ประกาศธนาคารแห่งประเทศไทย
ที่ สนส. 26/2551
เรื่อง การอนุญาตให้ธนาคารพาณิชย์ให้บริการการเงินทางอิเล็กทรอนิกส์
อื่นๆ - 1. เหตุผลในการออกประกาศ
ปัจจุบันธนาคารพาณิชย์ผู้ให้บริการทางการเงินมีการนําเทคโนโลยีสารสนเทศเข้ามาใช้ในการดําเนินงานอย่างต่อเนื่อง เพื่อพัฒนาศักยภาพของธนาคารพาณิชย์ให้มีประสิทธิภาพและรวดเร็วในการตอบสนองความต้องการของผู้ใช้บริการที่เปลี่ยนแปลงไป ดังนั้นธนาคารแห่งประเทศไทยมีนโยบายที่จะสนับสนุนการให้บริการของธนาคารพาณิชย์โดยใช้เทคโนโลยีใหม่ ๆ ภายในขอบเขตอันสมควรตามความเหมาะสมกับฐานะและสภาวะเศรษฐกิจของประเทศ รวมถึงการใช้เทคโนโลยีอย่างคุ้มค่า ซึ่งการเลือกใช้เทคโนโลยีที่เหมาะสมจะทําให้ธนาคารพาณิชย์สามารถลดต้นทุนและเพิ่มประสิทธิภาพการทํางานได้จริง เป็นที่น่าเชื่อถือ และเป็นการพิทักษ์รักษาประโยชน์ของประชาชนผู้ใช้บริการ
ธนาคารพาณิชย์ที่ต้องการใช้ระบบหรืออุปกรณ์ที่เกี่ยวกับเทคโนโลยีใหม่ ๆ เพื่อใช้ในการให้บริการ ธนาคารพาณิชย์ต้องได้รับความเห็นชอบในหลักการจากธนาคารแห่งประเทศไทยก่อน มิฉะนั้น ธนาคารแห่งประเทศไทยะไม่พิจารณาคําขออนุญาตให้บริการด้วยระบบหรืออุปกรณ์ดังกล่าวของธนาคารพาณิชย์ ส่วนการให้บริการของธนาคารพาณิชย์โดยใช้เทคโนโลยีใหม่ ๆ และเป็นการให้บริการนอกสํานักงานและหรือนอกเวลาทําการของธนาคารพาณิชย์นั้น ให้ปฏิบัติตามหลักเกณฑ์และขอบเขตการประกอบการนอกสถานที่ของธนาคารพาณิชย์
การใช้เทคโนโลยีสารสนเทศ แม้จะช่วยให้ธนาคารพาณิชย์ลดต้นทุนการให้บริการเพิ่มประสิทธิภาพ เกิดความรวดเร็วและสร้างความสะดวกสบายให้กับผู้ใช้บริการก็จริง แต่การใช้เทคโนโลยีดังกล่าวก็ก่อให้เกิดความเสี่ยงเช่นกัน ดังนั้น การควบคุมดูแลรักษาความปลอดภัยจึงเป็นสิ่งสําคัญ เนื่องจากเมื่อเกิดความเสียหายจากระบบเทคโนโลยีดังกล่าว อาจก่อให้เกิดความเสียหายแก่ธนาคารพาณิชย์เองทั้งในด้านจํานวนเงินและชื่อเสียงที่ไม่สามารถประเมินค่าได้ รวมถึงการฉ้อโกงรูปแบบใหม่ ๆ ที่เมื่อเกิดขึ้นแล้วจะเป็นไปอย่างรวดเร็วและเกิดความเสียหายอย่างมากและมีผลกระทบในวงกว้างต่อระบบการเงินของประเทศได้
ธนาคารแห่งประเทศไทยตระหนักถึงความสําคัญดังกล่าว จึงออกหลักเกณฑ์ให้ธนาคารพาณิชย์ผู้ใช้เทคโนโลยีสารสนเทศในการให้บริการการเงิน ถือปฏิบัติตามหลักเกณฑ์และแนวปฏิบัติต่าง ๆ ที่เหมาะสมกับการให้บริการการเงินทางอิเล็กทรอนิกส์
ในการออกประกาศฉบับนี้เพื่ออ้างอิงตามกฎหมายให้สอดคล้องกับพระราชบัญญัติธุรกิจสถาบันการเงิน พ.ศ. 2551 และเป็นการรวบรวมประกาศธนาคารแห่งประเทศไทยซึ่งเกี่ยวข้องกับการให้บริการการเงินทางอิเล็กทรอนิกส์ มาไว้ในฉบับเดียวกัน โดยสาระสําคัญของหลักเกณฑ์ไม่มีการเปลี่ยนแปลงจากหลักเกณฑ์เดิม
อื่นๆ - 2. อํานาจตามกฎหมาย
อาศัยอํานาจตามความในมาตรา 36 แห่งพระราชบัญญัติธุรกิจสถาบันการเงิน พ.ศ. 2551 ธนาคารแห่งประเทศไทยออกหลักเกณฑ์เกี่ยวกับการให้บริการการเงินทางอิเล็กทรอนิกส์ตามที่กําหนดในประกาศนี้
อื่นๆ - 3. ขอบเขตการบังคับใช้
ประกาศฉบับนี้ให้ใช้บังคับกับธนาคารพาณิชย์ตามกฎหมายว่าด้วยธุรกิจสถาบันการเงินทุกแห่ง
อื่นๆ - 4. ประกาศและหนังสือเวียนที่ยกเลิก ตามเอกสารแนบ 1
อื่นๆ - 5. เนื้อหา
5.1 รูปแบบธุรกรรมการให้บริการทางการเงิน
การนําเทคโนโลยีใหม่ ๆ มาใช้เพื่อช่วยในการให้บริการการเงินนั้น ธนาคารพาณิชย์จะต้องได้รับความเห็นชอบในหลักการจากธนาคารแห่งประเทศไทยก่อนการให้บริการ ทั้งในส่วนของเทคโนโลยีใหม่ที่ยังไม่เคยนํามาใช้ และการพัฒนาเทคโนโลยีเดิมเพื่อเพิ่มขีดความสามารถในการให้บริการทางการเงิน ซึ่งปัจจุบันรูปแบบการให้บริการทางการเงินที่ ธนาคารแห่งประเทศไทยอนุญาตให้ธนาคารพาณิชย์ดําเนินการได้ตามหลักเกณฑ์ที่ธนาคารแห่งประเทศไทยกําหนด มีดังนี้
5.1.1 การให้บริการในรูปของสาขาอิเล็กทรอนิกส์ ในส่วนของรูปแบบการจัดตั้งและหลักเกณฑ์การให้บริการ ให้เป็นไปตามประกาศธนาคารแห่งประเทศไทยว่าด้วยหลักเกณฑ์การประกอบกิจการสาขาธนาคารพาณิชย์
5.1.2 การใช้บริการเครือข่ายอินเทอร์เน็ต (Internet) ในการประกอบธุรกิจของธนาคารพาณิชย์ เพื่อให้รองรับการให้บริการธุรกรรมผ่านเครือข่ายดังกล่าว ธนาคารแห่งประเทศไทยได้กําหนดหลักเกณฑ์การให้บริการดังกล่าวตามเอกสารแนบ 2 โดยธนาคารพาณิชย์ต้องได้รับอนุญาตจากธนาคารแห่งประเทศไทยก่อนการดําเนินการ สําหรับธนาคารพาณิชย์ที่ได้รับอนุญาตจากธนาคารแห่งประเทศไทยอยู่เดิมแล้ว ให้ทําได้ต่อไปตามที่ได้รับอนุญาต
5.1.3 การให้บริการเงินอิเล็กทรอนิกส์ (Electronic Money) ปัจจุบันได้มีการริเริ่มการให้บริการเงินอิเล็กทรอนิกส์ เพื่อให้ผู้ใช้บริการสามารถนําเงินอิเล็กทรอนิกส์ดังกล่าวไปใช้ซื้อสินค้าหรือบริการต่างๆได้ ธนาคารแห่งประเทศไทยได้เล็งเห็นประโยชน์ของธุรกิจเงินอิเล็กทรอนิกส์ดังกล่าว เช่น ประโยชน์ต่อการพัฒนาเทคโนโลยี การเพิ่มประสิทธิภาพและความสะดวกในการให้บริการทางการเงินแก่ประชาชน เป็นต้น จึงได้กําหนดหลักเกณฑ์การกํากับดูแลการให้บริการเงินอิเล็กทรอนิกส์ (Electronic Money) เพื่อให้ธนาคารพาณิชย์ใช้เป็นแนวทางในการพัฒนาการให้บริการเงินอิเล็กทรอนิกส์ที่สอดคล้องกับการพัฒนาอย่างมีเสถียรภาพของระบบการเงิน ระบบสถาบันการเงิน และระบบการชําระเงิน ตามเอกสารแนบ 3 โดยธนาคารพาณิชย์ต้องได้รับอนุญาตจากธนาคารแห่งประเทศไทยก่อนการดําเนินการ สําหรับธนาคารพาณิชย์ที่ได้รับอนุญาตจากธนาคารแห่งประเทศไทยอยู่เดิมแล้วให้ทําได้ต่อไปตามที่ได้รับอนุญาต
5.2 การให้บริการโอนเงินทางอิเล็กทรอนิกส์
ธนาคารพาณิชย์ได้มีการให้บริการ โอนเงินทางอิเล็กทรอนิกส์แก่ลูกค้าประชาชนทั่วไปให้ได้รับความสะดวกรวดเร็วจนเป็นที่นิยมใช้กันอย่างแพร่หลายมากขึ้น โดยการนําเครื่องอิเล็กทรอนิกส์และเทคโนโลยีใหม่มาใช้ ทําให้เกิดความเสี่ยงในรูปแบบต่าง ๆ ที่อาจก่อให้เกิดความเสียหายได้ง่าย ซึ่งเป็นสาเหตุของปัญหาและข้อโต้แย้งที่เกิดขึ้นบ่อยครั้งระหว่างธนาคารพาณิชย์กับบุคคลอื่นที่เกี่ยวข้อง รวมทั้งลูกค้าผู้ใช้บริการทั่วไป โดยส่วนหนึ่งมักเกิดจากลูกค้าผู้ใช้บริการขาดเอกสารหลักฐานเพื่อยืนยันข้อเท็จจริง และไม่ทราบขั้นตอนการปฏิบัติที่ถูกต้องรวมทั้งข้อควรระมัดระวังในการใช้บริการ ประกอบกับปัจจุบันยังไม่มีข้อกําหนดวิธีการหรือกฎหมายใดที่ให้ความคุ้มครองและป้องกันความเสียหายที่อาจเกิดขึ้นจากธุรกรรมการโอนเงินทางอิเล็กทรอนิกส์ได้
ธนาคารแห่งประเทศไทย จึงเห็นสมควรกําหนดหลักเกณฑ์การให้บริการโอนเงินทางอิเล็กทรอนิกส์ สําหรับธนาคารพาณิชย์ได้ใช้เป็นแนวทางและวิธีปฏิบัติ เพื่อให้เกิดความเป็นธรรมกับทุกฝ่ายที่เกี่ยวข้อง และเพิ่มความเชื่อมั่นต่อสาธารณชนมากยิ่งขึ้น อันเป็นพื้นฐานและปัจจัยสําคัญของการพัฒนาระบบการชําระเงินให้มีประสิทธิภาพและทันสมัยก้าวหน้าต่อไปตามเอกสารแนบ 4
5.3 การรักษาความปลอดภัย
5.3.1 การให้บริการทางการเงินผ่านสื่ออิเล็กทรอนิกส์ มีความเสี่ยงที่สําคัญคือ ความเสี่ยงด้านความปลอดภัย (Security Risk) ของข้อมูล ระบบ และเครือข่ายที่ใช้ในการให้บริการธนาคารพาณิชย์จําเป็นต้องมีนโยบายและกระบวนการรักษาความปลอดภัยที่มีประสิทธิภาพ เพื่อให้สามารถป้องกันระบบการให้บริการจากภัยคุกคาม การลักลอบเข้าถึง และการโจรกรรมข้อมูลทั้งของธนาคารพาณิชย์และลูกค้า ซึ่งเป็นสาเหตุของความเสียหายทางการเงิน ความเสียหายต่อชื่อเสียงและสามารถนําไปสู่การขาดความเชื่อมั่นต่อระบบการให้บริการของธนาคารพาณิชย์โดยรวมได้
ธนาคารแห่งประเทศไทยจึงเห็นว่าธนาคารพาณิชย์ควรมีแนวทางในการกําหนดนโยบายและกระบวนการในการรักษาความปลอดภัยสําหรับการให้บริการการเงินทางอิเล็กทรอนิกส์ เพื่อให้บริการดังกล่าวมีความปลอดภัย เป็นที่น่าเชื่อถือ และเป็นการรักษาผลประโยชน์ของลูกค้าธนาคารพาณิชย์ ดังนั้น จึงได้ออกแนวปฏิบัติในการรักษาความปลอดภัยการให้บริการการเงินทางอิเล็กทรอนิกส์ เพื่อเป็นแนวทางสําหรับธนาคารพาณิชย์ ตามเอกสารแนบ 5
5.3.2 การจัดทําแผนฉุกเฉินด้านงานเทคโนโลยีสารสนเทศ เพื่อให้ธนาคารพาณิชย์ใช้เป็นแนวทางในการกําหนดนโยบายและกระบวนการจัดทําแผนฉุกเฉินด้านงานเทคโนโลยีสารสนเทศที่มีประสิทธิภาพ เพื่อเตรียมรองรับเหตุการณ์และลดผลกระทบต่าง ๆ ที่อาจเกิดขึ้นรวมทั้งฟื้นฟูระบบเทคโนโลยีสารสนเทศของธนาคารพาณิชย์ให้กลับคืนสู่สภาพปกติได้ภายในเวลาที่เหมาะสม ตามเอกสารแนบ ซึ่งทําให้ธนาคารพาณิชย์สามารถดําเนินธุรกิจได้อย่างต่อเนื่องหรือได้รับผลกระทบน้อยที่สุดหลังจากเกิดเหตุการณ์หยุดชะงัก อันเป็นการสร้างความเชื่อมั่นให้กับลูกค้าและผู้มีส่วนได้ส่วนเสียในการให้บริการของธนาคารพาณิชย์
อย่างไรก็ดี แผนฉุกเฉินฯ ดังกล่าวถือเป็นส่วนหนึ่งของแนวปฏิบัติในการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management : BCM) และการจัดทําแผนรองรับการดําเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Plan : BCP) ซึ่งเป็นแผนงานในการทําให้ธุรกิจดําเนินไปได้อย่างต่อเนื่องหรือทําให้ธุรกิจกลับคืนสู่สภาพที่สามารถดําเนินต่อไปได้ในกรณีที่เกิดเหตุการณ์ฉุกเฉิน
นอกจากนี้ ธนาคารพาณิชย์ต้องมีระบบคอมพิวเตอร์สํารองนอกอาคารที่ตั้งศูนย์คอมพิวเตอร์หลักของธนาคารพาณิชย์ที่มีระยะห่างไกลกันพอสมควร ทั้งนี้การหยุดให้บริการแก่ลูกค้าประชาชนผู้ฝากเงินและผู้ใช้บริการของธนาคารพาณิชย์อันมีสาเหตุจากระบบคอมพิวเตอร์ขัดข้องหรือเสียหาย จะหยุดเกิน 1 วันทําการไม่ได้
5.4 การควบคุมภายใน
เพื่อให้ธนาคารพาณิชย์ที่ใช้คอมพิวเตอร์ประมวลผลข้อมูลระบบต่าง ๆ ได้ตระหนักถึงความจําเป็นในการเก็บรักษาข้อมูลไว้ในสื่อบันทึกข้อมูลที่เปลี่ยนแปลงไป ธนาคารแห่งประเทศไทยจึงเห็นสมควรกําหนดมาตรฐานข้อมูลขั้นต่ําของระบบงานต่าง ๆ ตามเอกสารแนบ 7 เพื่อให้ธนาคารพาณิชย์ใช้เป็นแนวทางในการพิจารณาจัดเก็บข้อมูลซึ่งอยู่ในรูปแบบใดก็ได้ แต่ต้องมีข้อมูลตามมาตรฐานข้อมูลขั้นต่ําตามที่ธนาคารแห่งประเทศไทยกําหนด
5.5 การดําเนินการอื่น ๆ
การใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่น (IT Outsourcing) เนื่องด้วยธนาคารพาณิชย์ได้มีการใช้บริการดังกล่าวอย่างแพร่หลายมากขึ้น เพื่อลดต้นทุน เพิ่มขีดความสามารถในการดําเนินงานและพัฒนาศักยภาพการให้บริการให้ทันต่อพัฒนาการของเทคโนโลยีที่มีการเปลี่ยนแปลงอย่างรวดเร็ว ซึ่งธนาคารพาณิชย์ที่ใช้บริการดังกล่าวขอให้ปฏิบัติตามประกาศธนาคารแห่งประเทศไทยว่าด้วยการใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่น (IT Outsourcing) เพื่อให้ธนาคารพาณิชย์สามารถใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่นได้อย่างมีประสิทธิภาพ เป็นที่น่าเชื่อถือ และเป็นการพิทักษ์รักษาประโยชน์ของประชาชนผู้ใช้บริการ
5.6 รูปแบบการฉ้อโกงทางการเงินและแนวทางป้องกัน
เพื่อให้ลูกค้าผู้ใช้บริการมีความรู้เท่าทันต่อเหตุการณ์ มีความปลอดภัยเมื่อใช้บริการลดผลกระทบและความเสียหายต่อธุรกิจของธนาคารพาณิชย์ และเป็นการรักษาความเชื่อมั่นของลูกค้าในการใช้บริการการเงินทางอิเล็กทรอนิกส์ของธนาคารพาณิชย์ ซึ่งมีรูปแบบดังนี้
5.6.1 การใช้เครื่องบันทึกข้อมูลในแถบแม่เหล็ก (Skimmer) ดึงข้อมูลบัตรลูกค้าจากเครื่องอิเล็กทรอนิกส์ที่ใช้ในการฝากถอนเงินอัตโนมัติ (Automatic Teller Machine : ATM) เพื่อทําบัตรปลอม ธนาคารพาณิชย์ควรตระหนักถึงปัญหาการทุจริตที่เกิดขึ้น เพิ่มความระมัดระวังในการให้บริการ รวมทั้งจัดให้มีมาตรการป้องกันการทุจริตที่อาจเกิดขึ้น เพื่อให้การให้บริการผ่านเครื่องATM มีความปลอดภัยต่อลูกค้าผู้ใช้บริการ ตามเอกสารแนบ 8
5.6.2 การทุจริตผ่านเครือข่ายอินเทอร์เน็ตด้วยวิธี Phishing ธนาคารพาณิชย์ที่ให้บริการธนาคารผ่านเครือข่ายอินเทอร์เน็ต ควรเพิ่มความระมัดระวังในการให้บริการ รวมทั้งจัดให้มีมาตรการป้องกันและแจ้งเตือนลูกค้าเกี่ยวกับการทุจริตที่อาจเกิดขึ้น ตามเอกสารแนบ 9
5.7 กฎหมายที่เกี่ยวข้องกับการให้บริการการเงินทางอิเล็กทรอนิกส์
การบริหารความเสี่ยงทางด้านการให้บริการการเงินทางอิเล็กทรอนิกส์นั้น ยังมีกฎเกณฑ์ที่ธนาคารพาณิชย์จําเป็นต้องศึกษาเพิ่มเติมเพื่อใช้ในการบริหารความเสี่ยงและส่งเสริมให้การทําธุรกรรมด้านการธนาคารอิเล็กทรอนิกส์มีความปลอดภัยและเป็นมาตรฐานสากล เช่น พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 (ตามเอกสารแนบ 10) และBank for International Settlements (BIS) โดย Basel Committee on Banking Supervision ได้ดําเนินการจัดทําและเผยแพร่ Risk Management Principles for Electronic Banking (ตามเอกสารแนบ 11)
อื่นๆ - 6. วันเริ่มต้นบังคับใช้
ประกาศนี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป
ผู้มีอํานาจลงนาม - ประกาศ ณ วันที่ 3 สิงหาคม 2551
(นางธาริษา วัฒนเกส)
ผู้ว่าการ
ธนาคารแห่งประเทศไทย