ประกาศธนาคารแห่งประเทศไทย
ที่ สนส. 6/2557
เรื่อง การใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ (IT Outsourcing)
ในการประกอบธุรกิจของสถาบันการเงิน
อื่นๆ - 1. เหตุผลในการออกประกาศ
เดิมธนาคารแห่งประเทศไทยอนุญาตให้สถาบันการเงินสามารถใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ (IT Outsourcing) ทั้งในประเทศและต่างประเทศได้ในทุกระบบงานเพื่อส่งเสริมให้เกิดประสิทธิภาพในด้านการดําเนินงานและการบริหารต้นทุน และเพิ่มศักยภาพในการพัฒนาการให้บริการทางการเงินให้ทันต่อเทคโนโลยีที่มีการเปลี่ยนแปลงอย่างรวดเร็ว โดยได้กําหนดหลักเกณฑ์เพื่อให้สถาบันการเงินสามารถใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศได้อย่างมีประสิทธิภาพและเป็นที่น่าเชื่อถือ บนพื้นฐานของการรักษาประโยชน์ของประชาชนผู้ใช้บริการ ดังนั้น แม้ว่าสถาบันการเงินจะใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ แต่สถาบันการเงินยังคงต้องมีความรับผิดชอบต่อการให้บริการอย่างต่อเนื่องแก่ผู้ใช้บริการของสถาบันการเงิน ต้องคงความน่าเชื่อถือของการให้บริการเช่นเดียวกับที่สถาบันการเงินพึงจะมีเสมือนกับที่สถาบันการเงินเป็นผู้ดําเนินการด้านเทคโนโลยีสารสนเทศด้วยตนเอง และต้องคํานึงถึงความเสี่ยงที่อาจเกิดขึ้นต่อสถาบันการเงินในรูปแบบที่เปลี่ยนแปลงไปจากการดําเนินงานปกติที่ดําเนินการโดยสถาบันการเงินเอง เช่น ความเสี่ยงด้านปฏิบัติการ (operational risk) จากการดําเนินงานของผู้ให้บริการภายนอก ความเสี่ยงด้านกลยุทธ์ (strategic risk) ในการวางแผนการดําเนินธุรกิจ ความเสี่ยงด้านชื่อเสียง (reputational risk) และความเสี่ยงด้านกฎหมาย (legal risk) โดยเฉพาะเรื่องการรักษาความลับของข้อมูลของผู้ใช้บริการของสถาบันการเงิน นอกจากนี้ ธนาคารแห่งประเทศไทยยังได้กําหนดให้สถาบันการเงินต้องประเมินความเสี่ยงที่เกี่ยวข้องจากการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศทั้งในประเทศและต่างประเทศ และแจ้งรายละเอียดการใช้บริการมายังธนาคารแห่งประเทศไทยเพื่อทราบก่อนเริ่มหรือก่อนเปลี่ยนแปลงการใช้บริการ
เนื่องจากการดําเนินธุรกิจและการแข่งขันของสถาบันการเงินในปัจจุบันและแนวโน้มในอนาคตมีความต้องการใช้ระบบเทคโนโลยีสารสนเทศที่มีความซับซ้อนและทันสมัยมากขึ้นเพื่อการให้บริการมีประสิทธิภาพ ในขณะที่ทรัพยากรด้านเทคโนโลยีสารสนเทศของสถาบันการเงินอาจมีข้อจํากัด สถาบันการเงินจึงมีแนวโน้มที่จะมีการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศเพิ่มขึ้น ในขณะที่หลักเกณฑ์ปัจจุบันมีข้อกําหนดที่ยังไม่คล่องตัวและอาจไม่สอดคล้องกับแนวทางในการบริหารจัดการความเสี่ยงของสถาบันการเงินและการพัฒนาด้านเทคโนโลยีสารสนเทศ
ดังนั้น ธนาคารแห่งประเทศไทยจึงเห็นควรปรับปรุงหลักเกณฑ์การกํากับดูแลการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศให้มีความยืดหยุ่นและสอดคล้องกับแนวปฏิบัติของสถาบันการเงิน โดยกําหนดหลักเกณฑ์ในลักษณะที่เป็นหลักการ (principle based) มากขึ้นแต่ยังคงให้ความสําคัญกับการรักษาผลประโยชน์ของประชาชนผู้ใช้บริการเช่นเดิม คือ สถาบันการเงินยังคงต้องมีความรับผิดชอบต่อการให้บริการอย่างต่อเนื่องแก่ผู้ใช้บริการของสถาบันการเงิน และต้องคงความน่าเชื่อถือของการให้บริการเช่นเดียวกับที่สถาบันการเงินพึงจะมีเสมือนกับที่สถาบันการเงินเป็นผู้ดําเนินการด้านเทคโนโลยีสารสนเทศด้วยตนเอง และมุ่งเน้นให้สถาบันการเงินให้ความสําคัญกับการบริหารความเสี่ยงจากการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศภายใต้กรอบหลักการด้านเทคโนโลยีสารสนเทศที่สําคัญ 3 ประการ คือ การรักษาความปลอดภัยและความลับของระบบงานและข้อมูล (security) ความถูกต้องเชื่อถือได้ของระบบงานและข้อมูล (integrity) และความพร้อมใช้ของงานเทคโนโลยีสารสนเทศที่ใช้บริการ (availability) และให้สถาบันการเงินมีการบริหารความเสี่ยงที่อาจเกิดขึ้นอย่างเหมาะสม โดยสถาบันการเงินต้องมีการประเมินตนเอง (self assessment)
ควบคุม และจัดการความเสี่ยงที่มีประสิทธิภาพ มีการกํากับดูแลโดยคณะกรรมการของสถาบันการเงิน (board oversight) และมีการพิจารณาถึงความสอดคล้องกับกลยุทธ์การดําเนินธุรกิจและความสําคัญต่อการลงทุนในระบบเทคโนโลยีสารสนเทศเพื่อส่งเสริมศักยภาพในการแข่งขัน (competitiveness) โดยเฉพาะสถาบันการเงินไทย นอกจากนี้ การใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศของสถาบันการเงินอาจก่อให้เกิดผลกระทบต่อทั้งผู้ใช้บริการของสถาบันการเงิน สถาบันการเงินและระบบการเงิน ดังนั้น นอกจากสถาบันการเงินต้องมีการกํากับดูแลผู้ให้บริการภายนอกอย่างใกล้ชิดแล้ว ยังต้องดําเนินการให้ธนาคารแห่งประเทศไทย ผู้ตรวจสอบภายนอก หรือหน่วยงานกํากับดูแลอื่นได้รับทราบข้อมูลที่เกี่ยวข้องกับการใช้บริการและสามารถตรวจสอบผู้ให้บริการดังกล่าวได้
การปรับปรุงประกาศในครั้งนี้ ธนาคารแห่งประเทศไทยได้ปรับปรุงคําจํากัดความของงานเทคโนโลยีสารสนเทศให้เป็นมาตรฐานสากลมากขึ้น และแบ่งประเภทการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศของสถาบันการเงินออกเป็น 2 ประเภท คือ การใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศประเภทที่มีความสําคัญอย่างยิ่งต่อสถาบันการเงิน (Critical IT Outsourcing) และการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศประเภทอื่น (Other IT Outsourcing) พร้อมทั้ง กําหนดหลักเกณฑ์การกํากับดูแลให้สอดคล้องกับประเภทการใช้บริการนั้น นอกจากนี้ ธนาคารแห่งประเทศไทยได้กําหนดให้สถาบันการเงินแจ้งการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศให้ธนาคารแห่งประเทศไทยทราบล่วงหน้าอย่างน้อย 30 วัน ก่อนเริ่มใช้บริการหรือก่อนเปลี่ยนแปลงการใช้บริการ เฉพาะกรณีการใช้บริการด้านงานเทคโนโลยีสารสนเทศประเภทที่มีความสําคัญอย่างยิ่งต่อสถาบันการเงินจากผู้ให้บริการภายนอกที่ไม่เป็นบริษัทในกลุ่มธุรกิจเดียวกันเท่านั้น และได้กําหนดให้สถาบันการเงินส่งรายงานดังนี้มายัง
ธนาคารแห่งประเทศไทย (1) รายงานการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศโดยให้ส่งเป็นประจําทุกปี และ (2) รายงานปัญหาหรือเหตุการณ์ผิดปกติที่เกิดขึ้นจากการใช้บริการจากผู้ให้บริการภายนอกที่มีผลกระทบต่อการให้บริการการเงินพื้นฐานของสถาบันการเงิน โดยให้ส่งโดยเร็วและไม่ควรเกิน 24 ชั่วโมง
อื่นๆ - 2. อํานาจตามกฎหมาย
อาศัยอํานาจตามความในมาตรา 47 และมาตรา 71 แห่งพระราชบัญญัติธุรกิจสถาบันการเงินพ.ศ. 2551 ธนาคารแห่งประเทศไทยจึงออกหลักเกณฑ์การใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ (IT Outsourcing) ในการประกอบธุรกิจของสถาบันการเงินตามความในประกาศนี้
อื่นๆ - 3. ประกาศที่ยกเลิก
ให้ยกเลิกประกาศธนาคารแห่งประเทศไทย ที่ สนส. 29/2551 เรื่อง การใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่น (IT Outsourcing) ลงวันที่ 3 สิงหาคม 2551
อื่นๆ - 4. ขอบเขตการบังคับใช้
ประกาศฉบับนี้ใช้บังคับกับสถาบันการเงินตามกฎหมายว่าด้วยธุรกิจสถาบันการเงินทุกแห่ง
อื่นๆ - 5. เนื้อหา
5.1 คําจํากัดความ
ในประกาศฉบับนี้
"การใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ" (IT Outsourcing) หมายความว่า การใช้บริการจากผู้ให้บริการภายนอก (service provider) ในการดําเนินการด้านงานเทคโนโลยีสารสนเทศให้แก่สถาบันการเงิน ซึ่งโดยปกติแล้วสถาบันการเงินต้องดําเนินการเอง
"ผู้ให้บริการภายนอก" (service provider) หมายความว่า บุคคลภายนอกทั้งในและต่างประเทศ รวมถึง บริษัทในกลุ่มธุรกิจเดียวกัน ซึ่งเข้าทําสัญญาหรือทําข้อตกลงในการให้บริการงานให้กับสถาบันการเงิน อันมีลักษณะที่โดยปกติแล้วสถาบันการเงินต้องดําเนินการเอง
"บริษัทในกลุ่มธุรกิจเดียวกัน"
(1) กรณีธนาคารพาณิชย์ที่จดทะเบียนในประเทศ หมายความว่า บริษัทในกลุ่มธุรกิจทางการเงินตามประกาศธนาคารแห่งประเทศไทย ว่าด้วยหลักเกณฑ์การกํากับแบบรวมกลุ่ม
(2) กรณีธนาคารพาณิชย์ที่จดทะเบียนจัดตั้งขึ้นในประเทศไทย แต่เป็นบริษัทลูกของสถาบันการเงินในต่างประเทศ หมายความว่า บริษัทในกลุ่มธุรกิจทางการเงินตามประกาศธนาคารแห่งประเทศไทยว่าด้วยหลักเกณฑ์การกํากับแบบรวมกลุ่ม รวมถึง บริษัทที่มีความเกี่ยวข้องกับธนาคารพาณิชย์ที่จดทะเบียนจัดตั้งขึ้นในประเทศไทย แต่เป็นบริษัทลูกของสถาบันการเงินในต่างประเทศนั้น
(3) กรณีสาขาของธนาคารพาณิชย์ต่างประเทศ หมายความว่า สํานักงานใหญ่สาขาที่อยู่ในประเทศอื่น สํานักงานภูมิภาคในต่างประเทศของสาขาของธนาคารพาณิชย์ต่างประเทศ รวมถึงบริษัทที่มีความเกี่ยวข้องกับธนาคารพาณิชย์ต่างประเทศนั้น
"บริษัทที่มีความเกี่ยวข้อง" หมายความว่า บริษัทแม่ บริษัทลูก และบริษัทร่วมโดยให้ใช้คําจํากัดความตามความในมาตรา 4 แห่งพระราชบัญญัติธุรกิจสถาบันการเงิน พ.ศ. 2551 โดยอนุโลม
"งานเทคโนโลยีสารสนเทศ" (information technology - IT) หมายความว่า งานด้านเทคโนโลยีสารสนเทศ ที่ครอบคลุมถึง ระบบงาน (application) ข้อมูล (information) โครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศ (infrastructure) และบุคลากรและกระบวนการที่จัดการด้านเทคโนโลยีสารสนเทศ (people and process)
"คณะกรรมการของสถาบันการเงิน" หมายความว่า คณะกรรมการของสถาบันการเงินที่จดทะเบียนในประเทศไทย หรือคณะผู้บริหารที่มีอํานาจหน้าที่รับผิดชอบที่เกี่ยวข้องของสาขาของธนาคารพาณิชย์ต่างประเทศ
5.2 การอนุญาตให้สถาบันการเงินใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ
ธนาคารแห่งประเทศไทยอนุญาตให้สถาบันการเงินใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ (IT Outsourcing) ในการประกอบธุรกิจของสถาบันการเงินได้ ภายใต้หลักเกณฑ์และเงื่อนไขตามที่กําหนดไว้ในประกาศนี้ อย่างไรก็ดี สถาบันการเงิน โดยเฉพาะสถาบันการเงินไทยต้องพิจารณาถึงความสอดคล้องกับกลยุทธ์ในการดําเนินธุรกิจ และควรให้ความสําคัญต่อการลงทุนในระบบเทคโนโลยีสารสนเทศเพื่อส่งเสริมศักยภาพในการแข่งขัน (competitiveness) ด้วย
ทั้งนี้ หลักการสําคัญของการอนุญาตให้สถาบันการเงินใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ คือ
(1) สถาบันการเงินต้องรับผิดชอบต่อการให้บริการอย่างต่อเนื่องแก่ผู้ใช้บริการของสถาบันการเงิน ต้องคงความน่าเชื่อถือของการให้บริการเช่นเดียวกับที่สถาบันการเงินพึงจะมีเสมือนกับที่สถาบันการเงินเป็นผู้ดําเนินการด้านเทคโนโลยีสารสนเทศด้วยตนเอง และต้องคํานึงถึงความเสี่ยงที่อาจเกิดขึ้นต่อสถาบันการเงินในรูปแบบที่เปลี่ยนแปลงไปจากการดําเนินงานปกติที่กระทําโดยสถาบันการเงินเอง
ในกรณีที่ผู้ให้บริการภายนอกมีการให้ผู้ให้บริการภายนอกรายอื่นรับช่วงจัดการงานด้านเทคโนโลยีสารสนเทศที่ให้บริการแก่สถาบันการเงินต่อ (sub-contract) สถาบันการเงินต้องมั่นใจว่า ผู้ให้บริการภายนอกจะรับผิดชอบต่อการให้บริการด้านงานเทคโนโลยีสารสนเทศแก่สถาบันการเงินเสมือนกับที่ผู้ให้บริการภายนอกเป็นผู้ให้บริการด้วยตนเอง
(2) สถาบันการเงินต้องมีแนวทางบริหารความเสี่ยงจากการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศที่สอดคล้องกับความเสี่ยงที่อาจเกิดขึ้น ภายใต้กรอบหลักการด้านเทคโนโลยีสารสนเทศที่สําคัญ 3 ประการ คือ การรักษาความปลอดภัยและความลับของระบบงานและข้อมูล (security) ความถูกต้องเชื่อถือได้ของระบบงานและข้อมูล (integrity) และความพร้อมใช้ของงานเทคโนโลยีสารสนเทศที่ใช้บริการ (availability)
(3) สถาบันการเงินต้องมีการกํากับดูแลความเสี่ยงที่เกี่ยวเนื่องกับการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศอย่างเหมาะสม โดยต้องมีการประเมินตนเอง (self assessment) ควบคุม และจัดการความเสี่ยงอย่างมีประสิทธิภาพ ภายใต้การกํากับดูแลของคณะกรรมการของสถาบันการเงิน (board oversight)
5.3 การแบ่งประเภทการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศสถาบันการเงินต้องพิจารณาประเภทการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ ดังนี้
5.3.1 การใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศประเภทที่มีความสําคัญอย่างยิ่งต่อสถาบันการเงิน (Critical IT Outsourcing)
การใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศประเภทที่มีความสําคัญอย่างยิ่งต่อสถาบันการเงิน หมายถึง การใช้บริการในงานเทคโนโลยีสารสนเทศที่อาจก่อให้เกิด
(1) ความเสี่ยงและผลกระทบต่อสถาบันการเงินในวงกว้าง (bank wide impact) เช่น การหยุดชะงักของการให้บริการแก่ผู้ใช้บริการของสถาบันการเงินและประชาชนทั่วไปในวงกว้าง หรือ
(2) ความเสี่ยงและผลกระทบต่อระบบสถาบันการเงิน หรือธุรกิจอื่นในวงกว้าง (banking system wide impact) เช่น การหยุดชะงักของระบบงานที่เชื่อมต่อกับระบบการชําระเงิน หรือ
(3) ความเสียหายหรือเหตุการณ์อื่น เช่น การทุจริตทั้งทางตรงและทางอ้อมในวงกว้างหรือร้ายแรง ภัยคุกคามด้านเทคโนโลยีสารสนเทศทั้งจากภายในและภายนอก และเหตุการณ์อื่นตามที่ธนาคารแห่งประเทศไทยอาจกําหนดเพิ่มเติม
ทั้งนี้ ตัวอย่างการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศประเภทที่มีความสําคัญอย่างยิ่งต่อสถาบันการเงิน เช่น การใช้บริการระบบประมวลผลกลาง (core banking) ศูนย์คอมพิวเตอร์ (data center) และระบบเครือข่ายสื่อสาร (network)
5.3.2 การใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศประเภทอื่น (Other IT Outsourcing)
การใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศประเภทอื่น หมายถึง การใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศที่ไม่เข้าข่ายเป็นการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศประเภทที่มีความสําคัญอย่างยิ่งต่อสถาบันการเงินตามข้อ 5.3.1
ทั้งนี้ หากสถาบันการเงินมีข้อสงสัยเกี่ยวกับการพิจารณาประเภทการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ ให้สถาบันการเงินหารือมาที่ ฝ่ายตรวจสอบความเสี่ยงและเทคโนโลยีสารสนเทศ สายกํากับสถาบันการเงิน ธนาคารแห่งประเทศไทย ก่อนดําเนินการ
5.4 แนวทางการกํากับดูแลการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ
ธนาคารแห่งประเทศไทยกําหนดแนวทางการกํากับดูแลการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ ตามประเภทของการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศตามข้อ 5.3 ดังนี้
5.4.1 สถาบันการเงินที่ใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศประเภทที่มีความสําคัญอย่างยิ่งต่อสถาบันการเงิน (Critical IT Outsourcing) ต้องปฏิบัติตามทั้งหลักเกณฑ์การควบคุมทั่วไป (general control) และหลักเกณฑ์การควบคุมเฉพาะสําหรับงานเทคโนโลยีสารสนเทศที่มีความสําคัญอย่างยิ่ง (specific control) โดยให้พิจารณาตามความเหมาะสมกับขนาดปริมาณธุรกรรม ความซับซ้อนของงานเทคโนโลยีสารสนเทศที่ใช้บริการ และความเสี่ยงที่เกี่ยวเนื่องกับการใช้บริการ
5.4.2 สถาบันการเงินที่ใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศประเภทอื่น (Other IT Outsourcing) ต้องปฏิบัติตามหลักเกณฑ์การควบคุมทั่วไป (general control) โดยให้พิจารณาตามความเหมาะสมกับขนาด ปริมาณธุรกรรม ความซับซ้อนของงานเทคโนโลยีสารสนเทศที่ใช้บริการ และความเสี่ยงที่เกี่ยวเนื่องกับการใช้บริการ
5.5 หลักเกณฑ์การกํากับดูแลการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ
สถาบันการเงินต้องปฏิบัติตามกฎหมาย ข้อบังคับของทางการ หรือมาตรฐานสากลที่เกี่ยวข้องกับงานเทคโนโลยีสารสนเทศที่ใช้บริการ รวมถึง หลักเกณฑ์การกํากับดูแลการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ ดังนี้
5.5.1 หลักเกณฑ์การควบคุมทั่วไป (general control)
สถาบันการเงินที่มีการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศทั้งสองประเภทตามข้อ 5.3 ต้องให้ความสําคัญในเรื่องการกําหนดนโยบาย การบริหารความเสี่ยงการบริหารจัดการผู้ให้บริการภายนอก (service provider management) การรักษาความปลอดภัยและความลับของระบบงานและข้อมูล (security) ความถูกต้องเชื่อถือได้ของระบบงานและข้อมูล (integrity) ความพร้อมใช้ของงานเทคโนโลยีสารสนเทศที่ใช้บริการ (availability) และการคุ้มครองผู้ใช้บริการของสถาบันการเงิน (consumer protection) โดยให้พิจารณาตามความเหมาะสมกับขนาด ปริมาณธุรกรรมความซับซ้อนของงานเทคโนโลยีสารสนเทศที่ใช้บริการ และความเสี่ยงที่เกี่ยวเนื่องกับการใช้บริการ ดังนี้
(1) นโยบายการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ
(1.1) สถาบันการเงินต้องกําหนดกลยุทธ์ที่ชัดเจนสําหรับการตัดสินใจใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ เช่น เหตุผลความจําเป็นทางธุรกิจ รวมถึงประโยชน์และต้นทุน ทั้งนี้ สถาบันการเงินต้องมั่นใจว่า การใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศนั้น ไม่ขัดต่อกฎหมายและข้อบังคับของทางการของประเทศไทยและประเทศของผู้ให้บริการภายนอกในกรณีที่ผู้ให้บริการภายนอกประกอบธุรกิจในต่างประเทศ ไม่ก่อให้เกิดช่องโหว่ที่นําไปสู่การเกิดการทุจริตที่ร้ายแรงหรือก่อให้เกิดภัยคุกคามด้านเทคโนโลยีสารสนเทศทั้งจากภายในและภายนอก จนอาจส่งผลกระทบต่อธุรกิจอย่างร้ายแรง และไม่ส่งผลกระทบต่อเสถียรภาพของระบบสถาบันการเงิน และระบบการเงินของประเทศไทยอย่างร้ายแรง
(1.2) สถาบันการเงินต้องกําหนดนโยบายการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศอย่างชัดเจนและเป็นลายลักษณ์อักษร โดยต้องสอดคล้องกับนโยบายในการใช้บริการจากบุคคลภายนอก (outsourcing policy) และต้องคํานึงถึงความสอดคล้องกับกลยุทธ์ทางธุรกิจและความสามารถในการแข่งขัน ซึ่งนโยบายดังกล่าวต้องได้รับความเห็นชอบจากคณะกรรมการของสถาบันการเงิน ทั้งนี้ นโยบายการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศควรครอบคลุมเรื่อง การแบ่งประเภทของการใช้บริการ การบริหารความเสี่ยงที่เกิดจากการใช้บริการการบริหารจัดการผู้ให้บริการภายนอก การรักษาความปลอดภัยและความลับของระบบงานและข้อมูลการรักษาความถูกต้องเชื่อถือได้ของระบบงานและข้อมูล การรักษาความพร้อมใช้ของงานเทคโนโลยีสารสนเทศที่ใช้บริการ การคุ้มครองผู้ใช้บริการของสถาบันการเงิน การกํากับดูแลเพิ่มเติมกรณีการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศประเภทที่มีความสําคัญอย่างยิ่งต่อสถาบันการเงิน (Critical IT Outsourcing) และการรายงานและการตรวจสอบ เป็นต้น
(1.3) สถาบันการเงินต้องมีการทบทวนนโยบายการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศอย่างน้อยปีละ 1 ครั้ง เพื่อให้สอดคล้องกับกลยุทธ์ของสถาบันการเงินที่อาจเปลี่ยนแปลงไป
(2) การบริหารความเสี่ยง
(2.1) สถาบันการเงินต้องกําหนดนโยบายการบริหารความเสี่ยงจากการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศอย่างชัดเจนและเป็นลายลักษณ์อักษรโดยต้องสอดคล้องกับนโยบายการบริหารความเสี่ยงโดยรวมของสถาบันการเงิน รวมถึง ขนาด ปริมาณธุรกรรมความซับซ้อนของงานเทคโนโลยีสารสนเทศที่ใช้บริการ และความเสี่ยงที่เกี่ยวเนื่องกับการใช้บริการ และต้องได้รับความเห็นชอบจากคณะกรรมการของสถาบันการเงินหรือคณะกรรมการที่ได้รับมอบหมาย รวมทั้งต้องมีการกําหนดแนวทาง วิธีการ และผู้รับผิดชอบในการบริหารความเสี่ยงที่อาจเกิดขึ้นจากการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศอย่างชัดเจนและเป็นลายลักษณ์อักษร ต้องประเมินผลการปฏิบัติตามแนวทางและวิธีการที่กําหนดอย่างสม่ําเสมอ และต้องมีการรายงานผลการปฏิบัติดังกล่าวให้คณะกรรมการที่ได้รับมอบหมายหรือผู้บริหารระดับสูงที่ได้รับมอบหมายทราบในระยะเวลาที่เหมาะสม
(2.2) สถาบันการเงินต้องมีความรู้ความเข้าใจในงานเทคโนโลยีสารสนเทศที่ใช้บริการจากผู้ให้บริการภายนอกตามสมควร ต้องสามารถประเมินระดับความเสี่ยงที่อาจเกิดขึ้นจากการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ และต้องจัดให้มีระบบการประเมิน ควบคุมและบริหารจัดการความเสี่ยงที่เกี่ยวเนื่องกับการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศให้ครอบคลุมความเสี่ยงที่สําคัญที่อาจเกิดขึ้น (เช่น ความเสี่ยงด้านกลยุทธ์ ความเสี่ยงด้านปฏิบัติการความเสี่ยงด้านกฎหมาย และความเสี่ยงด้านเทคโนโลยีสารสนเทศ โดยควรสอดคล้องกับขนาด ปริมาณธุรกรรมความซับซ้อนของงานเทคโนโลยีสารสนเทศที่ใช้บริการ และความเสี่ยงที่เกี่ยวเนื่องกับการใช้บริการ
(2.3) สถาบันการเงินต้องจัดให้มีแนวทางในการติดตามประสิทธิภาพในการให้บริการของผู้ให้บริการภายนอกอย่างต่อเนื่อง แนวทางในการรับทราบการเปลี่ยนแปลงที่เกิดขึ้นกับผู้ให้บริการภายนอก รวมถึง แนวทางในการรายงานเหตุการณ์ผิดปกติที่เกิดขึ้นจากการให้บริการของผู้ให้บริการภายนอก (day-to-day incident) อย่างสม่ําเสมอ ทั้งนี้ สถาบันการเงินต้องมีส่วนร่วมในการตัดสินใจแก้ไขเหตุการณ์ผิดปกติ หากสถาบันการเงินประเมินว่า เหตุการณ์ผิดปกติที่เกิดขึ้นนั้นอาจกระทบต่อการดําเนินธุรกิจของสถาบันการเงินอย่างมีนัยสําคัญ นอกจากนี้ สถาบันการเงินต้องมีการทบทวนและประเมินประสิทธิภาพในการให้บริการของผู้ให้บริการภายนอกอย่างสม่ําเสมอ และมีการรายงานผลการประเมินดังกล่าวให้คณะกรรมการที่ได้รับมอบหมายหรือผู้บริหารระดับสูงที่ได้รับมอบหมายทราบในระยะเวลาที่เหมาะสม
(2.4) สถาบันการเงินต้องจัดให้มีแผนรองรับการดําเนินธุรกิจอย่างต่อเนื่อง (business continuity plan) ที่ครอบคลุมถึงการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ โดยควรสอดคล้องกับขนาด ปริมาณธุรกรรม ความซับซ้อนของงานเทคโนโลยีสารสนเทศที่ใช้บริการ และความเสี่ยงที่เกี่ยวเนื่องกับการใช้บริการ รวมถึงผลกระทบของการใช้บริการที่มีต่อการดําเนินธุรกิจของสถาบันการเงิน และต้องจัดให้มีแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศ (disaster recovery plan) เพื่อรองรับกรณีการเกิดปัญหาหรือเหตุการณ์ผิดปกติจากการใช้บริการจากผู้ให้บริการภายนอกและเพื่อลดผลกระทบที่อาจเกิดขึ้น โดยสถาบันการเงินต้องมั่นใจว่า สถาบันการเงินจะมีข้อมูลพร้อมใช้ภายในประเทศสําหรับการดําเนินธุรกิจและการให้บริการแก่ลูกค้าอย่างต่อเนื่อง รวมทั้ง ต้องมีการทบทวนและทดสอบการปฏิบัติตามแผนรองรับการดําเนินธุรกิจและแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศอย่างสม่ําเสมอเพื่อให้สามารถปฏิบัติงานได้จริง รวมทั้ง ต้องจัดให้มีกระบวนการในการบริหารจัดการปัญหาหรือเหตุการณ์ผิดปกติที่เกิดจากการใช้บริการ และมีการรายงานปัญหาหรือเหตุการณ์ผิดปกติและการจัดการปัญหาหรือเหตุการณ์ผิดปกติดังกล่าว ให้คณะกรรมการที่ได้รับมอบหมายหรือผู้บริหารระดับสูงที่ได้รับมอบหมายทราบในระยะเวลาที่เหมาะสม
(3) การบริหารจัดการผู้ให้บริการภายนอก (service provider management)
(3.1) สถาบันการเงินต้องกําหนดกระบวนการและหลักเกณฑ์ในการคัดเลือกผู้ให้บริการภายนอกที่ชัดเจน และมีการตรวจสอบความพร้อมและพิจารณาความเหมาะสมของผู้ให้บริการภายนอกเพื่อให้มั่นใจว่า ผู้ให้บริการภายนอกจะสามารถให้บริการได้อย่างต่อเนื่อง และสามารถตอบสนองความต้องการของสถาบันการเงินได้ โดยควรคํานึงถึงปัจจัยที่สําคัญ เช่น ความรู้ในเทคโนโลยี ประสบการณ์ระบบการบริหารงานภายใน ศักยภาพและความสามารถในการให้บริการทั้งในภาวะปกติและไม่ปกติโดยเฉพาะอย่างยิ่งกรณีที่ผู้ให้บริการภายนอกนั้นมีการให้บริการแก่ผู้ใช้บริการหลายราย (concentration risk)
(3.2) สถาบันการเงินต้องมีการจัดทําสัญญาการใช้บริการจากผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศเป็นลายลักษณ์อักษร หรือมีการจัดทําข้อตกลงการให้บริการ (service level agreement) เป็นลายลักษณ์อักษรกรณีที่ผู้ให้บริการภายนอกเป็นบริษัทในกลุ่มธุรกิจเดียวกันและต้องระบุบทบาท หน้าที่ ความรับผิดชอบ เงื่อนไขการให้บริการของผู้ให้บริการภายนอก และความรับผิดต่อความเสียหายอย่างใด ๆ ในกรณีที่ผู้ให้บริการภายนอกไม่ปฏิบัติตามเงื่อนไขในการให้บริการ ไว้ในสัญญาหรือข้อตกลงให้บริการให้ชัดเจน ส่วนเนื้อหาของสัญญาและข้อตกลงการให้บริการควรครอบคลุมประเด็นสําคัญเช่น ขอบเขตงานเทคโนโลยีสารสนเทศที่ใช้บริการและเงื่อนไขในการให้บริการของผู้ให้บริการภายนอก มาตรฐานของการปฏิบัติงานขั้นต่ําที่ต้องการจากผู้ให้บริการภายนอก (เช่น มาตรฐานด้านการรักษาความปลอดภัยและความลับของข้อมูล ความถูกต้องเชื่อถือได้ของระบบงานและข้อมูล และความพร้อมใช้ของงานเทคโนโลยีสารสนเทศที่ใช้บริการ) ระบบการควบคุมภายในของผู้ให้บริการภายนอก การจัดทําแผนฉุกเฉินสําหรับการให้บริการของผู้ให้บริการภายนอกที่ควรสอดคล้องกับแผนฉุกเฉินของสถาบันการเงิน การรายงานผลการปฏิบัติงานของผู้ให้บริการภายนอกซึ่งครอบคลุมถึงการรายงานปัญหาหรือเหตุการณ์ผิดปกติที่เกิดจากการให้บริการ ความรับผิดชอบของสถาบันการเงินและผู้ให้บริการภายนอก ภาระผูกพันในกรณีที่เกิดปัญหาในการให้บริการ เงื่อนไขหรือแนวทางในการเปลี่ยนแปลงหรือยกเลิกสัญญา รวมถึงสิทธิของสถาบันการเงินผู้ตรวจสอบภายใน ผู้ตรวจสอบภายนอก หรือธนาคารแห่งประเทศไทย ในการเรียกดูข้อมูลที่เกี่ยวข้องและการตรวจสอบการดําเนินงานและการควบคุมภายในของผู้ให้บริการภายนอกทั้งในกรณีที่ผู้ให้บริการภายนอกประกอบธุรกิจในประเทศและต่างประเทศ นอกจากนี้ สถาบันการเงินต้องมีการเก็บสัญญาหรือข้อตกลงการให้บริการไว้ที่สถาบันการเงินเพื่อให้พร้อมสําหรับการตรวจสอบของธนาคารแห่งประเทศไทย และเมื่อธนาคารแห่งประเทศไทยร้องขอ
ทั้งนี้ ในกรณีที่ผู้ให้บริการภายนอกประกอบธุรกิจในต่างประเทศและหน่วยงานกํากับดูแลในประเทศนั้นมีข้อจํากัดเกี่ยวกับการเข้าตรวจสอบการดําเนินงานของผู้ให้บริการภายนอกดังกล่าว หรือมีข้อกฎหมาย หรือหลักเกณฑ์การกํากับดูแลที่แตกต่างจากที่ธนาคารแห่งประเทศไทยกําหนด ซึ่งทําให้สถาบันการเงินต้องปฏิบัติตามกฎหมาย ข้อกําหนด หรือหลักเกณฑ์การกํากับดูแลของหน่วยงานกํากับดูแลในประเทศนั้นด้วย ธนาคารแห่งประเทศไทยขอสงวนสิทธิในการพิจารณากําหนดหลักเกณฑ์การกํากับดูแล และ/หรือ เงื่อนไขอื่น เป็นรายกรณีตามความเหมาะสม
(4) การรักษาความปลอดภัยและความลับของระบบงานและข้อมูล (security)
(4.1) สถาบันการเงินต้องมั่นใจว่า ผู้ให้บริการภายนอกมีแนวทางหรือมาตรฐานในการรักษาความปลอดภัยและความลับของระบบงานและข้อมูล ทั้งข้อมูลของผู้ใช้บริการของสถาบันการเงินและข้อมูลของสถาบันการเงิน โดยควรมีความสอดคล้องกับขนาด ปริมาณธุรกรรมความซับซ้อนของงานเทคโนโลยีสารสนเทศที่ให้บริการ และความเสี่ยงที่เกี่ยวเนื่องกับการให้บริการ ทั้งนี้ สถาบันการเงินอาจกําหนดให้ผู้ให้บริการภายนอกมีการประยุกต์ใช้แนวทางการควบคุมด้านงานเทคโนโลยีสารสนเทศที่ดี เป็นมาตรฐานสากล และได้รับการยอมรับโดยทั่วไป ตามความเหมาะสม
(4.2) สถาบันการเงินต้องจัดให้มีกระบวนการ ขั้นตอน หรือ ระบบในการติดตาม ประเมินผล และตรวจสอบผู้ให้บริการภายนอก เพื่อให้มั่นใจว่า ผู้ให้บริการภายนอกสามารถดําเนินการได้ตามแนวทางหรือมาตรฐานด้านการรักษาความปลอดภัยและความลับของระบบงานและข้อมูลที่ได้ตกลงไว้กับสถาบันการเงิน
(4.3) สถาบันการเงินต้องจัดให้มีกระบวนการ ขั้นตอน หรือ ระบบในการดําเนินการนําข้อมูลของผู้ใช้บริการของสถาบันการเงินและข้อมูลของสถาบันการเงินทั้งหมดกลับมาจากผู้ให้บริการภายนอก และสถาบันการเงินต้องมั่นใจว่า ผู้ให้บริการภายนอกมีกระบวนการ ขั้นตอน หรือ ระบบในการดําเนินการทําลายข้อมูลของผู้ใช้บริการของสถาบันการเงินและข้อมูลของสถาบันการเงินทั้งหมดเมื่อมีการสิ้นสุดหรือยกเลิกการใช้บริการจากผู้ให้บริการภายนอก
(5) ความถูกต้องเชื่อถือได้ของระบบงานและข้อมูล (integrity)
(5.1) สถาบันการเงินต้องมั่นใจว่า ผู้ให้บริการภายนอกมีแนวทางหรือมาตรฐานในการรักษาความถูกต้องเชื่อถือได้ของระบบงานและข้อมูล ซึ่งครอบคลุมทั้งระบบประมวลผลข้อมูลที่อยู่ระหว่างการรับส่ง และระบบการจัดเก็บข้อมูล รวมทั้ง มีการดําเนินการให้งานเทคโนโลยีสารสนเทศที่ให้บริการสามารถทํางานได้อย่างมีประสิทธิภาพและถูกต้องเชื่อถือได้ โดยควรมีความสอดคล้องกับขนาด ปริมาณธุรกรรม ความซับซ้อนของงานเทคโนโลยีสารสนเทศที่ให้บริการ และความเสี่ยงที่เกี่ยวเนื่องกับการให้บริการ ทั้งนี้ สถาบันการเงินอาจกําหนดให้ผู้ให้บริการภายนอกมีการประยุกต์ใช้แนวทางการควบคุมด้านงานเทคโนโลยีสารสนเทศที่ดี เป็นมาตรฐานสากล และได้รับการยอมรับโดยทั่วไปตามความเหมาะสม
(5.2) สถาบันการเงินต้องจัดให้มีกระบวนการ ขั้นตอน หรือ ระบบในการติดตาม ประเมินผล และตรวจสอบผู้ให้บริการภายนอก เพื่อให้มั่นใจว่า ผู้ให้บริการภายนอกสามารถดําเนินการได้ตามแนวทางหรือมาตรฐานด้านความถูกต้องเชื่อถือได้ของระบบงานและข้อมูลที่ได้ตกลงไว้กับสถาบันการเงิน
(6) ความพร้อมใช้ของงานเทคโนโลยีสารสนเทศที่ใช้บริการ (availability)
(6.1) สถาบันการเงินต้องมั่นใจว่า ผู้ให้บริการภายนอกมีแนวทางหรือมาตรฐานในการทําให้งานเทคโนโลยีสารสนเทศที่ให้บริการแก่สถาบันการเงินพร้อมในการใช้งานอย่างต่อเนื่องทั้งในภาวะปกติและไม่ปกติ โดยควรมีความสอดคล้องกับขนาด ปริมาณธุรกรรม ความซับซ้อนของงานเทคโนโลยีสารสนเทศที่ให้บริการ และความเสี่ยงที่เกี่ยวเนื่องกับการให้บริการ ทั้งนี้ สถาบันการเงินอาจกําหนดให้ผู้ให้บริการภายนอกมีการประยุกต์ใช้แนวทางการควบคุมด้านงานเทคโนโลยีสารสนเทศที่ดีเป็นมาตรฐานสากล และได้รับการยอมรับโดยทั่วไป ตามความเหมาะสม
(6.2) สถาบันการเงินต้องจัดให้มีกระบวนการ ขั้นตอน หรือ ระบบในการติดตาม ประเมินผล และตรวจสอบผู้ให้บริการภายนอก เพื่อให้มั่นใจว่า ผู้ให้บริการภายนอกสามารถดําเนินการได้ตามแนวทางหรือมาตรฐานด้านความพร้อมใช้ของงานเทคโนโลยีสารสนเทศที่ให้บริการที่ได้ตกลงไว้กับสถาบันการเงิน
(7) การคุ้มครองผู้ใช้บริการของสถาบันการเงิน (consumer protection)
(7.1) สถาบันการเงินต้องมั่นใจว่า ผู้ให้บริการภายนอกมีแนวทางหรือมาตรฐานในการดูแลและป้องกันข้อมูลสําคัญของผู้ใช้บริการของสถาบันการเงิน โดยควรสอดคล้องกับกฎหมาย ข้อบังคับที่เกี่ยวข้องของทางการ และมาตรฐานสากลที่เกี่ยวข้องกับงานเทคโนโลยีสารสนเทศนั้น
(7.2) สถาบันการเงินต้องมั่นใจว่า ผู้ให้บริการภายนอกจะไม่นําข้อมูลของผู้ใช้บริการของสถาบันการเงินหรือข้อมูลของสถาบันการเงินไปเปิดเผยให้กับบุคคลอื่นใด โดยไม่ได้รับความยินยอมจากสถาบันการเงิน เว้นแต่กรณีที่เป็นไปตามกฎหมายหรือข้อบังคับของทางการที่เกี่ยวข้อง
(7.3) สถาบันการเงินต้องจัดให้มีกระบวนการ ขั้นตอน หรือ ระบบในการติดตาม ประเมินผล และตรวจสอบผู้ให้บริการภายนอก เพื่อให้มั่นใจว่า ผู้ให้บริการภายนอกสามารถดําเนินการได้ตามแนวทางหรือมาตรฐานด้านการคุ้มครองผู้ใช้บริการของสถาบันการเงินที่ได้ตกลงไว้กับสถาบันการเงิน
(7.4) สถาบันการเงินต้องจัดให้มีระบบการดูแลและจัดการเรื่องร้องเรียนให้แก่ผู้ใช้บริการของสถาบันการเงินอย่างเพียงพอและเหมาะสม และมีการรายงานการจัดการเรื่องร้องเรียนดังกล่าวให้คณะกรรมการที่ได้รับมอบหมายหรือผู้บริหารระดับสูงที่ได้รับมอบหมายทราบในระยะเวลาที่เหมาะสม
5.5.2 หลักเกณฑ์การควบคุมเฉพาะสําหรับงานเทคโนโลยีสารสนเทศที่มีความสําคัญอย่างยิ่ง (specific control)
สถาบันการเงินที่มีการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศประเภทที่มีความสําคัญอย่างยิ่งต่อสถาบันการเงิน เช่น การใช้บริการระบบประมวลผลกลาง (core banking) ศูนย์คอมพิวเตอร์ (data center) และระบบเครือข่ายสื่อสาร (network) นอกจากจะต้องปฏิบัติตามหลักเกณฑ์การควบคุมทั่วไปตามข้อ 5.5.1 แล้ว สถาบันการเงินยังต้องจัดให้มีการกํากับดูแลเพิ่มเติมที่สอดคล้องกับแนวทางการควบคุมด้านงานเทคโนโลยีสารสนเทศที่ดี เป็นมาตรฐานสากล และได้รับการยอมรับโดยทั่วไป โดยให้พิจารณาตามความเหมาะสมกับขนาด ปริมาณธุรกรรม ความซับซ้อนของงานเทคโนโลยีสารสนเทศที่ใช้บริการ และความเสี่ยงที่เกี่ยวเนื่องกับการใช้บริการ รวมทั้ง ต้องมีระบบการกํากับดูแลที่เหมาะสมภายใต้การกํากับดูแลของคณะกรรมการของสถาบันการเงิน (board oversight) ดังนี้
(1) การกํากับดูแลเพิ่มเติม (specific risk control)
(1.1) สถาบันการเงินต้องมั่นใจว่า ผู้ให้บริการภายนอกมีกระบวนการขั้นตอน การประเมิน และการควบคุมความเสี่ยง อย่างน้อยตามกรอบหลักการด้านเทคโนโลยีสารสนเทศที่สําคัญ 3 ประการ คือ การรักษาความปลอดภัยและความลับของระบบงานและข้อมูล (security) ความถูกต้องเชื่อถือได้ของระบบงานและข้อมูล (integrity) และความพร้อมใช้ของงานเทคโนโลยีสารสนเทศที่ใช้บริการ (availability) ที่สอดคล้องตามหลักมาตรฐานสากลที่เกี่ยวข้อง ซึ่งอาจพิจารณาประยุกต์ให้เหมาะสมกับขนาด ปริมาณธุรกรรม ความซับซ้อนของงานเทคโนโลยีสารสนเทศที่ให้บริการ และความเสี่ยงที่เกี่ยวเนื่องกับการให้บริการ เช่น
(1.1.1) กรณีการรักษาความปลอดภัยของระบบประมวลผลกลาง (core banking) ผู้ให้บริการภายนอกอาจพิจารณานํามาตรฐานของ International Organization for Standardization (ISO ซึ่งปัจจุบัน คือ ISO-27001) มาใช้เป็นแนวทางในการควบคุมความเสี่ยงอย่างเหมาะสม
(1.1.2) กรณีการประเมินและควบคุมความเสี่ยงของศูนย์คอมพิวเตอร์ (da ta center) ผู้ให้บริการภายนอกอาจพิจารณาประยุกต์ใช้มาตรฐานของ Telecommunications Industry Association (TIA ซึ่งปัจจุบัน คือ TIA-942) ตามระดับ (level) ที่เหมาะสม
(1.1.3) กรณีการรักษาความปลอดภัยของระบบเทคโนโลยีสารสนเทศที่เกี่ยวข้องกับ internet banking ผู้ให้บริการภายนอกอาจพิจารณานํามาตรฐาน ISO ที่เกี่ยวข้องหรือมาตรฐานสากลอื่นที่ดีมาใช้เป็นแนวทางในการรักษาความปลอดภัยอย่างเหมาะสม
(1.2) สถาบันการเงินต้องจัดให้มีกระบวนการ ขั้นตอน หรือ ระบบในการติดตามประเมินผล และตรวจสอบผู้ให้บริการภายนอก เพื่อให้มั่นใจว่า ผู้ให้บริการภายนอกสามารถดําเนินการได้ตามแนวทางหรือมาตรฐานสากลที่เกี่ยวข้องที่ได้ตกลงไว้กับสถาบันการเงิน และต้องจัดให้มีการทดสอบเพื่อให้มั่นใจว่า การใช้บริการจากบุคคลภายนอกด้านงานเทคโนโลยีสารสนเทศประเภทที่มีความสําคัญอย่างยิ่งต่อสถาบันการเงิน จะไม่ก่อให้เกิดความเสี่ยงตามกรอบหลักการด้านเทคโนโลยีสารสนเทศที่สําคัญ 3 ประการ คือ การรักษาความปลอดภัยและความลับของระบบงานและข้อมูล (security) ความถูกต้องเชื่อถือได้ของระบบงานและข้อมูล (integrity) และความพร้อมใช้ของงานเทคโนโลยีสารสนเทศที่ใช้บริการ (availability)! จนนํามาสู่ช่องโหว่ที่ร้ายแรงต่อการทุจริต และ/หรือ ภัยคุกคามด้านเทคโนโลยีสารสนเทศทั้งจากภายในและภายนอก ซึ่งอาจส่งผลกระทบต่อธุรกิจอย่างร้ายแรง หรือก่อให้เกิดผลกระทบในวงกว้างต่อการให้บริการทางการเงินที่สําคัญของสถาบันการเงิน เช่น ต้องจัดให้มีการทดสอบแผนฉุกเฉินด้านงานเทคโนโลยีสารสนเทศ และมีการทดสอบระบบการรักษาความปลอดภัยเชิงลึก (penetration test) สําหรับการใช้บริการระบบ internet banking
(2) ระบบการกํากับดูแลที่เหมาะสม (oversight)
(2.1) สถาบันการเงินต้องนําเสนอรายละเอียดของการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศประเภทที่มีความสําคัญอย่างยิ่งต่อสถาบันการเงินพร้อมผลการประเมินความเสี่ยงโดยละเอียดให้กับคณะกรรมการของสถาบันการเงินหรือคณะกรรมการที่ได้รับมอบหมาย เพื่อพิจารณาให้ความเห็นชอบในการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศประเภทที่มีความสําคัญอย่างยิ่งต่อสถาบันการเงินทั้งก่อนเริ่มใช้บริการ เมื่อมีการเปลี่ยนแปลงการใช้บริการอย่างมีนัยสําคัญตามที่สถาบันการเงินกําหนด หรือมีการต่ออายุสัญญา
(2.2) สถาบันการเงินต้องมีการรายงานให้คณะกรรมการของสถาบันการเงินหรือคณะกรรมการที่ได้รับมอบหมายทราบในระยะเวลาที่เหมาะสมเกี่ยวกับ ผลการประเมินประสิทธิภาพ การติดตาม และการตรวจสอบการดําเนินการของผู้ให้บริการภายนอก โดยอาจพิจารณาตามกรอบหลักการด้านเทคโนโลยีสารสนเทศที่สําคัญ 3 ประการ คือ การรักษาความปลอดภัยและความลับของระบบงานและข้อมูล (security) ความถูกต้องเชื่อถือได้ของระบบงานและข้อมูล (integrity) และความพร้อมใช้ของงานเทคโนโลยีสารสนเทศที่ใช้บริการ (availability) รวมถึง ปัญหาหรือเหตุการณ์ผิดปกติและเรื่องร้องเรียนที่เกิดขึ้นจากการใช้บริการ
5.6 แนวปฏิบัติสําหรับการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ
ธนาคารแห่งประเทศไทยกําหนดแนวปฏิบัติสําหรับการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ ตามประเภทของการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ ดังนี้
5.6.1 การใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศประเภทที่มีความสําคัญอย่างยิ่งต่อสถาบันการเงิน (Critical IT Outsourcing)
(1) ในกรณีที่เป็นการใช้บริการจากผู้ให้บริการภายนอกที่เป็นบริษัทในกลุ่มธุรกิจเดียวกัน ให้สถาบันการเงินสามารถดําเนินการได้โดยไม่ต้องแจ้งให้ธนาคารแห่งประเทศไทยทราบก่อนเริ่มใช้บริการหรือก่อนเปลี่ยนแปลงการใช้บริการ
(2) ในกรณีที่เป็นการใช้บริการจากผู้ให้บริการภายนอกที่ไม่เป็นบริษัทในกลุ่มธุรกิจเดียวกัน ให้สถาบันการเงินแจ้งให้ ฝ่ายกํากับสถาบันการเงิน สายกํากับสถาบันการเงินธนาคารแห่งประเทศไทย ทราบล่วงหน้าอย่างน้อย 30 วัน ก่อนเริ่มใช้บริการหรือก่อนเปลี่ยนแปลงการใช้บริการ โดยให้ระบุถึงเหตุผล รายละเอียดการใช้บริการ และผลการประเมินความเสี่ยงที่เกี่ยวเนื่องกับการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศดังกล่าว ที่ได้รับความเห็นชอบจากคณะกรรมการของสถาบันการเงินหรือคณะกรรมการที่ได้รับมอบหมายแล้ว
5.6.2 การใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศประเภทอื่น (Other IT Outsourcing) ให้สถาบันการเงินสามารถดําเนินการได้โดยไม่ต้องแจ้งให้ธนาคารแห่งประเทศไทยทราบก่อนเริ่มใช้บริการหรือก่อนเปลี่ยนแปลงการใช้บริการ
5.7 การรายงานและการตรวจสอบ
การใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศของสถาบันการเงินอาจก่อให้เกิดผลกระทบต่อทั้งผู้ใช้บริการของสถาบันการเงิน สถาบันการเงิน ระบบการเงิน และธุรกิจอื่นดังนั้น สถาบันการเงินต้องมีการกํากับดูแลผู้ให้บริการภายนอกอย่างใกล้ชิดและต้องดําเนินการให้ธนาคารแห่งประเทศไทย ผู้ตรวจสอบภายนอก หรือหน่วยงานกํากับดูแลน ได้รับทราบข้อมูลที่เกี่ยวข้องกับการใช้บริการและสามารถตรวจสอบผู้ให้บริการภายนอกดังกล่าวได้ ดังนี้
5.7.1 การรายงานต่อธนาคารแห่งประเทศไทย
(1) สถาบันการเงินต้องจัดทํารายงานการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศทุกประเภท ให้มีความถูกต้องและเป็นปัจจุบัน และส่งมายัง ฝ่ายตรวจสอบความเสี่ยงและเทคโนโลยีสารสนเทศ สายกํากับสถาบันการเงิน ธนาคารแห่งประเทศไทย เป็นประจําทุกปี ภายใน 30 วันนับจากวันที่ 31 ธันวาคม และเมื่อธนาคารแห่งประเทศไทยร้องขอ โดยต้องมีเนื้อหาอย่างน้อย ดังนี้
(1.1) ชื่องานเทคโนโลยีสารสนเทศและขอบเขตในการใช้บริการจากผู้ให้บริการภายนอก
(1.2) ชื่อผู้ให้บริการภายนอก
(1.3) วันที่เริ่มใช้บริการและวันที่สิ้นสุดสัญญาหรือข้อตกลงการให้บริการ
(1.4) ปัญหาและอุปสรรคจากการใช้บริการจากผู้ให้บริการภายนอก
(1.5) เอกสารการรับรองที่เกี่ยวข้องกับงานเทคโนโลยีสารสนเทศที่ให้บริการ (certificate) ของผู้ให้บริการภายนอก ที่ตั้งของศูนย์คอมพิวเตอร์หลักและศูนย์คอมพิวเตอร์สํารองที่รองรับงานเทคโนโลยีสารสนเทศที่ผู้ให้บริการภายนอกให้บริการแก่สถาบันการเงิน ทั้งนี้ เฉพาะกรณีที่เกี่ยวข้องกับงานเทคโนโลยีสารสนเทศที่สถาบันการเงินใช้บริการ
(2) สถาบันการเงินต้องจัดทํารายงานปัญหาหรือเหตุการณ์ผิดปกติที่เกิดขึ้นจากการใช้บริการจากผู้ให้บริการภายนอกที่มีผลกระทบต่อการให้บริการของสถาบันการเงิน อันเป็นเหตุให้สถาบันการเงินไม่สามารถให้บริการการเงินพื้นฐานแก่ผู้ใช้บริการของสถาบันการเงินได้ในวงกว้าง พร้อมระบุแนวทางการแก้ไขปัญหาหรือเหตุการณ์ผิดปกติดังกล่าว และส่งมายัง ฝ่ายตรวจสอบความเสี่ยงและเทคโนโลยีสารสนเทศ สายกํากับสถาบันการเงิน ธนาคารแห่งประเทศไทย เพื่อทราบเมื่อมีการเกิดปัญหาหรือเหตุการณ์ผิดปกติขึ้นโดยเร็ว ทั้งนี้ ไม่ควรเกิน 24 ชั่วโมง
5.7.2 การตรวจสอบผู้ให้บริการภายนอกของสถาบันการเงิน
สถาบันการเงินต้องจัดให้มีการตรวจสอบผู้ให้บริการภายนอกอย่างสม่ําเสมอโดยผู้ตรวจสอบภายในหรือผู้ตรวจสอบภายนอก และจัดทํารายงานผลการตรวจสอบผู้ให้บริการภายนอกดังกล่าวและเก็บไว้ที่สถาบันการเงิน พร้อมไว้สําหรับการตรวจสอบและเมื่อร้องขอโดยธนาคารแห่งประเทศไทย
ในกรณีที่สถาบันการเงินใช้บริการจากผู้ให้บริการภายนอกที่เป็นบริษัทในกลุ่มธุรกิจเดียวกันที่อยู่ในต่างประเทศ สถาบันการเงินสามารถใช้ผลการตรวจสอบของบริษัทแม่ที่ได้รับการรับรองจากผู้ตรวจสอบภายในหรือผู้ตรวจสอบภายนอกที่มีความเป็นอิสระ และรับทราบโดยคณะกรรมการของสถาบันการเงินหรือคณะกรรมการที่ได้รับมอบหมายแล้วได้
5.7.3 การตรวจสอบโดยธนาคารแห่งประเทศไทย ผู้ตรวจสอบภายนอก หรือหน่วยงานกํากับดูแลอื่น
สถาบันการเงินต้องดําเนินการให้ธนาคารแห่งประเทศไทย ผู้ตรวจสอบภายนอกหรือหน่วยงานกํากับดูแลอื่น สามารถเรียกดูข้อมูลที่เกี่ยวข้องกับการให้บริการของผู้ให้บริการภายนอกและเข้าตรวจสอบผู้ให้บริการภายนอกดังกล่าวได้
5.8 อํานาจในการพิจารณา สั่งการ เพิกถอน หรือผ่อนผัน
5.8.1 ธนาคารแห่งประเทศไทยอาจพิจารณากําหนดหลักเกณฑ์อื่นเพิ่มเติมได้ตามความเสี่ยงสําคัญที่อาจเกิดขึ้น โดยจะพิจารณาความเหมาะสมร่วมกับสถาบันการเงินเป็นรายกรณี
5.8.2 ธนาคารแห่งประเทศไทยอาจพิจารณาสั่งการ และ/หรือ กําหนดเงื่อนไขให้สถาบันการเงินถือปฏิบัติตามความเหมาะสมเป็นรายกรณี หรือสั่งเพิกถอนการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ ทั้งก่อนและหลังจากที่สถาบันการเงินใช้บริการจากผู้ให้บริการภายนอกหากพบว่า การใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศดังกล่าวไม่สอดคล้องกับหลักเกณฑ์หรือเงื่อนไขที่ธนาคารแห่งประเทศไทยกําหนด
5.8.3 ธนาคารแห่งประเทศไทยอาจพิจารณาผ่อนผันเป็นรายกรณี ในกรณีที่สถาบันการเงินไม่สามารถปฏิบัติตามหลักเกณฑ์หรือเงื่อนไขที่กําหนด โดยให้สถาบันการเงินที่มีความจําเป็นดังกล่าวหารือ พร้อมทั้งแสดงเหตุผลและความจําเป็นมาที่ ฝ่ายกํากับสถาบันการเงิน สายกํากับสถาบันการเงินธนาคารแห่งประเทศไทย
5.9 บทเฉพาะกาล
5.9.1 สถาบันการเงินที่ได้แจ้งการใช้บริการจากผู้ให้บริการภายนอกที่ไม่เป็นบริษัทในกลุ่มธุรกิจเดียวกันด้านงานเทคโนโลยีสารสนเทศประเภทที่มีความสําคัญอย่างยิ่งต่อสถาบันการเงินต่อธนาคารแห่งประเทศไทยแล้วก่อนประกาศฉบับนี้มีผลใช้บังคับ ให้ดําเนินการต่อไปได้โดยไม่ต้องแจ้งธนาคารแห่งประเทศไทยอีก จนกว่าจะมีการเปลี่ยนแปลงการใช้บริการ หรือต่ออายุหรือจัดทําสัญญาหรือข้อตกลงการใช้บริการใหม่
5.9.2 สถาบันการเงินต้องถือปฏิบัติตามหลักเกณฑ์ที่กําหนดในประกาศฉบับนี้และเงื่อนไขที่ธนาคารแห่งประเทศไทยกําหนดเพิ่มเติมในกรณีที่สถาบันการเงินได้แจ้งการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศมายังธนาคารแห่งประเทศไทยแล้ว เท่าที่ไม่ขัดกับหลักเกณฑ์ที่กําหนดในประกาศฉบับนี้ ทั้งนี้
(1) สําหรับสัญญาหรือข้อตกลงการให้บริการเดิมที่ยังมีผลบังคับใช้อยู่ในวันที่ประกาศฉบับนี้มีผลบังคับใช้ ให้สถาบันการเงินดําเนินการปรับปรุงให้สามารถปฏิบัติตามหลักเกณฑ์ที่กําหนดในประกาศฉบับนี้ภายในเวลา 1 ปี นับจากวันที่ประกาศฉบับนี้มีผลบังคับใช้
(2) สําหรับกรณีที่มีการต่ออายุสัญญาหรือข้อตกลงการใช้บริการซึ่งรวมถึงกรณีการต่ออายุอัตโนมัติ หรือมีการเปลี่ยนแปลงหรือแก้ไขสัญญาหรือข้อตกลงการใช้บริการหรือมีการทําสัญญาหรือข้อตกลงการใช้บริการใหม่ ให้สถาบันการเงินปฏิบัติตามหลักเกณฑ์ที่กําหนดในประกาศฉบับนี้ นับจากวันที่ประกาศฉบับนี้มีผลบังคับใช้
หากสถาบันการเงินใดไม่สามารถปฏิบัติตามหลักเกณฑ์ที่กําหนดในประกาศฉบับนี้หรือเงื่อนไขที่ธนาคารแห่งประเทศไทยกําหนดเพิ่มเติมได้ภายในระยะเวลาที่กําหนด ให้สถาบันการเงินหารือ พร้อมทั้งแสดงเหตุผลและความจําเป็นมาที่ ฝ่ายกํากับสถาบันการเงิน สายกํากับสถาบันการเงินธนาคารแห่งประเทศไทย เพื่อพิจารณาเป็นรายกรณี
อื่นๆ - 6.วันเริ่มต้นบังคับใช้
ประกาศนี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป
ผู้มีอํานาจลงนาม - ประกาศ ณ วันที่ 14 กรกฎาคม 2557
(นายประสาร ไตรรัตน์วรกุล)
ผู้ว่าการ
ธนาคารแห่งประเทศไทย