ข้อ ๒ เพื่อประโยชน์ในการประมวลผลข้อมูลเพื่อการจัดทำคะแนนเครดิตหรือรายงานเชิงสถิติ บริษัทข้อมูลเครดิตอาจประมวลผลข้อมูลของลูกค้าของสมาชิกในระบบฐานข้อมูล เพื่อการดำเนินการตามวัตถุประสงค์ดังกล่าวได้เกินกว่าสามปีนับแต่วันที่บริษัทข้อมูลเครดิตได้รับข้อมูลจากสมาชิกหรือจากแหล่งข้อมูลที่เชื่อถือได้ โดยบริษัทข้อมูลเครดิตต้องดำเนินการตามหลักเกณฑ์และเงื่อนไขดังต่อไปนี้
(๑) ให้บริษัทข้อมูลเครดิตนำข้อมูลของลูกค้าของสมาชิกทุกรายในระบบประมวลผลของบริษัท ซึ่งเป็นข้อมูลที่สามารถระบุตัวตนของลูกค้าของสมาชิกผู้เป็นเจ้าของข้อมูลได้มาแปลงให้อยู่ในรูปของรหัสที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลและไม่สามารถทำการสุ่มหาหรือคาดเดาเจ้าของข้อมูลได้ ทั้งนี้ การแปลงให้อยู่ในรูปของรหัสดังกล่าวต้องกระทำด้วยวิธีการเข้ารหัสตามมาตรฐานสากลและมีความมั่นคงปลอดภัยในระดับสูง
(๒) ให้บริษัทข้อมูลเครดิตนำข้อมูลของลูกค้าของสมาชิกที่ได้มีการแปลงข้อมูลให้อยู่ในรูปของรหัสตาม (๑) แทนที่ข้อมูลที่ระบุตัวตนของลูกค้า อันได้แก่ ชื่อ นามสกุล หมายเลขประจำตัวประชาชนหนังสือเดินทาง หรือเลขทะเบียนนิติบุคคล บ้านเลขที่ของลูกค้านั้น แล้วนำมาจัดเก็บไว้ในระบบฐานข้อมูลสถิติโดยให้ดำเนินการเป็นรายเดือน
(๓) บริษัทข้อมูลเครดิตต้องจัดเก็บเทปบันทึกข้อมูลชุดสำรองของระบบฐานข้อมูลสถิติเพื่อรองรับกรณีเกิดความเสียหายที่อาจเกิดขึ้นกับระบบฐานข้อมูลสถิติ โดยให้จัดเก็บตามรอบระยะเวลาของการเปลี่ยนแปลงแก้ไขข้อมูล
(๔) บริษัทข้อมูลเครดิตต้องจัดให้มีระบบรักษาความปลอดภัยและระบบควบคุมการใช้งานสูตรตัวแปร และคำสั่งโปรแกรม (Source Code) ที่ใช้ในการสร้างรหัสตาม (๑) และข้อมูลที่จัดเก็บไว้ในระบบฐานข้อมูลสถิติ โดยอย่างน้อยต้องประกอบด้วย
(ก) ระบบและมาตรการควบคุมทั้งในด้านกายภาพ (Physical Control) และด้านตรรกภาพ (Logical Control) ซึ่งอย่างน้อยต้องจัดให้มี
๑) การพิสูจน์ตัวตนของผู้ที่มีสิทธิเข้าถึงข้อมูล การกำหนดสิทธิการเข้าถึงข้อมูลอย่างเหมาะสม และการควบคุมสิทธิในการเข้าถึงข้อมูล โดยมีการทบทวนและการปรับปรุงสิทธิเป็นประจำ และ
๒) การควบคุมการบริหารจัดการ เพื่อควบคุมการประมวลผลและการใช้งานโดยการให้ใช้สิทธิต้องได้รับอนุมัติจากผู้มีอำนาจอนุมัติ ตลอดจนรองรับกรณีเมื่อมีความจำเป็นใช้งานตามวัตถุประสงค์ที่คณะกรรมการคุ้มครองข้อมูลเครดิตประกาศกำหนด
(ข) ระบบบันทึกเหตุการณ์เพื่อการตรวจสอบ ที่ครอบคลุมทั้งร่องรอยการตรวจสอบและร่องรอยกิจกรรมการทำธุรกรรม ซึ่งอย่างน้อยต้องมี
๑) การจัดเก็บบันทึกเหตุการณ์ที่มีข้อมูลเพียงพอที่จะใช้ในการระบุผู้รับผิดชอบตัวตนผู้เข้าถึงข้อมูล วันและเวลาที่เข้าถึง กิจกรรมที่ดำเนินการ และข้อเท็จจริงอื่น ๆ ที่เกิดขึ้นหรือเกี่ยวข้องตามที่เห็นสมควร
๒) การจัดเก็บและสอบทานบันทึกเหตุการณ์ความพยายามเข้าถึงระบบโดยผู้ไม่มีสิทธิ (Unauthorized
Access Attempts) และการล่วงละเมิดด้านความปลอดภัย (Security Violation)
๓) มาตรการจัดการแก้ไขหากเกิดเหตุการณ์ความพยายามเข้าถึงระบบโดยผู้ไม่มีสิทธิหรือการล่วงละเมิดด้านความปลอดภัย และ
๔) ระบบควบคุมการเข้าถึงการบันทึกเหตุการณ์ เพื่อป้องกันการเปลี่ยนแปลง แก้ไข ลบ หรือทำลายร่องรอยเพื่อการตรวจสอบและร่องรอยกิจกรรมการทำธุรกรรม