法律人 LawPlayer logo

資料由法律人 LawPlayer整理提供·กฎหมายไทย / LawPlayer จากสำนักงานคณะกรรมการกฤษฎีกา

adminRule

ประกาศสำนักงานคณะกรรมการ ก.ล.ต. ที่ นป. 8/2565 เรื่อง แนวปฏิบัติในการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัล (wallet management) และการบริหารจัดการกุญแจ (key management)

เลขที่
วันที่ประกาศ
จำนวนมาตรา
2
มาตรา อารัมภบท

ประกาศแนวปฏิบัติ

ที่ นป. 8/2565

เรื่อง แนวปฏิบัติในการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัล (wallet management)

และการบริหารจัดการกุญแจ (key management)

ตามที่ประกาศคณะกรรมการกํากับหลักทรัพย์และตลาดหลักทรัพย์ ที่ กธ. 19/2561

เรื่อง หลักเกณฑ์ เงื่อนไข และวิธีการประกอบธุรกิจสินทรัพย์ดิจิทัล ลงวันที่ 3 กรกฎาคม พ.ศ. 2561

(“ประกาศ ที่ กธ. 19/2561”) และประกาศสํานักงานคณะกรรมการกํากับหลักทรัพย์และตลาดหลักทรัพย์

ที่ สธ. 44/2565 เรื่อง ข้อกําหนดในรายละเอียดเกี่ยวกับระบบการบริหารจัดการกระเป๋าสินทรัพย์

ดิจิทัลและกุญแจ ลงวันที่ 19 ธันวาคม พ.ศ. 2565 (“ประกาศ ที่ สธ. 44/2565”)

กําหนดให้ผู้ประกอบธุรกิจต้องมีระบบการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัลที่ใช้ในการเก็บรักษาสินทรัพย์ดิจิทัล (wallet management) และกุญแจ (key management) ที่มีประสิทธิภาพ โดยต้องจัดให้มีนโยบายและวิธีปฏิบัติในการกํากับดูแลและบริหารจัดการระบบดังกล่าว และมีการบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อระบบดังกล่าว นั้น

เพื่อประโยชน์ในการปฏิบัติตามข้อกําหนดข้างต้นของผู้ประกอบธุรกิจ สํานักงาน ก.ล.ต.

โดยอาศัยอํานาจตามข้อ 3(2) ประกอบกับข้อ 9(6)(ค) แห่งประกาศที่ กธ. 19/2561 ซึ่งแก้ไขเพิ่มเติม

โดยประกาศคณะกรรมการกํากับหลักทรัพย์และตลาดหลักทรัพย์ ที่ กธ. 34/2565 เรื่อง หลักเกณฑ์ เงื่อนไข และวิธีการประกอบธุรกิจสินทรัพย์ดิจิทัล (ฉบับที่ 19) ลงวันที่ 15 ธันวาคม พ.ศ. 2565 สํานักงาน ก.ล.ต. กําหนดแนวปฏิบัติไว้ดังต่อไปนี้

มาตรา ข้อ 1

ข้อ 1 แนวปฏิบัตินี้เป็นแนวทางเกี่ยวกับเรื่องดังต่อไปนี้

(1) การจัดให้มีนโยบาย วิธีปฏิบัติ และระบบงานเกี่ยวกับการบริหารจัดการ

กระเป๋าสินทรัพย์ดิจิทัลที่ใช้ในการเก็บรักษาสินทรัพย์ดิจิทัล (wallet management) และกุญแจ

(key management)

(2) การควบคุมดูแล ติดตาม และตรวจสอบให้มีการปฏิบัติตามนโยบาย มาตรการ

และระบบงานตาม (1)

(3) การทบทวนความเหมาะสมของ (1)

ในกรณีที่ผู้ประกอบธุรกิจได้ปฏิบัติตามแนวทางตามวรรคหนึ่งจนครบถ้วน สํานักงาน ก.ล.ต.จะพิจารณาว่าผู้ประกอบธุรกิจได้ปฏิบัติตามประกาศ ที่ กธ. 19/2561 และประกาศ ที่ สธ. 44/2565 แล้ว ทั้งนี้ หากผู้ประกอบธุรกิจดําเนินการต่างจากแนวปฏิบัตินี้ ผู้ประกอบธุรกิจมีภาระที่จะต้องพิสูจน์

ให้เห็นได้ว่าการดําเนินการนั้นยังคงอยู่ภายใต้หลักการและข้อกําหนดของประกาศ ที่ กธ. 19/2561

ในส่วนที่เกี่ยวกับระบบการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัลที่ใช้ในการเก็บรักษาสินทรัพย์ดิจิทัล

(wallet management) และกุญแจ (key management) และประกาศ ที่ สธ. 44/2565

มาตรา ข้อ 2

ข้อ 2 แนวทางปฏิบัติตามข้อ 1 วรรคหนึ่งมีรายละเอียดตามที่กําหนดในภาคผนวก

ที่แนบท้ายประกาศแนวปฏิบัตินี้ ทั้งนี้ รายละเอียดดังกล่าวได้แก่เรื่องดังต่อไปนี้

(1) หมวดที่ 1 การกํากับดูแลและบริหารจัดการความเสี่ยงของระบบการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัล (wallet management) และการบริหารจัดการกุญแจ (key management) (governance of wallet and key management)

(2) หมวดที่ 2 การบริหารจัดการระบบการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัล (wallet management) และการบริหารจัดการกุญแจ (key management)

(3) หมวดที่ 3 การบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อระบบการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัล (wallet management) และการบริหารจัดการกุญแจ (key management) (incident management)

ประกาศ ณ วันที่ 19 ธันวาคม พ.ศ. 2565

(นางสาวรื่นวดี สุวรรณมงคล)

เลขาธิการ

สํานักงานคณะกรรมการกํากับหลักทรัพย์และตลาดหลักทรัพย์

**ภาคผนวก**

**บทนิยาม**

| | | |

| --- | --- | --- |

| **“กระเป๋าสินทรัพย์ดิจิทัล (wallet)”** | หมายถึง | ระบบที่ใช้ในการจัดเก็บสินทรัพย์ดิจิทัล |

| **“กุญแจ (key)”** | หมายถึง | กุญแจเข้ารหัส (cryptographic key) หรือสิ่งอื่นใดที่ต้องเก็บรักษาเป็นความลับ เพื่อใช้อนุมัติการโอนหรือการทําธุรกรรมเกี่ยวกับสินทรัพย์ดิจิทัลในกระเป๋าสินทรัพย์ดิจิทัล |

| **“ข้อมูลต้นกําเนิด (seed)”** | หมายถึง | ชุดตัวเลขที่ได้จากการประมวลค่าวลีช่วยจํา ที่ผ่านกระบวนการทางคอมพิวเตอร์ตามที่มาตรฐานกําหนด เช่น ในกรณีของ BIP32 BIP39 และ BIP44 เป็นต้น |

| **“ผู้ประกอบธุรกิจ (business operator)”** | หมายถึง | ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลที่ได้รับใบอนุญาตและมีการเก็บรักษาสินทรัพย์ดิจิทัลของลูกค้าซึ่งรวมถึงผู้ให้บริการรับฝากสินทรัพย์ดิจิทัล |

| **“วลีช่วยจํา (mnemonic phrase)”** | หมายถึง | ชุดคํา (word lists) ที่ได้จากการประมวลค่าเอนโทรปีที่ผ่านกระบวนการทางคอมพิวเตอร์ โดยชุดคําจะเป็นไปตามที่มาตรฐานกําหนด เช่น ในกรณีของ Bitcoin ใช้ BIP32 BIP39 และ BIP44 เป็นต้น |

| **“เอนโทรปี (entropy)”** | หมายถึง | การใช้กระบวนการทางคอมพิวเตอร์ เพื่อสร้างชุดตัวเลขที่เป็นคําสุ่ม (randomness) ประกอบด้วย bit 0 หรือ bit 1 โดยมีความยาวเป็นไปตามที่มาตรฐานกําหนด เพื่อนําไปใช้ประกอบการสร้างกุญแจเข้ารหัส |

| **“ข้อมูลต้นกําเนิดสํารอง (backup seed)”****“ผู้จัดการ”****“เวลาราชการ”****“นอกเวลาราชการ”** | หมายถึงหมายถึงหมายถึงหมายถึง | การสํารองข้อมูลต้นกําเนิดบุคคลที่ได้รับมอบหมายจากคณะกรรมการบริษัทให้เป็นผู้ดูแลรับผิดชอบสูงสุดในการบริหารงานของบริษัทช่วงเวลาตั้งแต่เวลา 08.30 น. ถึง 16.30 น. ช่วงเวลาตั้งแต่เวลา 16.31 น. ถึง 08.29 น. ของวันถัดไป |

**หมวดที่ 1 : การกํากับดูแลและบริหารจัดการความเสี่ยงของระบบการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัล (wallet management) และการบริหารจัดการกุญแจ (key management) (governance of wallet and key management)**

| |

| --- |

| **วัตถุประสงค์** เนื่องจากระบบการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัล (wallet management) และการบริหารจัดการกุญแจ (key management) ถือเป็นหนึ่งในระบบงานหลักในการเก็บรักษาสินทรัพย์ดิจิทัลของลูกค้า ซึ่งหากเกิดเหตุการณ์ที่ส่งผลต่อความมั่นคงปลอดภัย เช่น การสูญหาย ถูกทําลาย หรือเกิดการทุจริต จะส่งผลกระทบต่อการดําเนินงานของผู้ประกอบธุรกิจ สินทรัพย์ดิจิทัลของลูกค้าที่ฝากไว้ และความเชื่อมั่นต่อตลาดสินทรัพย์ดิจิทัลโดยรวมได้ ผู้บริหารระดับสูงจึงควรมีบทบาทสําคัญในการบริหารจัดการระบบการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัล (wallet management) และการบริหารจัดการกุญแจ (key management) ภายใต้การกํากับดูแลของคณะกรรมการบริษัท เพื่อให้สอดคล้องกับการกํากับดูแลกิจการที่ดี (corporate governance) |

**ข้อกําหนดในประกาศ ที่ สธ.** **44/2565**

| |

| --- |

| “ข้อ 4 ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลต้องจัดให้มีนโยบายเป็นลายลักษณ์อักษรอย่างน้อยในเรื่องดังต่อไปนี้ ทั้งนี้ นโยบายดังกล่าวต้องได้รับความเห็นชอบจากคณะกรรมการของผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล หรือคณะกรรมการที่ได้รับมอบหมายจากคณะกรรมการของผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล(1) การบริหารจัดการความเสี่ยงเกี่ยวกับระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัลที่สอดคล้องกับนโยบายและการบริหารความเสี่ยงองค์กร (enterprise risk) ซึ่งครอบคลุมถึงการระบุความเสี่ยง การประเมินความเสี่ยง และการควบคุมความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้(2) การบริหารจัดการระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัลตามข้อ 6ข้อ 5 ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลต้องจัดให้มีการกํากับดูแลและบริหารจัดการระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัลตามหลักเกณฑ์ดังต่อไปนี้ เพื่อให้เป็นไปตามนโยบายตามข้อ 4(1) สื่อสารนโยบายให้แก่บุคลากรของผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลที่เกี่ยวข้องอย่างทั่วถึงในลักษณะที่สามารถเข้าถึงได้ง่าย เพื่อให้บุคลากรดังกล่าวเข้าใจและสามารถปฏิบัติตามนโยบายดังกล่าวได้ถูกต้อง(2) กําหนดขั้นตอนและวิธีปฏิบัติงานให้เป็นไปตามนโยบาย(3) ทบทวนหรือปรับปรุงนโยบาย อย่างน้อยปีละ 1 ครั้ง และทบทวนโดยไม่ชักช้าเมื่อมีเหตุการณ์ใด ๆ ซึ่งอาจส่งผลกระทบต่อการกํากับดูแลและบริหารจัดการระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัลอย่างมีนัยสําคัญ ทั้งนี้ ต้องปรับปรุงขั้นตอนและวิธีปฏิบัติงานตาม (2) ให้สอดคล้องกับนโยบายที่มีการเปลี่ยนแปลงด้วย(4) จัดให้มีการกํากับดูแลการปฏิบัติตามนโยบาย โดยหน่วยงานซึ่งเป็นอิสระจากการบริหารจัดการระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัล และหน่วยงานดังกล่าวมีหน้าที่รายงานผลการปฏิบัติตามนโยบายดังกล่าวให้คณะกรรมการของผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลทราบอย่างน้อยปีละ 1 ครั้ง และในกรณีที่มีเหตุการณ์ใด ๆ ซึ่งอาจส่งผลกระทบต่อการปฏิบัติตามนโยบายดังกล่าวอย่างมีนัยสําคัญ ต้องรายงานให้คณะกรรมการของผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลทราบโดยไม่ชักช้า(5) จัดให้มีระบบควบคุมภายในสําหรับการปฏิบัติงานให้เป็นไปตามนโยบายอย่างน้อยดังนี้(ก) มีการตรวจสอบภายในและสอบทานการปฏิบัติงานให้เป็นไปตามนโยบายดังกล่าวอย่างเป็นระบบ(ข) มีการปรับปรุงแก้ไขข้อบกพร่อง และติดตามการปรับปรุงแก้ไขดังกล่าวอย่างเป็นระบบและทันต่อเหตุการณ์ เพื่อลดผลกระทบต่อทรัพย์สินลูกค้า” |

**แนวปฏิบัติ**

1. นโยบายการบริหารจัดการความเสี่ยงเกี่ยวกับระบบการจัดการกระเป๋าสินทรัพย์ดิจิทัล (wallet

management) และการบริหารจัดการกุญแจ (key management) ตามข้อกําหนด 4(1)

ควรสอดคล้องกับนโยบายและการบริหารความเสี่ยงองค์กร (enterprise risk) และควรมีเนื้อหาขั้นต่ํา

ดังนี้

1.1 การระบุความเสี่ยงที่เกี่ยวข้องกับระบบการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัล (wallet management) และการบริหารจัดการกุญแจ (key management)

1.2 การประเมินความเสี่ยง ซึ่งครอบคลุมถึงโอกาสหรือความถี่ที่จะเกิดความเสี่ยง และความมีนัยสําคัญหรือผลกระทบที่จะเกิดขึ้น เพื่อจัดลําดับความสําคัญในการบริหารจัดการความเสี่ยง

1.3 การกําหนดเครื่องมือและมาตรการในการบริหารจัดการความเสี่ยงให้อยู่ในระดับที่องค์กร

ยอมรับได้ (risk appetite)

1.4 การกําหนดตัวชี้วัดระดับความเสี่ยง (risk indicator) สําหรับความเสี่ยงสําคัญที่สอดคล้องกับความเสี่ยงที่ระบุตาม 1.1 รวมถึงจัดให้มีการติดตามและรายงานผลตัวชี้วัดดังกล่าว เพื่อให้สามารถบริหารจัดการความเสี่ยงด้านกุญแจได้อย่างเหมาะสมและทันต่อเหตุการณ์

1.5 การกําหนดหน้าที่และความรับผิดชอบของผู้รับผิดชอบ (accountable person) และผู้ทําหน้าที่บริหารจัดการ (responsible person) ระบบการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัล (wallet management) และการบริหารจัดการกุญแจ (key management) ตามข้อกําหนด 4(1)

2. ในการปฏิบัติตามข้อกําหนด 5(1) ผู้ประกอบธุรกิจควรสื่อสารนโยบายให้แก่บุคลากรเฉพาะที่เกี่ยวข้อง สอดคล้องกับบทบาทหน้าที่ของผู้ปฏิบัติงาน (หลัก need-to-know) โดยเฉพาะในส่วนของนโยบาย

ที่เกี่ยวข้องกับ cold wallet ให้สื่อสารเฉพาะกับผู้ที่มีหน้าที่เท่านั้น

3. ในการปฏิบัติตามข้อกําหนด 5(4) ผู้ประกอบธุรกิจควรจัดให้มีขั้นตอนการจัดทําการติดตามและ

การควบคุมดูแลการจัดทํารายงานเพื่อให้มั่นใจได้ว่าสามารถจัดทํารายงานได้อย่างครบถ้วน ถูกต้อง

และทันเวลา โดยให้ผู้บริหารระดับสูงเป็นผู้รับผิดชอบในการปฏิบัติให้เป็นไปตามข้อกําหนด 5(4)

และมีหน่วยงานที่เป็นอิสระจากผู้มีหน้าที่ปฏิบัติงานและรายงานผลการปฏิบัติตามนโยบายดังกล่าว

เช่น หน่วยงานกํากับดูแลการปฏิบัติงาน และหน่วยงานตรวจสอบภายใน เป็นต้น

4. ในการปฏิบัติให้เป็นไปตามข้อกําหนด 5(5) ผู้ประกอบธุรกิจควรจัดให้มีการติดตาม ประเมิน

และปรับปรุงแก้ไขข้อบกพร่องของระบบควบคุมภายใน ดังต่อไปนี้

4.1 จัดให้มีการติดตาม ตรวจสอบ และประเมินประสิทธิภาพของขั้นตอนการปฏิบัติงานของหน่วยงาน ที่ทําหน้าที่บริหารและจัดการในเรื่องดังต่อไปนี้ โดยผู้ตรวจสอบที่เป็นอิสระจากหน่วยงานดังกล่าว

(ก) การปฏิบัติงานให้เป็นไปตามนโยบายในข้อกําหนด 4(1) และ (2)

(ข) การรายงานการปฏิบัติงานในข้อกําหนด 5(4)

4.2 จัดให้มีการประเมินตนเองในด้านประสิทธิภาพของขั้นตอนการปฏิบัติงาน (control

self-assessment : CSA)

4.3 จัดให้ผู้ตรวจสอบที่เป็นอิสระเป็นผู้ประมวลและรายงานผลที่ได้จากการดําเนินการตาม 4.1

และ 4.2 พร้อมทั้งรายงานข้อบกพร่องที่ตรวจพบและผลการปรับปรุงแก้ไขให้คณะกรรมการบริษัทหรือคณะกรรมการตรวจสอบและผู้บริหารระดับสูงทราบตามรอบการประเมินและ

ตามรอบการติดตามการปรับปรุงแก้ไขข้อบกพร่อง หรือโดยไม่ชักช้าเมื่อพบข้อบกพร่อง

ที่มีนัยสําคัญ

**หมวดที่ 2 : การบริหารจัดการระบบการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัล (wallet management) และการบริหารจัดการกุญแจ (key management)**

| |

| --- |

| **วัตถุประสงค์** เพื่อให้ผู้ประกอบธุรกิจมีมาตรการควบคุมดูแลความปลอดภัยขั้นสูงสุด ตั้งแต่กระบวนการสร้าง การจัดเก็บ การเข้าถึง การใช้งาน และการกู้คืนกุญแจ รวมทั้งเพื่อให้ผู้ประกอบธุรกิจมีการควบคุมการเข้าถึงสินทรัพย์ดิจิทัลในกระเป๋าสินทรัพย์ดิจิทัลของลูกค้า โดยกําหนดกระบวนการการออกแบบ การพัฒนา และบริหารจัดการระบบกระเป๋าสินทรัพย์ดิจิทัล รวมถึงการจัดเก็บ log ขั้นตอนและกิจกรรมต่าง ๆ ที่เกี่ยวข้อง เพื่อให้สามารถตรวจสอบย้อนหลังได้ |

**ข้อกําหนดในประกาศ ที่ สธ.** **44/2565**

| |

| --- |

| “ข้อ 6 ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลต้องจัดให้มีนโยบายและกําหนดกระบวนการในการบริหารจัดการระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัล ในเรื่องของการออกแบบ พัฒนา และบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัล อย่างเหมาะสมและมั่นคงปลอดภัยในกรณีที่ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลมีการสร้าง จัดเก็บ หรือเข้าถึงกุญแจ ข้อมูลต้นกําเนิด หรือข้อมูลอื่น ๆ ที่เกี่ยวข้อง ให้ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลจัดให้มีนโยบายและกําหนดกระบวนการในการบริหารจัดการระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัลในเรื่องดังกล่าวด้วย” |

**แนวปฏิบัติ**

1. เพื่อให้มีการดําเนินการเป็นไปตามข้อกําหนด 6 วรรคสองข้างต้น ผู้ประกอบธุรกิจควรจัดให้มีนโยบายและกระบวนการในการสร้าง และจัดเก็บ key รวมถึงการควบคุมการเข้าถึง key และข้อมูลอื่น ๆ

ที่เกี่ยวข้องที่ครอบคลุมเนื้อหาขั้นต่ําดังนี้

**1.1 กรณี** **cryptographic key**

**1.1.1 กระบวนการสร้าง cryptographic key และ seed**

(1) ผู้ประกอบธุรกิจควรทําให้มั่นใจได้ว่า key และ seed ถูกคาดเดาได้ยาก

โดยครอบคลุมการดําเนินการดังนี้

(ก) ปฏิบัติตามแนวปฏิบัติที่ดีและมาตรฐานสากลที่ได้รับการยอมรับสําหรับ

entropy ที่ใช้ในการสร้าง key

(ข) มีระบบการป้องกันในกระบวนการสร้าง key และ seed เพื่อให้มั่นใจได้ว่า

key และ seed จะถูกคาดเดาได้ยาก เพื่อความปลอดภัยของทรัพย์สินลูกค้า

(2) ผู้ประกอบธุรกิจควรจัดให้มีการแบ่งแยกหน้าที่ในกระบวนการสร้าง key และ seed

โดยครอบคลุมการดําเนินการดังนี้

(ก) มีพนักงานอย่างน้อย 3 คนที่มีส่วนร่วมในกระบวนการสร้าง key และ seed

ซึ่งแต่งตั้งโดยคณะกรรมการของผู้ประกอบธุรกิจ รวมถึงมีมาตรการ

ที่เหมาะสมเพื่อให้มั่นใจได้ว่า ไม่มีพนักงานคนใดคนหนึ่งได้รับรู้ข้อมูล

ที่ใช้ในการสร้าง key และ seed ทั้งหมดได้

(ข) จัดให้มีบุคคลที่มีความเป็นอิสระจากหน่วยงานที่รับผิดชอบในกระบวนการ

สร้าง key และ seed เช่น หน่วยงานกํากับดูแลการปฏิบัติงาน และหน่วยงาน

ตรวจสอบภายใน เป็นต้น เข้าร่วมสังเกตการณ์ในขั้นตอนการสร้าง key และ

seed ว่าเป็นไปตามขั้นตอนที่กําหนดไว้ ทั้งนี้ ผู้สังเกตการณ์ต้องไม่สามารถ

รู้ข้อมูลที่ใช้ในการสร้าง key และ seed ทั้งหมดได้

(ค) พนักงานที่เกี่ยวข้องกับกระบวนการสร้าง key และ seed ไม่มีส่วนร่วม

ในระบบหรือขั้นตอนการปฏิบัติสําหรับการสร้างธุรกรรมให้ลูกค้า

(3) ผู้ประกอบธุรกิจควรจัดให้มีขั้นตอนการกู้คืน key โดยครอบคลุมการดําเนินการดังนี้

(ก) จัดให้มี mnemonic phrase หรือข้อมูลอื่นใดที่สร้างขึ้นในกระบวนการสร้าง

key ซึ่งยังคงสามารถรักษาความลับในการได้มาซึ่ง key เพื่อใช้ในการ

กู้คืน key (regenerate) เมื่อมีเหตุจําเป็น

(ข) กําหนดขั้นตอนและการควบคุมการกู้คืน key เพื่อให้มั่นใจได้ว่า ผู้ประกอบ

ธุรกิจจะกู้คืน key ได้ก็ต่อเมื่อได้รับอนุมัติโดยผู้มีอํานาจและเจ้าของ wallet

รวมถึงมีการจัดเก็บ log หลักฐานในกระบวนการที่เกี่ยวข้อง

(4) ผู้ประกอบธุรกิจควรมีกระบวนการทดสอบการใช้งาน key seed และข้อมูลอื่น ๆ

ที่เกี่ยวข้อง โดยครอบคลุมการดําเนินการดังนี้

(ก) มีกระบวนการทดสอบเพื่อให้มั่นใจได้ว่า key ที่สร้างขึ้นสามารถใช้งาน

เพื่อทําธุรกรรมสําหรับ wallet นั้น ๆ ได้

(ข) มีกระบวนการทดสอบเพื่อให้มั่นใจได้ว่า ข้อมูลและเครื่องมือที่ใช้ในการกู้คืน

key สามารถใช้ในการกู้คืน key ได้

(5) ผู้ประกอบธุรกิจควรทําให้มั่นใจได้ว่า มีความมั่นคงปลอดภัยในการสร้าง key

และ seed รวมถึงการทําลายข้อมูลที่หลงเหลือ โดยครอบคลุมการดําเนินการดังนี้

(ก) ทําให้มั่นใจได้ว่า การสร้าง key seed และข้อมูลที่เกี่ยวข้องถูกจัดทํา

ในสภาพแวดล้อมที่มีการควบคุมที่เหมาะสมอย่างมั่นคงปลอดภัย และ

ควรใช้อุปกรณ์ที่ปลอดภัย โดยให้การสร้าง key ทํางานแบบไม่เชื่อมต่อ

กับเครือข่าย แต่ถ้าเป็นการทํางานแบบมีการเชื่อมต่อกับเครือข่ายควรมีการ

ควบคุมการเข้าถึงหรือมีการควบคุมอื่น ๆ ที่เหมาะสมทดแทน โดยให้

มีการใช้งาน ตั้งค่า ตามข้อแนะนําเพื่อความปลอดภัยที่แนะนําโดยเจ้าของ

ผลิตภัณฑ์ หรือตามมาตรฐานสากล

(ข) มีกระบวนการและมาตรฐานการดําเนินงานที่เหมาะสม ในการทําลายข้อมูล

ที่สําคัญที่อาจหลงเหลืออยู่จากขั้นตอนการสร้าง key เพื่อป้องกันการเข้าถึง

ข้อมูลดังกล่าวโดยไม่ได้รับอนุญาต เช่น ข้อมูลบน RAM หรือ memory

ของเครื่องคอมพิวเตอร์ที่ใช้ในขั้นตอนการสร้าง key เป็นต้น รวมทั้ง

การดําเนินการในกระบวนการดังกล่าวในแต่ละครั้ง ได้รับการสอบทาน

ความเหมาะสมจากบุคคลที่มีความเป็นอิสระจากจากหน่วยงานที่รับผิดชอบ

ในกระบวนการสร้าง key และ seed

(ค) จัดเก็บบันทึกเหตุการณ์ที่เกี่ยวข้องกับกระบวนการสร้าง key และ seed

รวมถึงการลบหรือทําลายข้อมูลที่เกี่ยวข้อง เพื่อการสอบทานในอนาคต

**1.1.2 กระบวนการจัดเก็บ cryptographic key และ seed**

(1) ผู้ประกอบธุรกิจควรทําให้มั่นใจได้ว่า key สําหรับระบบเก็บรักษาสินทรัพย์ดิจิทัล

ที่เชื่อมต่อกับเครือข่ายเมื่อทําธุรกรรมเท่านั้น (cold wallet) ซึ่งไม่ได้อยู่ระหว่าง

การใช้งานถูกจัดเก็บอยู่ในอุปกรณ์ที่เข้ารหัสหรือตู้นิรภัย และมีการควบคุม

การเข้าถึงอย่างปลอดภัย และควรมีระบบและวิธีการปฏิบัติงานที่เหมาะสม

(2) ผู้ประกอบธุรกิจควรมีการจํากัดการเข้าถึง key ข้อมูล และอุปกรณ์ที่ใช้ในการ

ทําธุรกรรม สําหรับระบบเก็บรักษาสินทรัพย์ดิจิทัลที่เชื่อมต่อกับเครือข่าย

เมื่อทําธุรกรรมเท่านั้น (cold wallet) เฉพาะกับผู้บริหารระดับสูงที่ได้รับอนุญาต

โดยไม่มีผู้บริหารระดับสูงรายใดรายหนึ่งสามารถทําธุรกรรมได้โดยบุคคลเดียว

(3) ผู้ประกอบธุรกิจควรทําให้มั่นใจได้ว่า key สําหรับเก็บรักษาสินทรัพย์ดิจิทัลที่ไม่ได้

เชื่อมต่อกับเครือข่ายเมื่อทําธุรกรรมเท่านั้น (hot wallet) ถูกจัดเก็บอยู่ในรูปแบบ

ที่มีการเข้ารหัส (encryption) ที่มีความมั่นคงปลอดภัย

(4) ผู้ประกอบธุรกิจควรแบ่งข้อมูล seed หรือข้อมูลที่ใช้ในการกู้คืน key ออกเป็น

อย่างน้อย 3 ส่วน โดยแบ่งผู้ที่สามารถเข้าถึงข้อมูลดังกล่าวต้องไม่ใช่บุคคลเดียวกัน

และแต่ละส่วนจะต้องเก็บไว้แยกจากกันในภาชนะที่สามารถป้องกันการงัดแงะได้

รวมทั้งจัดเก็บอย่างปลอดภัย

(5) ผู้ประกอบธุรกิจควรทําให้มั่นใจได้ว่า สถานที่จัดเก็บ backup seed

(ก) ไม่ใช่สถานที่เดียวกันกับสถานที่จัดเก็บ seed และสถานที่สําหรับการจัดการ

ธุรกรรมและการปฏิบัติงานรับฝากสินทรัพย์ดิจิทัล

(ข) แบ่งออกเป็นอย่างน้อย 3 ส่วน โดยแบ่งผู้ที่สามารถเข้าถึงข้อมูลดังกล่าว

ต้องไม่ใช่บุคคลเดียวกัน และแต่ละส่วนจะต้องเก็บไว้แยกจากกันในภาชนะ

ที่สามารถป้องกันการงัดแงะได้ รวมทั้งจัดเก็บอย่างปลอดภัยโดยจัดเก็บไว้

ในตู้นิรภัย และมีมาตรการรักษาความปลอดภัยเทียบเท่ากับข้อมูล seed

ซึ่งประกอบด้วยระบบบันทึกภาพอย่างต่อเนื่อง และมีการป้องกันการโจมตี

ทางกายภาพและภัยพิบัติต่าง ๆ เช่น น้ําท่วม ไฟไหม้ พายุ หรือสภาพอากาศ

ต่าง ๆ

(6) ผู้ประกอบธุรกิจควรทําให้มั่นใจได้ว่าพื้นที่จัดเก็บ backup seed ที่อยู่นอกสถานที่

(off-site) ถูกจํากัดการเข้าถึงเฉพาะพนักงานที่ได้รับอนุญาตเท่านั้น และการยืนยัน

ตัวตนพนักงานดังกล่าวอย่างน้อยต้องมีการใช้ multifactor identity verification

ก่อนอนุญาตให้มีการเข้าถึงได้

(7) ผู้ประกอบธุรกิจควรจัดให้มีการตรวจสอบภายในสําหรับระบบและกระบวนการ

ทํางานที่เกี่ยวข้องกับ key seed และข้อมูลอื่น ๆ ซึ่งครอบคลุมถึงการสร้างและ

การจัดเก็บ backup seed โดยผู้บริหารอย่างน้อยปีละ 1 ครั้ง

(8) ผู้ประกอบธุรกิจควรมีการบันทึกรายละเอียดเกี่ยวกับสิ่งที่ตรวจพบจากการตรวจสอบ

ตาม (7) อย่างเหมาะสม รวมถึงสิ่งที่ได้ดําเนินการเพื่อแก้ไขปรับปรุง (ถ้ามี) และ

ควรนําส่งรายละเอียดดังกล่าวให้แก่สํานักงาน ก.ล.ต. เมื่อมีการร้องขอ

(9) ผู้ประกอบธุรกิจควรจัดให้มีกระบวนการย้าย key ระหว่างอุปกรณ์ หรือติดตั้ง key

ลงบน server ที่มั่นคงปลอดภัย โดยข้อมูลในอุปกรณ์ที่ใช้ในการย้าย key

ควรถูกลบ ทําลายอย่างปลอดภัย

**1.1.3 กระบวนการเข้าถึง cryptographic key seed และข้อมูลอื่น ๆ ที่เกี่ยวข้อง**

(1) ผู้ประกอบธุรกิจควรมีการจํากัดการเข้าถึง key seed และข้อมูลอื่น ๆ ที่เกี่ยวข้องกับ

สินทรัพย์ดิจิทัลที่อยู่ภายใต้การรับฝากเฉพาะกับพนักงานที่ได้รับอนุญาต ภายใต้หลัก

เท่าที่จําเป็นเท่านั้น

(2) ผู้ประกอบธุรกิจควรจัดทําและทบทวนบัญชีรายชื่อพนักงานที่มีสิทธิเข้าถึง key seed

และข้อมูลอื่น ๆ ที่เกี่ยวข้อง และมีวิธีการปฏิบัติที่ชัดเจนเกี่ยวกับการให้สิทธิหรือ

เพิกถอนสิทธิการเข้าถึงข้อมูลดังกล่าว

(3) ผู้ประกอบธุรกิจควรมีการจัดเก็บบันทึกหลักฐานทั้งการเข้าถึง key seed และข้อมูล

อื่น ๆ ที่เกี่ยวข้อง (access log) และการดําเนินงาน (activity log / audit log)

เพื่อการสอบทานในอนาคต เป็นระยะเวลาอย่างน้อย 2 ปี โดยอย่างน้อยควรมีข้อมูล

บัญชีผู้ใช้งาน วันเวลาเข้าใช้งาน เหตุการณ์ เป็นต้น

(4) ผู้ประกอบธุรกิจควรมีการควบคุมการเปลี่ยนแปลงการตั้งค่าบนอุปกรณ์ที่ใช้สร้าง

และจัดเก็บ key seed และข้อมูลอื่น ๆ ให้สามารถดําเนินการได้โดยผู้มีหน้าที่

รับผิดชอบ และไม่สามารถดําเนินการได้โดยบุคคลเดียว

**1.2 กรณี key ที่ไม่ใช่ cryptographic key**

สําหรับการอนุมัติการโอนหรือการทําธุรกรรมเกี่ยวกับสินทรัพย์ดิจิทัลโดยใช้ key รูปแบบอื่นใดนอกจาก cryptographic key ผู้ประกอบธุรกิจควรจัดให้มีนโยบายและกระบวนการบริหารจัดการ key และข้อมูลอื่น ๆ ที่เกี่ยวข้อง ที่สามารถตรวจสอบและควบคุมได้ มีการแบ่งแยกบุคลากรที่รับผิดชอบเกี่ยวกับการบริหารจัดการ key และมีความปลอดภัยจากการที่ key

ถูกโจรกรรม เสียหาย หรือสูญหาย รวมทั้งสามารถกู้คืน key ได้เมื่อได้รับอนุมัติโดยผู้มีอํานาจและเจ้าของ wallet โดยมีการจัดเก็บ log หลักฐานในกระบวนการที่เกี่ยวข้อง

2. เพื่อให้มีการดําเนินการเป็นไปตามข้อกําหนด 6 วรรคหนึ่งข้างต้น ผู้ประกอบธุรกิจควรจัดให้มีนโยบายและกระบวนการสําหรับการออกแบบ การพัฒนา และการบริหารจัดการ wallet โดยครอบคลุมเนื้อหาขั้นต่ําดังต่อไปนี้

2.1 ผู้ประกอบธุรกิจควรจัดให้มีการออกแบบ wallet เพื่อให้สามารถตั้งค่าและกําหนดสิทธิหรือวงเงินในการทําธุรกรรมได้อย่างเหมาะสม และสามารถป้องกันไม่ให้ผู้ที่ไม่ได้รับอนุญาตเข้าถึงได้

2.2 ผู้ประกอบธุรกิจควรจัดให้มีการออกแบบ wallet อย่างเหมาะสม โดยมีการคํานึงถึงการควบคุม

ที่สําคัญตั้งแต่กระบวนการการพัฒนาและเปลี่ยนแปลงแก้ไข

2.3 ผู้ประกอบธุรกิจควรจัดให้มีกระบวนการจัดหา และคัดเลือกผู้ให้บริการ wallet ก่อนเปิดใช้งาน เพื่อให้มั่นใจว่า wallet ที่เลือกใช้มีความเหมาะสมและมีการรักษาความปลอดภัยที่ดี

2.4 ผู้ประกอบธุรกิจควรมีการสอบทานการตั้งค่าและการเปลี่ยนแปลงบน wallet รวมถึงสอบทานการทําธุรกรรมที่มีมูลค่าสูง

2.5 ผู้ประกอบธุรกิจควรมีการจัดเก็บบันทึกหลักฐานการตั้งค่า กําหนดสิทธิ การเข้า wallet (access log) และการดําเนินงาน (activity log / audit log) เพื่อการสอบทานในอนาคต เป็นระยะเวลาอย่างน้อย 2 ปี โดยอย่างน้อยควรมีข้อมูลบัญชีผู้ใช้งาน วันเวลาเข้าใช้งาน เหตุการณ์ เป็นต้น

**หมวดที่ 3 :** **การบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อระบบการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัล (wallet management) และการบริหารจัดการกุญแจ (key management) (incident management)**

| |

| --- |

| **วัตถุประสงค์** เพื่อให้เหตุการณ์และจุดอ่อนที่เกี่ยวข้องกับความมั่นคงปลอดภัยของระบบการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัล (wallet management) และการบริหารจัดการกุญแจ (key management) ได้รับการดําเนินการอย่างถูกต้อง และมีประสิทธิภาพในช่วงระยะเวลาที่เหมาะสม |

**ข้อกําหนดในประกาศ ที่ สธ.** **44/2565**

| |

| --- |

| “ข้อ 7 ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลต้องจัดให้มีการบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัลตามหลักเกณฑ์ดังต่อไปนี้(1) กําหนดขั้นตอนและกระบวนการในการบริหารจัดการเหตุการณ์(2) กําหนดผู้มีหน้าที่รับผิดชอบในการบริหารจัดการเหตุการณ์(3) ทดสอบขั้นตอนและกระบวนการในการบริหารจัดการเหตุการณ์ตาม (1) อย่างน้อยปีละ 1 ครั้ง(4) พิจารณาทบทวนขั้นตอนและกระบวนการในการบริหารจัดการเหตุการณ์หลังจากที่ได้มีการทดสอบตาม (3) แล้วอย่างน้อยปีละ 1 ครั้ง(5) จัดให้มีการประเมินผลการทดสอบตาม (3) และประเมินผลการพิจารณาทบทวนตาม (4) โดยต้องรายงานผลต่อคณะกรรมการของผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลอย่างน้อยปีละ 1 ครั้ง ทั้งนี้ การดําเนินการดังกล่าวต้องกระทําโดยบุคคลที่เป็นอิสระจากผู้มีหน้าที่รับผิดชอบในการบริหารจัดการเหตุการณ์ตาม (2)(6) รายงานเหตุการณ์ที่อาจส่งผลกระทบต่อระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัลต่อผู้มีหน้าที่รับผิดชอบในการบริหารจัดการเหตุการณ์ตาม (2) และสํานักงาน ก.ล.ต. โดยไม่ชักช้า(7) ในกรณีที่มีเหตุการณ์ที่ส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัล ซึ่งกระทบต่อทรัพย์สินของลูกค้าอย่างมีนัยสําคัญ ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลต้องดําเนินการดังนี้(ก) จัดให้มีผู้เชี่ยวชาญภายนอกที่มีความเป็นอิสระ มีความชํานาญตามมาตรฐานสากล เป็นที่ยอมรับและน่าเชื่อถือ และได้รับการรับรองหรือได้รับประกาศนียบัตร (accreditations or certifications) ที่เป็นที่ยอมรับในอุตสาหกรรม ทําหน้าที่ตรวจสอบความมั่นคงปลอดภัยของระบบและพิสูจน์พยานหลักฐานทางดิจิทัล (digital forensic investigation) โดยไม่ชักช้า(ข) จัดส่งรายงานที่จัดทําโดยผู้เชี่ยวชาญตาม (ก) ต่อสํานักงาน ก.ล.ต.ตามหลักเกณฑ์ดังนี้1. รายงานการตรวจสอบขั้นต้น (interim forensic investigation report) ภายใน 30 วันนับแต่วันที่ลงนามในสัญญาจ้างผู้เชี่ยวชาญภายนอก2. รายงานการตรวจสอบฉบับสมบูรณ์ (final forensic investigation report) ภายใน 90 วันนับแต่วันที่ลงนามในสัญญาจ้างผู้เชี่ยวชาญภายนอกในกรณีที่มีเหตุอันสมควรทําให้ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลไม่สามารถจัดส่งรายงานดังกล่าวภายในระยะเวลาที่กําหนดตามวรรคหนึ่ง (ข) ให้ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลยื่นขอขยายระยะเวลาการจัดส่งรายงาน พร้อมทั้งเหตุผลและเอกสารหลักฐานต่อสํานักงาน ก.ล.ต. ก่อนครบกําหนดระยะดังกล่าว(8) จัดทําแผนการดําเนินการแก้ไขปัญหาที่พบตาม (7) และมาตรการในการป้องกันไม่ให้เกิดปัญหาดังกล่าวซ้ํา รวมทั้งระยะเวลาในการดําเนินการตามแผนดังกล่าว โดยจัดส่งต่อสํานักงาน ก.ล.ต. ภายใน 10 วันนับแต่วันที่ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลได้รับรายงานจากผู้เชี่ยวชาญตาม (7) วรรคหนึ่ง (ข) 2.ให้ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลดําเนินการตามแผนดังกล่าว และจัดส่งรายงานความคืบหน้าในการดําเนินการต่อสํานักงาน ก.ล.ต. ทุกวันศุกร์จนกว่าผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลจะดําเนินการตามแผนแล้วเสร็จในกรณีที่มีเหตุอันสมควรทําให้ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลไม่สามารถจัดส่งแผนการดําเนินการตามวรรคหนึ่งหรือรายงานความคืบหน้าตามวรรคสองภายในระยะเวลาที่กําหนดให้ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลยื่นขอขยายระยะเวลาการจัดส่งแผนหรือรายงาน พร้อมทั้งเหตุผลและเอกสารหลักฐานต่อสํานักงาน ก.ล.ต. ก่อนครบกําหนดระยะเวลาดังกล่าว(9) จัดเก็บเอกสารหลักฐานที่เกี่ยวข้องกับการดําเนินการในการบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัลเป็นระยะเวลาไม่น้อยกว่า 2 ปีนับแต่วันที่จัดทําเอกสารนั้น โดยต้องจัดเก็บไว้ในลักษณะที่พร้อมให้สํานักงาน ก.ล.ต. สามารถเรียกดูและตรวจสอบได้โดยไม่ชักช้าการแจ้ง การส่งแผนการดําเนินการ รายงาน เอกสารหลักฐาน หรือคําขอใด ๆ ต่อสํานักงาน ก.ล.ต. ตามวรรคหนึ่ง ให้เป็นไปตามแบบและวิธีการที่จัดไว้บนเว็บไซต์ของสํานักงาน ก.ล.ต.” |

**แนวปฏิบัติ**

1. เพื่อให้มีการดําเนินการเป็นไปตามที่ข้อกําหนด 7(1) และ (2) ผู้ประกอบธุรกิจควรกําหนดขั้นตอน

และกระบวนการขั้นต่ําดังต่อไปนี้

1.1 กําหนดแผนรองรับในกรณีที่เกิดเหตุการณ์อย่างเป็นลายลักษณ์อักษร โดยอย่างน้อยต้องครอบคลุมกรณี (1) cyber attack (2) กุญแจหลักไม่สามารถใช้งานได้ และ (3) การทุจริต

โดยบุคคลในองค์กร

1.2 ประเมินเหตุการณ์หรือจุดอ่อนของระบบการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัล (wallet management) และการบริหารจัดการกุญแจ (key management) และพิจารณาว่าควรจัดเป็นเหตุการณ์และมีระดับความรุนแรงที่อาจส่งผลกระทบต่อระบบการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัล (wallet management) และการบริหารจัดการกุญแจ (key management)

1.3 จัดให้มีบุคคลหรือหน่วยงานเพื่อทําหน้าที่รับแจ้งเหตุการณ์ (point of contact) และรายงานเหตุการณ์ต่อคณะผู้บริหารหรือผู้เกี่ยวข้องให้ทราบและดําเนินการต่อไป (escalation)

1.4 ดําเนินการเพื่อตอบสนองต่อเหตุการณ์ที่เกิดขึ้นอย่างมีประสิทธิภาพ เพื่อทําให้เหตุการณ์คลี่คลายหรือกลับสู่ภาวะปกติอย่างรวดเร็ว โดยควรจัดให้มีทีมผู้เชี่ยวชาญ (incident response team) เพื่อตอบสนองต่อเหตุการณ์ที่เกิดขึ้นอย่างมีประสิทธิภาพ

1.5 รวบรวมและจัดเก็บหลักฐานโดยไม่ชักช้า เมื่อเกิดเหตุการณ์ที่ส่งผลกระทบต่อระบบการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัล (wallet management) และการบริหารจัดการกุญแจ (key management) ที่มีความสําคัญอย่างมีนัยสําคัญ เช่น ก่อให้เกิดความเสียหายกับข้อมูลหรือทรัพย์สินของลูกค้า โดยคํานึงถึงประเด็นสําคัญต่าง ๆ เช่น มีกระบวนการการจัดเก็บอย่างมั่นคงปลอดภัย การกําหนดหน้าที่ความรับผิดชอบของผู้ที่เกี่ยวข้อง การคัดเลือกบุคคลที่มีความรู้ความสามารถหรือมีประสบการณ์ด้านการรวบรวมและจัดเก็บหลักฐาน เพื่อวิเคราะห์ตรวจสอบและจัดทําเอกสารสรุปนําเสนอต่อบุคคลที่มีหน้าที่รับผิดชอบ เป็นต้น ทั้งนี้ การรวบรวม จัดเก็บ และนําเสนอหลักฐานควรสอดคล้องกับหลักเกณฑ์ของกฎหมายที่ใช้บังคับ

1.6 บันทึกและจัดเก็บหลักฐานการบริหารจัดการตามความจําเป็นและความเหมาะสม

1.7 ตรวจหา ติดตาม วิเคราะห์ และรายงานเหตุการณ์ ทั้งนี้ ให้รวมถึงการวิเคราะห์ภายหลังเหตุการณ์ยุติแล้ว เพื่อระบุถึงสาเหตุของเหตุการณ์และเพื่อใช้ประโยชน์จากผลการวิเคราะห์

ในการเตรียมความพร้อมรองรับเหตุการณ์ที่อาจเกิดขึ้นได้อีกในอนาคต รวมทั้งรายงาน

ความคืบหน้าให้สํานักงาน ก.ล.ต. ทราบทุกวันถัดไป

1.8 มีหนังสือรายงานสํานักงาน ก.ล.ต. ถึงสถานการณ์และผลการบริหารจัดการทราบภายใน 2 วันนับแต่วันที่เหตุการณ์ยุติแล้ว

2. เจ้าหน้าที่ปฏิบัติงานที่พบเหตุการณ์ที่ส่งกระทบต่อระบบการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัล (wallet management) และการบริหารจัดการกุญแจ (key management) ควรต้องรายงาน

ให้ผู้มีหน้าที่รับผิดชอบในการบริหารจัดการเหตุการณ์ที่กําหนดไว้ตามข้อกําหนด 7(2) เพื่อที่จะรายงานให้สํานักงาน ก.ล.ต. ทราบโดยไม่ชักช้าเมื่อเกิดเหตุการณ์ดังกล่าว ทั้งนี้ ผู้มีหน้าที่รับผิดชอบในการบริหารจัดการเหตุการณ์ดังกล่าวควรดําเนินการตามหลักเกณฑ์ดังต่อไปนี้

2.1 จัดทําแบบฟอร์มที่เป็นมาตรฐานเพื่อรองรับการรายงานสถานการณ์ และสร้างความเข้าใจให้กับ

ผู้รายงานเกี่ยวกับการดําเนินการต่าง ๆ ที่จําเป็นกรณีที่เกิดเหตุการณ์ ทั้งนี้ เนื้อหาขั้นต่ํา

ควรประกอบด้วย วันเวลา เหตุการณ์ ผลกระทบที่คาดว่าจะเกิดขึ้น การดําเนินการแก้ไข

ผลการแก้ไข ระยะเวลาในการแก้ไข สาเหตุที่เกิดปัญหา และแนวทางการป้องกันในอนาคต

2.2 รายงานคณะผู้บริหารขององค์กรเมื่อทราบเหตุการณ์ที่อาจส่งผลกระทบต่อระบบการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัล (wallet management) และการบริหารจัดการกุญแจ

(key management) เช่น พบช่องโหว่ในการควบคุมความมั่นคงปลอดภัย (ineffective security control) เกิดเหตุการณ์ที่อาจส่งผลกระทบต่อการรักษาความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) ข้อผิดพลาดจากการปฏิบัติงาน (human errors) การบุกรุกด้านกายภาพ (breaches of physical security arrangements) การปฏิบัติงานที่ไม่เป็นไปตามนโยบาย การทํางานผิดพลาดของโปรแกรมและอุปกรณ์คอมพิวเตอร์ (malfunctions of software or hardware) และการเข้าถึงโดยไม่ได้รับอนุญาต (access violations)

2.3 รายงานสํานักงาน ก.ล.ต. เมื่อมีเหตุการณ์ที่ส่งผลกระทบต่อระบบการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัล (wallet management) และการบริหารจัดการกุญแจ (key management)

ที่มีความสําคัญ

2.4 แจ้งบุคคลที่เกี่ยวข้อง เช่น ลูกค้า รับทราบโดยไม่ชักช้า ในกรณีที่เหตุการณ์ส่งผลกระทบ

ต่อบุคคลดังกล่าว

2.5 จัดให้มีการรายงานความคืบหน้าในการบริหารจัดการสถานการณ์และผลการบริหารจัดการ

เป็นระยะ และเมื่อเหตุการณ์ยุติแล้ว

3. ในการปฏิบัติให้เป็นไปตามข้อกําหนด 7(3) (4) และ (9) ผู้ประกอบธุรกิจควรดําเนินการดังต่อไปนี้

3.1 จัดให้มีการจําลองสถานการณ์เสี่ยง (risk scenario) เพื่อทดสอบการเตรียมความพร้อมรับมือ

ต่อเหตุการณ์ที่ส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัล (wallet management) และการบริหารจัดการกุญแจ (key management) โดย risk scenario ดังกล่าวควรมีลักษณะดังต่อไปนี้

(1) เป็นสถานการณ์ที่สอดคล้องกับลักษณะ ขอบเขต และความซับซ้อนในการประกอบธุรกิจ

ของผู้ประกอบธุรกิจ

(2) เป็นสถานการณ์ที่เมื่อเกิดขึ้นแล้ว จะส่งผลกระทบต่อระบบการบริหารจัดการกระเป๋า

สินทรัพย์ดิจิทัล (wallet management) และการบริหารจัดการกุญแจ (key

management) อย่างมีนัยสําคัญ

(3) เป็นสถานการณ์ที่สามารถวัดผลได้ และนําผลที่ได้ไปใช้ในการทบทวนขั้นตอนและ

กระบวนการในการบริหารจัดการเหตุการณ์ เพื่อให้เกิดความมั่นคงปลอดภัยของระบบ

การบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัล (wallet management) และการบริหารจัดการ

กุญแจ (key management)

(4) เป็นสถานการณ์ที่มีความสมเหตุสมผล สามารถปฏิบัติได้จริงโดยไม่ขัดแย้งกัน

(5) เป็นสถานการณ์ที่มีความเป็นไปได้ และสอดคล้องกับสถานการณ์จริงในปัจจุบัน

3.2 จัดเก็บเอกสารที่เกี่ยวข้องกับการทดสอบให้ครบถ้วนและเป็นปัจจุบันดังนี้

(1) สถานการณ์เสี่ยง (risk scenario) ที่ใช้ในการทดสอบ

(2) สรุปผลการทดสอบ ผลการประเมิน และผลการทบทวนแผนรองรับในกรณีที่เกิดเหตุการณ์

4. ในการปฏิบัติให้เป็นไปตามข้อกําหนด 7(6) ผู้ประกอบธุรกิจควรดําเนินการรายงานสํานักงาน ก.ล.ต.

เมื่อมีเหตุการณ์ที่ส่งผลกระทบต่อระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัล โดยควรรายงาน

ดังนี้

4.1 หากทราบเหตุการณ์ดังกล่าวในเวลาราชการ

(1) รายงานโดยไม่ชักช้าภายในวันที่ทราบเหตุการณ์นั้น แต่ไม่เกิน 18.00 น. เว้นแต่เป็น

เหตุที่กระทบต่อทรัพย์สินของลูกค้า ให้รายงานภายใน 1 ชั่วโมงนับแต่ผู้จัดการหรือบุคคล

ที่ได้รับมอบหมายให้มีอํานาจทั้งหมดหรือบางส่วนในการจัดการทราบถึงเหตุการณ์ดังกล่าว

แต่ไม่เกิน 18.00 น. โดยมีเนื้อหาครอบคลุมถึงวันเวลา เหตุการณ์ และผลกระทบที่คาดว่า

จะเกิดขึ้น ทั้งนี้ อาจแจ้งโดยวาจาหรือผ่านระบบรับส่งข้อความผ่านทางอิเล็กทรอนิกส์

(electronic messaging) ตามความเหมาะสม

(2) รายงานความคืบหน้าเป็นลายลักษณ์อักษรอย่างน้อยทุกวัน ภายในเวลา 16.00 น.

ตั้งแต่วันถัดไปหลังทราบเหตุการณ์ หรือตามที่สํานักงาน ก.ล.ต. ร้องขอ จนกว่าระบบ

ที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัลจะกลับสู่การให้บริการได้อย่างเป็นปกติ

โดยมีเนื้อหาครอบคลุมถึงวันเวลา เหตุการณ์ ผลกระทบที่เกิดขึ้น การดําเนินการแก้ไขปัญหา

และความคืบหน้าในการแก้ไขปัญหา ทั้งนี้ ให้รายงานผ่านช่องทางอิเล็กทรอนิกส์

ที่สํานักงาน ก.ล.ต. กําหนด

(3) รายงานเมื่อเหตุการณ์ยุติหรือแก้ไขปัญหาแล้วเสร็จ เป็นลายลักษณ์อักษร โดยมีเนื้อหา

ครอบคลุมถึงวันเวลา เหตุการณ์ ผลกระทบที่เกิดขึ้น การดําเนินการแก้ไขปัญหา

ผลการแก้ไขปัญหา ระยะเวลาในการแก้ไข สาเหตุที่เกิดปัญหา และแนวทางป้องกัน

ในอนาคต

4.2 หากทราบเหตุการณ์ดังกล่าวนอกเวลาราชการ

(1) รายงานโดยไม่ชักช้าเมื่อทราบเหตุการณ์นั้น โดยมีเนื้อหาครอบคลุมถึงวันเวลา เหตุการณ์

และผลกระทบที่คาดว่าจะเกิดขึ้น โดยอาจแจ้งโดยวาจาหรือผ่านระบบรับส่งข้อความ

ผ่านทางอิเล็กทรอนิกส์ (electronic messaging) ตามความเหมาะสม

(2) รายงานความคืบหน้าเป็นลายลักษณ์อักษรอย่างน้อยทุกวัน ภายในเวลา 16.00 น.

ตั้งแต่วันถัดไปหลังทราบเหตุการณ์หรือตามที่สํานักงาน ก.ล.ต. ร้องขอ จนกว่าระบบ

ที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัลจะกลับสู่การให้บริการได้อย่างเป็นปกติ

โดยมีเนื้อหาครอบคลุมถึงวันเวลา เหตุการณ์ ผลกระทบที่เกิดขึ้น การดําเนินการแก้ไขปัญหา

และความคืบหน้าในการแก้ไขปัญหา ทั้งนี้ ให้รายงานผ่านช่องทางอิเล็กทรอนิกส์ที่สํานักงาน

ก.ล.ต. กําหนด

(3) รายงานเมื่อเหตุการณ์ยุติหรือแก้ไขปัญหาแล้วเสร็จ เป็นลายลักษณ์อักษร โดยมีเนื้อหา

ครอบคลุมถึงวันเวลา เหตุการณ์ ผลกระทบที่เกิดขึ้น การดําเนินการแก้ไขปัญหา

ผลการแก้ไขปัญหา ระยะเวลาในการแก้ไข สาเหตุที่เกิดปัญหา และแนวทางป้องกัน

ในอนาคต

5. ในการปฏิบัติให้เป็นไปตามข้อกําหนด 7(7) ผู้ประกอบธุรกิจควรดําเนินการดังนี้

5.1 กําหนดลักษณะเหตุการณ์ที่กระทบต่อทรัพย์สินของลูกค้าอย่างมีนัยสําคัญ โดยอาจพิจารณาจาก

มูลค่าสินทรัพย์ดิจิทัลที่สูญหายเกินกว่า 100 ล้านบาท หรือจํานวนผู้ใช้บริการที่ได้รับผลกระทบจากการสูญหายของสินทรัพย์ดิจิทัลเกินกว่า 1 พันคน

5.2 จัดจ้างผู้เชี่ยวชาญภายนอกเพื่อดําเนินการตรวจสอบ digital forensic investigation ภายใน

30 วันนับแต่วันที่พบเหตุการณ์ เว้นแต่เป็นเหตุสุดวิสัย ให้แจ้งให้สํานักงาน ก.ล.ต. ทราบ

เป็นลายลักษณ์อักษร พร้อมแผนดําเนินการดังกล่าว

2 มาตรา

อ้างอิงกฎหมายนี้

ประกาศสำนักงานคณะกรรมการ ก.ล.ต. ที่ นป. 8/2565 เรื่อง แนวปฏิบัติในการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัล (wallet management) และการบริหารจัดการกุญแจ (key management) (Office of the Council of State). Retrieved via LawPlayer, https://lawplayer.com/th/act/pythainlp_3fa910708be02b60

ที่มา: ระบบกลางกฎหมาย law.go.th (สำนักงานคณะกรรมการกฤษฎีกา).

Thai official texts excluded from copyright (Copyright Act B.E. 2537 s.7);開放資料層 CC BY 署名

本頁資料來源:สำนักงานคณะกรรมการกฤษฎีกา (OCS)·整理提供:法律人 LawPlayer· lawplayer.com