมูลอย่างสมบูรณ์ เพราะบริษัทแม่ยังมีพันธะตามกฎหมายของประเทศตน หากมีคำสั่งให้ส่งมอบข้อมูล หน่วยงานไทยเจ้าของข้อมูลอาจไม่มีส่วนรู้เห็นเลย
สำหรับข้อมูลราชการ เช่น ฐานข้อมูลประชาชน ข้อมูลภาษี หรือเอกสารชั้นความลับ ความเสี่ยงลักษณะนี้ยอมรับได้ยาก การเลือกผู้ให้บริการนิติบุคคลไทยที่ดำเนินการโดยทีมงานในประเทศแบบ THAI DATA จึงตัดความเสี่ยงเชิงเขตอำนาจกฎหมายตั้งแต่ต้นทาง

การจัดชั้นข้อมูลภาครัฐ Official, Protected, Highly Protected คืออะไร
หลักเกณฑ์การจัดชั้นข้อมูลของ DGA ช่วยให้หน่วยงานประเมินความอ่อนไหวของข้อมูลแต่ละชุด แล้วเลือกรูปแบบการวางระบบให้เหมาะสม แทนที่จะใช้มาตรการเดียวกับข้อมูลทุกประเภท
| ชั้นข้อมูล | ลักษณะและตัวอย่าง | แนวทางการวางระบบ |
|---|---|---|
| Official | ข้อมูลทั่วไปที่เปิดเผยต่อสาธารณะได้ เช่น เว็บไซต์ประชาสัมพันธ์ ข้อมูลเปิดภาครัฐ | วางบนคลาวด์ทั่วไปหรือคลาวด์กลางภาครัฐได้ |
| Protected | ข้อมูลที่หากรั่วไหลจะกระทบต่อหน่วยงานหรือประชาชน เช่น ข้อมูลภาษี การเบิกจ่าย เวชระเบียน | ควรอยู่บนคลาวด์ภายในประเทศที่มีมาตรการความปลอดภัยตามมาตรฐานสากล |
| Highly Protected | ข้อมูลชั้นความลับหรืออ่อนไหวสูง ที่กระทบต่อความมั่นคงหากรั่วไหล | ควรอยู่บน Sovereign Cloud ไทยแบบแยกทรัพยากรเฉพาะ ควบคุมสิทธิ์เข้าถึงอย่างเข้มงวด |
หน่วยงานเดียวกันมักมีข้อมูลครบทั้งสามชั้น แนวทางที่เหมาะสมคือสถาปัตยกรรมแบบผสม วางข้อมูลแต่ละชั้นในที่ที่เหมาะกับความอ่อนไหว ซึ่งทีม THAI DATA ช่วยประเมินและออกแบบให้ได้
Public Cloud ต่างชาติ vs คลาวด์กลางภาครัฐ vs Sovereign Cloud ไทย ต่างกันอย่างไร
คลาวด์ทั้งสามประเภทมีบทบาทของตัวเอง ประเด็นสำคัญคือการจับคู่ประเภทคลาวด์กับชั้นข้อมูลและเงื่อนไขของโครงการ ตารางนี้สรุปความแตกต่างในมุมที่หน่วยงานจัดซื้อควรพิจารณาก่อนกำหนด TOR
| หัวข้อเปรียบเทียบ | Public Cloud ต่างชาติ | คลาวด์กลางภาครัฐ (GDCC) | Sovereign Cloud ไทย |
|---|---|---|---|
| ที่ตั้งข้อมูล | อาจอยู่ในหรือนอกประเทศ ขึ้นกับโซนบริการและนโยบายสำรองข้อมูล | Data Center ภายในประเทศไทย | Data Center ในไทยทั้งระบบหลักและระบบสำรอง |
| เขตอำนาจกฎหมาย | กฎหมายต่างชาติของบริษัทแม่ควบคู่กับกฎหมายไทย | กฎหมายไทย | กฎหมายไทยทั้งหมด ผู้ให้บริการเป็นนิติบุคคลสัญชาติไทย |
| การควบคุมและปรับแต่งตาม TOR | เลือกได้ตามเมนูบริการมาตรฐาน | อยู่ในกรอบบริการกลางที่กำหนดไว้ | ออกแบบตาม TOR ได้ทั้งสเปก เครือข่าย ความปลอดภัย และ SLA |
| ชั้นข้อมูลที่เหมาะ | Official ที่เปิดเผยได้ | Official และ Protected ตามเงื่อนไขบริการ | Protected และ Highly Protected รวมถึงระบบแยกทรัพยากรเฉพาะ |
| การสนับสนุนภาษาไทย | ส่วนมากผ่านเอกสารและช่องทางสนับสนุนกลางจากต่างประเทศ | ทีมสนับสนุนสำหรับหน่วยงานรัฐ | ทีมวิศวกรคนไทยดูแลโดยตรง สื่อสารและทำเอกสารราชการเป็นภาษาไทย |
| ความยืดหยุ่นของสัญญา | สัญญามาตรฐานสากล แก้ไขเงื่อนไขได้จำกัด | เป็นไปตามเงื่อนไขของโครงการกลาง | เจรจาเงื่อนไขได้ตามระเบียบจัดซื้อจัดจ้างภาครัฐ |
GDCC เป็นโครงสร้างพื้นฐานกลางที่มีคุณค่าของประเทศ THAI DATA วางบทบาทเป็นส่วนเสริม ไม่ใช่คู่แข่ง โดยรับงานที่ต้องการทรัพยากรเฉพาะ เช่น DR Site ข้อมูลชั้นสูง ระบบ ERP อีเมล และงาน Managed Services
กฎหมายและนโยบายไทยที่เกี่ยวข้องกับคลาวด์ภาครัฐ
การเลือกคลาวด์ของหน่วยงานรัฐไม่ใช่เรื่องเทคนิคอย่างเดียว แต่เกี่ยวพันกับกรอบกฎหมายและนโยบายหลายฉบับที่ควรพิจารณาร่วมกันในระดับหลักการ
- พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) กำหนดหน้าที่ของหน่วยงานในฐานะผู้ควบคุมข้อมูล รวมถึงความระมัดระวังเมื่อโอนข้อมูลออกนอกประเทศ
- พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 วางกรอบการดูแลระบบสารสนเทศสำคัญให้มีมาตรการความปลอดภัยที่ตรวจสอบได้
- นโยบาย Cloud First ส่งเสริมให้หน่วยงานรัฐใช้คลาวด์เป็นทางเลือกแรกในการพัฒนาระบบ
- แนวทางของ สกมช. ด้านความมั่นคงปลอดภัยไซเบอร์ และหลักเกณฑ์การจัดชั้นข้อมูลของ DGA เป็นกรอบอ้างอิงในการเลือกที่วางข้อมูลแต่ละชั้น
Sovereign Cloud ที่ข้อมูลอยู่ในไทยทั้งหมดช่วยให้การปฏิบัติตามกรอบเหล่านี้ตรงไปตรงมาขึ้น เพราะตัดประเด็นการโอนข้อมูลข้ามพรมแดนตั้งแต่ขั้นออกแบบ
Checklist 8 ข้อ ก่อนเลือกผู้ให้บริการ Sovereign Cloud
ก่อนตัดสินใจ ควรใช้คำถามชุดนี้ตรวจสอบผู้ให้บริการทุกราย คำตอบที่ชัดเจนและตรวจสอบได้คือสัญญาณของผู้ให้บริการที่พร้อมรองรับงานภาครัฐ
- Data Center หลักและไซต์สำรองตั้งอยู่ในประเทศไทยทั้งหมด และเปิดให้ตรวจเยี่ยมสถานที่ได้
- ผู้ให้บริการเป็นนิติบุคคลสัญชาติไทย อยู่ภายใต้เขตอำนาจกฎหมายไทย ไม่มีพันธะตามกฎหมายต่างชาติ
- มีใบรับรอง ISO/IEC 27001, ISO 22301, ISO 20000-1 และ Data Center ระดับ TIA-942 Tier 3 ขึ้นไป
- รองรับการแยกทรัพยากรเฉพาะ (Dedicated) สำหรับข้อมูลชั้น Highly Protected
- มีบริการ DR Site และ Backup ภายในประเทศ อยู่ต่างพื้นที่กับระบบหลัก
- ทีมวิศวกรคนไทยดูแลระบบโดยตรง จัดทำเอกสารประกอบงานราชการเป็นภาษาไทยได้
- สัญญาระบุที่ตั้งข้อมูล สิทธิ์การเข้าถึง และการส่งมอบบันทึกการใช้งานอย่างชัดเจน
- เข้าใจกระบวนการจัดซื้อจัดจ้างภาครัฐ และช่วยเตรียมข้อมูลประกอบ TOR ได้
THAI DATA ยึดเกณฑ์ทั้งแปดข้อนี้เป็นมาตรฐานการทำงาน หน่วยงานใช้ checklist เดียวกันนี้ตรวจสอบเราได้เช่นกัน
ตัวอย่างการใช้งาน Sovereign Cloud ในหน่วยงานภาครัฐ
งานภาษีและการเงินภาครัฐ: ฐานข้อมูลธุรกรรม ระบบเบิกจ่าย และเอกสารการเงินจัดอยู่ในชั้น Protected ขึ้นไป Sovereign Cloud ทำให้ข้อมูลการเงินของแผ่นดินอยู่ใต้กฎหมายไทย พร้อม DR ในประเทศเพื่อความต่อเนื่องของงานเบิกจ่าย
งานสาธารณสุข: เวชระเบียนและข้อมูลสุขภาพเป็นข้อมูลส่วนบุคคลอ่อนไหวตามหลัก PDPA โรงพยาบาลใช้ Sovereign Cloud เก็บข้อมูลผู้ป่วยโดยไม่ให้ออกนอกประเทศ พร้อมควบคุมสิทธิ์รายบุคคลและตรวจสอบย้อนหลังได้
งานความมั่นคง: ข้อมูลชั้นความลับต้องการการแยกทรัพยากรเฉพาะหน่วยงาน การควบคุมการเข้าถึงทางกายภาพ และทีมปฏิบัติการที่ระบุตัวตนได้ ซึ่ง Sovereign Cloud ไทยออกแบบมารองรับโดยตรง
มาตรฐานและใบรับรองของ THAI DATA
THAI DATA ก่อตั้งในปี 2016 ให้บริการคลาวด์และ Data Center ในประเทศไทยด้วยมาตรฐานที่ตรวจสอบได้ ใบรับรองเหล่านี้ใช้ประกอบการจัดซื้อของหน่วยงานได้โดยตรง
- ISO/IEC 27001 ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
- ISO 22301 ระบบบริหารความต่อเนื่องทางธุรกิจ รองรับสถานการณ์ฉุกเฉิน
- ISO 20000-1 การบริหารจัดการบริการไอทีอย่างเป็นระบบ
- CSA-STAR มาตรฐานความปลอดภัยของบริการคลาวด์
- Data Center มาตรฐาน TIA-942 Tier 3+ สองไซต์ในไทย ทั้งกรุงเทพฯ และต่างจังหวัด รองรับการทำ DR ต่างพื้นที่
เริ่มต้นใช้งาน Sovereign Cloud กับ THAI DATA อย่างไร
การย้ายระบบขึ้น Sovereign Cloud ไม่ต้องทำทั้งหมดในครั้งเดียว แนวทางที่แนะนำคือประเมินก่อนแล้วทำเป็นลำดับขั้น ให้ทุกช่วงของโครงการตรวจสอบได้
- ปรึกษาและประเมินชั้นข้อมูล: ทีมงานช่วยสำรวจระบบและจัดชั้นข้อมูลตามหลักเกณฑ์ของ DGA โดยไม่มีค่าใช้จ่าย
- ออกแบบสถาปัตยกรรม: กำหนดสเปก เครือข่าย ความปลอดภัย และ SLA ให้ตรงกับ TOR
- ทดสอบระบบ (PoC): ทดลองใช้งานกับระบบนำร่องก่อนตัดสินใจเต็มรูปแบบ
- ย้ายระบบและข้อมูล: วางแผนการย้ายเป็นช่วง ลดผลกระทบต่องานบริการประชาชน
- ดูแลต่อเนื่อง: ทีมคนไทยเฝ้าระวังระบบ พร้อมรายงานผลตามรอบที่ตกลงกัน
สนใจปรึกษาหรือขอใบเสนอราคา ติดต่อทีมงานได้ที่โทร 061-989-8891 LINE @thaidatacloud หรืออีเมล [email protected]
คำถามที่พบบ่อย
Sovereign Cloud คืออะไร ต่างจากคลาวด์ทั่วไปอย่างไร
Sovereign Cloud คือ คลาวด์ที่ข้อมูล ระบบ และการดูแลทั้งหมดอยู่ภายใต้เขตอำนาจกฎหมายของประเทศเดียว ต่างจากคลาวด์ทั่วไปตรงที่ควบคุมทั้งที่ตั้งข้อมูล สัญชาติผู้ให้บริการ และทีมปฏิบัติการ ไม่ใช่เพียงตำแหน่งเซิร์ฟเวอร์
Data Residency กับ Data Sovereignty ต่างกันอย่างไร
Data Residency คือ การเก็บข้อมูลไว้ในประเทศเชิงกายภาพ ส่วน Data Sovereignty หรืออธิปไตยข้อมูล คือการที่ข้อมูลอยู่ภายใต้กฎหมายของประเทศนั้นเท่านั้น คลาวด์ที่ตั้งเซิร์ฟเวอร์ในไทยแต่บริษัทแม่เป็นต่างชาติจึงตอบโจทย์ได้เพียงข้อแรก
ข้อมูลบน Sovereign Cloud ของ THAI DATA อยู่ในไทยจริงไหม
ใช่ ข้อมูลหลักและข้อมูลสำรองจัดเก็บใน Data Center มาตรฐาน TIA-942 Tier 3+ ในประเทศไทย ภายใต้กฎหมายไทย ไม่มีการสำเนาข้อมูลออกนอกประเทศ
ข้อมูลชั้น Highly Protected ควรวางระบบแบบไหน
ควรอยู่บน Sovereign Cloud แบบแยกทรัพยากรเฉพาะหน่วยงาน ควบคุมสิทธิ์การเข้าถึงอย่างเข้มงวด พร้อมบันทึกการใช้งานที่ตรวจสอบย้อนหลังได้ ซึ่ง THAI DATA ออกแบบให้ตาม TOR ได้
ใช้ Sovereign Cloud ร่วมกับ GDCC ได้หรือไม่
ได้ โดยวางงานทั่วไปบนคลาวด์กลางภาครัฐ แล้วใช้ Sovereign Cloud เสริมส่วนที่ต้องการทรัพยากรเฉพาะ เช่น DR Site ข้อมูลชั้นสูง ระบบ ERP และอีเมล
Sovereign Cloud ช่วยเรื่อง PDPA อย่างไร
การเก็บข้อมูลส่วนบุคคลไว้ในประเทศตัดประเด็นการโอนข้อมูลข้ามพรมแดนตามหลักของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทำให้การกำกับดูแลและการชี้แจงต่อผู้ตรวจสอบง่ายขึ้น
หน่วยงานต้องเตรียมอะไรก่อนย้ายขึ้น Sovereign Cloud
เริ่มจากสำรวจระบบและจัดชั้นข้อมูลตามหลักเกณฑ์ของ DGA จากนั้นกำหนดสเปกและ SLA ใน TOR ทีม THAI DATA ช่วยประเมินและจัดทำข้อมูลประกอบให้ตั้งแต่ขั้นแรก
จัดซื้อ Sovereign Cloud ผ่านช่องทางใดได้บ้าง
จัดซื้อได้ตามระเบียบจัดซื้อจัดจ้างภาครัฐ เช่น วิธีเฉพาะเจาะจงหรือวิธีคัดเลือก รวมถึงผ่านบัญชีบริการดิจิทัล เราช่วยแนะนำเอกสารและขั้นตอนที่เหมาะกับโครงการ
ค่าบริการ Sovereign Cloud คิดอย่างไร
ค่าบริการขึ้นอยู่กับสเปกทรัพยากร ระดับการแยกระบบ และ SLA ที่ต้องการ แนะนำให้ขอใบเสนอราคาตามขอบเขตงานจริง ทีมงานประเมินให้ฟรี
THAI DATA มีมาตรฐานอะไรรองรับงานภาครัฐ
ISO/IEC 27001, ISO 22301, ISO 20000-1, CSA-STAR และ Data Center มาตรฐาน TIA-942 Tier 3+ ในประเทศไทย โดยมีทีมคนไทยดูแลตลอดการใช้งาน
ขอใบเสนอราคา / ปรึกษาผู้เชี่ยวชาญคลาวด์ภาครัฐฟรี
กรอกข้อมูลสั้น ๆ ทีมงานติดต่อกลับภายใน 1 วันทำการ
- 061-989-8891
- LINE @thaidatacloud
- ข้อมูลของคุณถูกเก็บเป็นความลับ และใช้เพื่อการติดต่อกลับเท่านั้น
