ข้อ ๔
บริษัทข้อมูลเครดิตต้องมีระบบรักษาความลับและความปลอดภัยของข้อมูลเพื่อป้องกันไม่ให้มีการนำข้อมูลไปใช้ผิดวัตถุประสงค์ของการประกอบธุรกิจข้อมูลเครดิตและไม่ให้ผู้ไม่มีสิทธิได้รับรู้ข้อมูลได้ล่วงรู้ข้อมูลดังกล่าว
รวมทั้งระบบป้องกันไม่ให้ข้อมูลถูกแก้ไข ทำให้เสียหายหรือถูกทำลายโดยไม่ชอบหรือโดยไม่ได้รับอนุญาตอย่างน้อย
ดังนี้
(๑)
กำหนดให้สมาชิกหรือผู้ใช้บริการต้องมีระบบยืนยันผู้ใช้ โดยอย่างน้อยต้องกำหนดให้มี
รหัสผู้ใช้งาน (User
ID) และ รหัสผ่านเพื่อการใช้งาน
(Password) เพื่อป้องกันการเรียกดูข้อมูลโดยไม่ได้รับอนุญาต
หรือโดยบุคคลที่ไม่เกี่ยวข้อง
(๒) การเข้าถึง
และ/หรือแก้ไขข้อมูลของสมาชิกหรือผู้ใช้บริการทุกครั้ง
ต้องมีระบบบันทึกและยืนยันไว้เพื่อเป็นหลักฐานที่อ้างอิงได้
(๓) คอมพิวเตอร์ หรืออุปกรณ์ หรือเครื่องมือใด ๆ
ทุกชนิด ที่เชื่อมต่อกับฐานข้อมูลของบริษัทข้อมูลเครดิตไม่ว่าจะใช้สายหรือไร้สาย
จะต้องได้รับการออกแบบติดตั้งระบบรักษาความปลอดภัยและมีระบบเตือนภัย (Alert
report) เพื่อป้องกันการดักหรือลักลอบดูหรือโจรกรรมข้อมูล
หรือก่อความเสียหายที่อาจจะเกิดขึ้นหรือเกิดแก่ข้อมูล
และ/หรือฐานข้อมูลของบริษัทข้อมูลเครดิต นอกจากนี้
ต้องมีระเบียบปฏิบัติให้ผู้ที่เกี่ยวข้องมีการทดสอบ
หรือใช้ระบบรักษาความปลอดภัยดังกล่าวตามกำหนดเวลาที่ชัดเจนและเคร่งครัด