ข้อ 9 ภายใต้บังคับข้อ 37 และข้อ 42 โครงสร้างการบริหารจัดการและระบบงานตามข้อ 8 ต้องครอบคลุมอย่างน้อยในเรื่องดังต่อไปนี้
(1) การกําหนดโครงสร้างองค์กร บทบาท อํานาจหน้าที่ และความรับผิดชอบในการดําเนินงานของกรรมการ ผู้บริหาร และบุคลากรที่ชัดเจน
(2) ระบบงานที่สามารถรองรับการประกอบธุรกิจได้อย่างต่อเนื่อง ซึ่งต้องมีความเหมาะสม น่าเชื่อถือ และมีประสิทธิภาพ
(3) ระบบตรวจสอบและควบคุมภายในที่มีประสิทธิภาพ โดยต้องคํานึงถึงเรื่อง ดังนี้
(ก) การรักษาความลับ
(ข) การรับและจัดการข้อร้องเรียน
(ค) การป้องกันมิให้ผู้ประกอบธุรกิจ ผู้บริหาร หรือพนักงานของผู้ประกอบธุรกิจ แสวงหาประโยชน์จากการปฏิบัติหน้าที่โดยมิชอบ
(4) การบริหารและจัดการความเสี่ยงที่อาจเกิดขึ้นในทุกด้านอย่างรัดกุม โดยต้อง
มีมาตรการอย่างเพียงพอที่จะป้องกันและจัดการความเสี่ยงอย่างมีประสิทธิภาพ
(5) ระบบงานและมาตรการป้องกันความขัดแย้งทางผลประโยชน์
(6) ระบบการดูแลรักษาทรัพย์สินของลูกค้า โดย
(ก) ในกรณีที่ทรัพย์สินของลูกค้าอยู่ภายใต้การดูแลรักษาหรือจัดการของผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล ต้องจัดทําบัญชีของลูกค้าแยกแต่ละราย ให้ถูกต้อง ครบถ้วน และเป็นปัจจุบัน และเก็บรักษาทรัพย์สิน ในระบบที่มีความมั่นคง ปลอดภัย น่าเชื่อถือ และต้องมีแผนการจัดการทรัพย์สินของลูกค้าที่เหมาะสม
(ข) จัดให้มีการจ่ายผลตอบแทนจากการถือสินทรัพย์ดิจิทัลกับลูกค้าอย่างเป็นธรรมโดยต้องเปิดเผยเงื่อนไขและวิธีการให้ลูกค้าทราบ
(ค)(( ในกรณีที่เป็นการเก็บรักษาสินทรัพย์ดิจิทัลของลูกค้า ต้องคํานึงถึงความเสี่ยงจากการสูญหาย การทุจริต และการถูกโจรกรรมทางไซเบอร์ โดยอย่างน้อยต้องเป็นไปตามข้อ 10/4และต้องมีระบบการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัลที่ใช้ในการเก็บรักษาสินทรัพย์ดิจิทัล(wallet management) และกุญแจ (key management) ที่มีประสิทธิภาพ
คําว่า “กุญแจ” ตามวรรคหนึ่ง หมายความว่า กุญแจเข้ารหัส (cryptographic key) หรือสิ่งอื่นใดที่ต้องเก็บรักษาเป็นความลับ เพื่อใช้อนุมัติการโอนหรือการทําธุรกรรมเกี่ยวกับสินทรัพย์ดิจิทัลในกระเป๋าสินทรัพย์ดิจิทัล
(7) ระบบเทคโนโลยีสารสนเทศที่มีประสิทธิภาพซึ่งรวมถึงการดูแลรักษาความปลอดภัยของระบบงานและข้อมูล (security) ความถูกต้องเชื่อถือได้ของระบบงานและข้อมูล (integrity) และความพร้อมใช้ของระบบงาน (availability) โดยคํานึงถึงความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT risk) และความเสี่ยงด้านภัยคุกคามทางไซเบอร์ (cyber risk)
(8) ระบบการจัดการและจัดเก็บข้อมูลเกี่ยวกับการประกอบธุรกิจให้ถูกต้อง ครบถ้วน ตรวจสอบได้ และปลอดภัย โดยอย่างน้อยต้องเป็นไปตามข้อ 11
(9) ระบบงานในการดูแลการลงทุนเพื่อเป็นทรัพย์สินของผู้ประกอบธุรกิจ (proprietary trading) ซึ่งเหมาะสมและเพียงพอที่สามารถป้องกันมิให้มีการลงทุน
(ก) ส่งผลกระทบต่อฐานะทางการเงินของผู้ประกอบธุรกิจ
(ข) เป็นผลให้การซื้อ ขาย หรือแลกเปลี่ยนสินทรัพย์ดิจิทัลผิดไปจากสภาพปกติของตลาด
(ค) มีลักษณะเป็นการลงทุนที่ไม่เหมาะสมในฐานะผู้มีวิชาชีพ
(ง) ก่อให้เกิดความขัดแย้งทางผลประโยชน์แก่ลูกค้าหรือความไม่เป็นธรรมกับลูกค้า
(10)( ระบบงานในการกํากับดูแลการปฏิบัติงานของผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล(compliance) ให้เป็นไปตามประกาศคณะกรรมการกํากับหลักทรัพย์และตลาดหลักทรัพย์ว่าด้วยการจัดให้มีหน่วยงานกํากับดูแลการปฏิบัติงานของผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล
(11) ระบบงานเพิ่มเติมสําหรับการให้บริการที่มีลักษณะเฉพาะ