法律人 LawPlayer logo

資料由法律人 LawPlayer整理提供·กฎหมายไทย / LawPlayer จากสำนักงานคณะกรรมการกฤษฎีกา

adminRule

ประกาศสำนักงานคณะกรรมการ ก.ล.ต. ที่ สธ. 44/2565 เรื่อง ข้อกำหนดในรายละเอียดเกี่ยวกับระบบการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัลและกุญแจ

เลขที่
วันที่ประกาศ
จำนวนมาตรา
7
มาตรา อารัมภบท

ประกาศสํานักงานคณะกรรมการกํากับหลักทรัพย์และตลาดหลักทรัพย์

ที่ สธ. 44/2565

เรื่อง ข้อกําหนดในรายละเอียดเกี่ยวกับระบบการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัลและกุญแจ

อาศัยอํานาจตามความในข้อ 3(1) แห่งประกาศคณะกรรมการกํากับหลักทรัพย์และตลาดหลักทรัพย์ ที่ กธ. 19/2561 เรื่อง หลักเกณฑ์ เงื่อนไข และวิธีการประกอบธุรกิจสินทรัพย์ดิจิทัลลงวันที่ 3 กรกฎาคม พ.ศ. 2561 ประกอบกับข้อ 9(6) (ค) แห่งประกาศคณะกรรมการกํากับหลักทรัพย์และตลาดหลักทรัพย์ ที่ กธ. 19/2561 เรื่อง หลักเกณฑ์ เงื่อนไข และวิธีการประกอบธุรกิจสินทรัพย์ดิจิทัล ลงวันที่ 3 กรกฎาคม พ.ศ. 2561 ซึ่งแก้ไขเพิ่มเติมโดยประกาศคณะกรรมการกํากับหลักทรัพย์และตลาดหลักทรัพย์ ที่ กธ. 34/2565 เรื่อง หลักเกณฑ์ เงื่อนไข และวิธีการประกอบธุรกิจสินทรัพย์ดิจิทัล (ฉบับที่ 19) ลงวันที่ 15 ธันวาคม พ.ศ. 2565 สํานักงาน ก.ล.ต.ออกประกาศไว้ดังต่อไปนี้

มาตรา ข้อ 1

ข้อ 1 ประกาศนี้ให้ใช้บังคับตั้งแต่วันที่ 16 มกราคม พ.ศ. 2566 เป็นต้นไป

มาตรา ข้อ 2

ข้อ 2 ในประกาศนี้

“ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล” หมายความว่า ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลที่ได้รับใบอนุญาตประกอบธุรกิจสินทรัพย์ดิจิทัล และมีการเก็บรักษาสินทรัพย์ดิจิทัลของลูกค้า

“ระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัล” หมายความว่า

(1) ระบบการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัล (wallet management)

(2) ระบบการบริหารจัดการกุญแจ (key management)

“นโยบาย” หมายความว่า นโยบายการกํากับดูแลและบริหารจัดการระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัล

“ข้อมูลต้นกําเนิด” (seed) หมายความว่า ชุดตัวเลขที่ได้จากการประมวลค่าวลีช่วยจํา ที่ผ่านกระบวนการทางคอมพิวเตอร์ตามที่มาตรฐานกําหนด

“วลีช่วยจํา” (mnemonic phrase) หมายความว่า ชุดคํา (word lists) ที่ได้จากการประมวลค่าเอนโทรปีที่ผ่านกระบวนการทางคอมพิวเตอร์ โดยชุดคําจะเป็นไปตามที่มาตรฐานกําหนด

“เอนโทรปี” (entropy) หมายความว่า การใช้กระบวนการทางคอมพิวเตอร์เพื่อสร้างชุดตัวเลขที่เป็นคําสุ่ม (randomness) ประกอบด้วย bit 0 หรือ bit 1 โดยมีความยาวเป็นไปตามที่มาตรฐานกําหนด เพื่อนําไปใช้ประกอบการสร้างกุญแจเข้ารหัส

มาตรา ข้อ 3

ข้อ 3 ข้อกําหนดในรายละเอียดตามประกาศนี้ กําหนดขึ้นเพื่อให้ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลที่มีการเก็บรักษาสินทรัพย์ดิจิทัลของลูกค้า ปฏิบัติตามประกาศคณะกรรมการกํากับหลักทรัพย์และตลาดหลักทรัพย์ว่าด้วยหลักเกณฑ์ เงื่อนไข และวิธีการประกอบธุรกิจสินทรัพย์ดิจิทัลในส่วนที่เกี่ยวกับระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัลที่มีประสิทธิภาพในเรื่องดังต่อไปนี้ให้เป็นไปในแนวทางเดียวกัน

(1) นโยบายและวิธีปฏิบัติในการกํากับดูแลและบริหารจัดการระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัล ให้เป็นไปตามหมวด 1

(2) การบริหารจัดการระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัล ให้เป็นไปตามหมวด 2

(3) การบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัล (incident management) ให้เป็นไปตามหมวด 3

หมวด 1นโยบายและวิธีปฏิบัติในการกํากับดูแลและบริหารจัดการระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัล\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_

มาตรา ข้อ 4

ข้อ 4 ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลต้องจัดให้มีนโยบายเป็นลายลักษณ์อักษรอย่างน้อยในเรื่องดังต่อไปนี้ ทั้งนี้ นโยบายดังกล่าวต้องได้รับความเห็นชอบจากคณะกรรมการของผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล หรือคณะกรรมการที่ได้รับมอบหมายจากคณะกรรมการของผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล

(1) การบริหารจัดการความเสี่ยงเกี่ยวกับระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัลที่สอดคล้องกับนโยบายและการบริหารความเสี่ยงองค์กร (enterprise risk) ซึ่งครอบคลุมถึงการระบุความเสี่ยง การประเมินความเสี่ยง และการควบคุมความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้

(2) การบริหารจัดการระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัลตามข้อ 6

มาตรา ข้อ 5

ข้อ 5 ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลต้องจัดให้มีการกํากับดูแลและบริหารจัดการ

ระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัลตามหลักเกณฑ์ดังต่อไปนี้ เพื่อให้เป็นไปตามนโยบายตามข้อ 4

(1) สื่อสารนโยบายให้แก่บุคลากรของผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลที่เกี่ยวข้องอย่างทั่วถึงในลักษณะที่สามารถเข้าถึงได้ง่าย เพื่อให้บุคลากรดังกล่าวเข้าใจและสามารถปฏิบัติตามนโยบายดังกล่าวได้ถูกต้อง

(2) กําหนดขั้นตอนและวิธีปฏิบัติงานให้เป็นไปตามนโยบาย

(3) ทบทวนหรือปรับปรุงนโยบาย อย่างน้อยปีละ 1 ครั้ง และทบทวนโดยไม่ชักช้าเมื่อมีเหตุการณ์ใด ๆ ซึ่งอาจส่งผลกระทบต่อการกํากับดูแลและบริหารจัดการระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัลอย่างมีนัยสําคัญ ทั้งนี้ ต้องปรับปรุงขั้นตอนและวิธีปฏิบัติงานตาม (2)ให้สอดคล้องกับนโยบายที่มีการเปลี่ยนแปลงด้วย

(4) จัดให้มีการกํากับดูแลการปฏิบัติตามนโยบาย โดยหน่วยงานซึ่งเป็นอิสระจากการบริหารจัดการระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัล และหน่วยงานดังกล่าวมีหน้าที่รายงานผลการปฏิบัติตามนโยบายดังกล่าวให้คณะกรรมการของผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลทราบอย่างน้อยปีละ 1 ครั้ง และในกรณีที่มีเหตุการณ์ใด ๆ ซึ่งอาจส่งผลกระทบต่อการปฏิบัติตามนโยบายดังกล่าวอย่างมีนัยสําคัญ ต้องรายงานให้คณะกรรมการของผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลทราบโดยไม่ชักช้า

(5) จัดให้มีระบบควบคุมภายในสําหรับการปฏิบัติงานให้เป็นไปตามนโยบายอย่างน้อยดังนี้

(ก) มีการตรวจสอบภายในและสอบทานการปฏิบัติงานให้เป็นไปตามนโยบายดังกล่าวอย่างเป็นระบบ

(ข) มีการปรับปรุงแก้ไขข้อบกพร่อง และติดตามการปรับปรุงแก้ไขดังกล่าวอย่างเป็นระบบและทันต่อเหตุการณ์ เพื่อลดผลกระทบต่อทรัพย์สินลูกค้า

มาตรา ข้อ 6

ข้อ 6 ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลต้องจัดให้มีนโยบายและกําหนดกระบวนการ

ในการบริหารจัดการระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัล ในเรื่องของการออกแบบ พัฒนา และบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัล อย่างเหมาะสมและมั่นคงปลอดภัย

ในกรณีที่ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลมีการสร้าง จัดเก็บ หรือเข้าถึงกุญแจ

ข้อมูลต้นกําเนิด หรือข้อมูลอื่น ๆ ที่เกี่ยวข้อง ให้ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลจัดให้มีนโยบายและกําหนดกระบวนการในการบริหารจัดการระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัลในเรื่องดังกล่าวด้วย

หมวด 3การบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัล\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_

มาตรา ข้อ 7

ข้อ 7 ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลต้องจัดให้มีการบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัลตามหลักเกณฑ์ดังต่อไปนี้

(1) กําหนดขั้นตอนและกระบวนการในการบริหารจัดการเหตุการณ์

(2) กําหนดผู้มีหน้าที่รับผิดชอบในการบริหารจัดการเหตุการณ์

(3) ทดสอบขั้นตอนและกระบวนการในการบริหารจัดการเหตุการณ์ตาม (1)อย่างน้อยปีละ 1 ครั้ง

(4) พิจารณาทบทวนขั้นตอนและกระบวนการในการบริหารจัดการเหตุการณ์หลังจากที่ได้มีการทดสอบตาม (3) แล้วอย่างน้อยปีละ 1 ครั้ง

(5) จัดให้มีการประเมินผลการทดสอบตาม (3) และประเมินผลการพิจารณาทบทวนตาม (4) โดยต้องรายงานผลต่อคณะกรรมการของผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลอย่างน้อยปีละ 1 ครั้ง ทั้งนี้ การดําเนินการดังกล่าวต้องกระทําโดยบุคคลที่เป็นอิสระจากผู้มีหน้าที่รับผิดชอบในการบริหารจัดการเหตุการณ์ตาม (2)

(6) รายงานเหตุการณ์ที่อาจส่งผลกระทบต่อระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัลต่อผู้มีหน้าที่รับผิดชอบในการบริหารจัดการเหตุการณ์ตาม (2) และสํานักงาน ก.ล.ต.โดยไม่ชักช้า

(7) ในกรณีที่มีเหตุการณ์ที่ส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัล ซึ่งกระทบต่อทรัพย์สินของลูกค้าอย่างมีนัยสําคัญ ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลต้องดําเนินการดังนี้

(ก) จัดให้มีผู้เชี่ยวชาญภายนอกที่มีความเป็นอิสระ มีความชํานาญตามมาตรฐานสากล เป็นที่ยอมรับและน่าเชื่อถือ และได้รับการรับรองหรือได้รับประกาศนียบัตร (accreditations or certifications) ที่เป็นที่ยอมรับในอุตสาหกรรม ทําหน้าที่ตรวจสอบความมั่นคงปลอดภัยของระบบและพิสูจน์พยานหลักฐานทางดิจิทัล (digital forensic investigation) โดยไม่ชักช้า

(ข) จัดส่งรายงานที่จัดทําโดยผู้เชี่ยวชาญตาม (ก) ต่อสํานักงาน ก.ล.ต.ตามหลักเกณฑ์ดังนี้

1. รายงานการตรวจสอบขั้นต้น (interim forensic investigation report) ภายใน 30 วันนับแต่วันที่ลงนามในสัญญาจ้างผู้เชี่ยวชาญภายนอก

2. รายงานการตรวจสอบฉบับสมบูรณ์ (final forensic investigation report) ภายใน 90 วันนับแต่วันที่ลงนามในสัญญาจ้างผู้เชี่ยวชาญภายนอก

ในกรณีที่มีเหตุอันสมควรทําให้ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลไม่สามารถจัดส่งรายงานดังกล่าวภายในระยะเวลาที่กําหนดตามวรรคหนึ่ง (ข) ให้ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลยื่นขอขยายระยะเวลาการจัดส่งรายงาน พร้อมทั้งเหตุผลและเอกสารหลักฐานต่อสํานักงาน ก.ล.ต.ก่อนครบกําหนดระยะดังกล่าว

(8) จัดทําแผนการดําเนินการแก้ไขปัญหาที่พบตาม (7) และมาตรการในการป้องกันไม่ให้เกิดปัญหาดังกล่าวซ้ํา รวมทั้งระยะเวลาในการดําเนินการตามแผนดังกล่าว โดยจัดส่งต่อสํานักงาน ก.ล.ต. ภายใน 10 วันนับแต่วันที่ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลได้รับรายงานจากผู้เชี่ยวชาญตาม (7) วรรคหนึ่ง (ข) 2.

ให้ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลดําเนินการตามแผนดังกล่าว และจัดส่งรายงานความคืบหน้าในการดําเนินการต่อสํานักงาน ก.ล.ต. ทุกวันศุกร์จนกว่าผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลจะดําเนินการตามแผนแล้วเสร็จ

ในกรณีที่มีเหตุอันสมควรทําให้ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลไม่สามารถจัดส่งแผนการดําเนินการตามวรรคหนึ่งหรือรายงานความคืบหน้าตามวรรคสองภายในระยะเวลาที่กําหนดให้ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลยื่นขอขยายระยะเวลาการจัดส่งแผนหรือรายงาน พร้อมทั้งเหตุผลและเอกสารหลักฐานต่อสํานักงาน ก.ล.ต. ก่อนครบกําหนดระยะเวลาดังกล่าว

(9) จัดเก็บเอกสารหลักฐานที่เกี่ยวข้องกับการดําเนินการในการบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัลเป็นระยะเวลาไม่น้อยกว่า 2 ปีนับแต่วันที่จัดทําเอกสารนั้น โดยต้องจัดเก็บไว้ในลักษณะที่พร้อมให้สํานักงาน ก.ล.ต. สามารถเรียกดูและตรวจสอบได้โดยไม่ชักช้า

การแจ้ง การส่งแผนการดําเนินการ รายงาน เอกสารหลักฐาน หรือคําขอใด ๆต่อสํานักงาน ก.ล.ต. ตามวรรคหนึ่ง ให้เป็นไปตามแบบและวิธีการที่จัดไว้บนเว็บไซต์ของสํานักงาน ก.ล.ต.

ประกาศ ณ วันที่ 19 ธันวาคม พ.ศ. 2565

(นางสาวรื่นวดี สุวรรณมงคล)

เลขาธิการ

สํานักงานคณะกรรมการกํากับหลักทรัพย์และตลาดหลักทรัพย์

7 มาตรา

อ้างอิงกฎหมายนี้

ประกาศสำนักงานคณะกรรมการ ก.ล.ต. ที่ สธ. 44/2565 เรื่อง ข้อกำหนดในรายละเอียดเกี่ยวกับระบบการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัลและกุญแจ (Office of the Council of State). Retrieved via LawPlayer, https://lawplayer.com/th/act/pythainlp_b0a748767396af96

ที่มา: ระบบกลางกฎหมาย law.go.th (สำนักงานคณะกรรมการกฤษฎีกา).

Thai official texts excluded from copyright (Copyright Act B.E. 2537 s.7);開放資料層 CC BY 署名

本頁資料來源:สำนักงานคณะกรรมการกฤษฎีกา (OCS)·整理提供:法律人 LawPlayer· lawplayer.com