ประกาศธนาคารแห่งประเทศไทย
ที่ สนส. 27/2551
เรื่อง การอนุญาตให้บริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์ให้บริการการเงินทางอิเล็กทรอนิกส์
อื่นๆ - 1. เหตุผลในการออกประกาศ
บริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์ซึ่งเป็นผู้ให้บริการทางการเงินมีการนําเทคโนโลยีสารสนเทศเข้ามาใช้ในการดําเนินงานอย่างต่อเนื่อง เพื่อพัฒนาศักยภาพของบริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์ให้มีประสิทธิภาพและรวดเร็วในการตอบสนองความต้องการของผู้ใช้บริการที่เปลี่ยนแปลงไป ซึ่งการเลือกใช้เทคโนโลยีที่เหมาะสมจะทําให้บริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์สามารถลดต้นทุนและเพิ่มประสิทธิภาพการทํางานได้จริง เป็นที่น่าเชื่อถือและเป็นการพิทักษ์รักษาประโยชน์ของประชาชนผู้ใช้บริการ
การใช้เทคโนโลยีสารสนเทศ แม้จะช่วยให้บริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์ลดต้นทุนการให้บริการ เพิ่มประสิทธิภาพ เกิดความรวดเร็วและสร้างความสะดวกสบายให้กับผู้ใช้บริการก็จริง แต่การใช้เทคโนโลยีดังกล่าวก็ก่อให้เกิดความเสี่ยงเช่นกัน ดังนั้น การควบคุมดูแลรักษาความปลอดภัยจึงเป็นสิ่งสําคัญ เนื่องจากเมื่อเกิดความเสียหายจากระบบเทคโนโลยีดังกล่าวอาจก่อให้เกิดความเสียหายแก่บริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์เองทั้งในด้านจํานวนเงินและชื่อเสียงที่ไม่สามารถประเมินค่าได้ รวมถึงการฉ้อโกงรูปแบบใหม่ ๆ ที่เมื่อเกิดขึ้นแล้วจะเป็นไปอย่างรวดเร็วและเกิดความเสียหายอย่างมากและมีผลกระทบในวงกว้างต่อระบบการเงินของประเทศได้
ธนาคารแห่งประเทศไทยตระหนักถึงความสําคัญดังกล่าว จึงออกหลักเกณฑ์ให้บริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์ผู้ใช้เทคโนโลยีสารสนเทศในการให้บริการการเงินถือปฏิบัติตามหลักเกณฑ์ และแนวปฏิบัติต่าง ๆ ที่เหมาะสมกับการให้บริการการเงินทางอิเล็กทรอนิกส์
การออกประกาศฉบับนี้ เพื่ออ้างอิงอํานาจตามกฎหมายให้สอดคล้องกับพระราชบัญญัติธุรกิจสถาบันการเงิน พ.ศ. 2551 และเป็นการรวบรวมประกาศกระทรวงการคลังที่เกี่ยวข้องมาประมวลให้อยู่ในฉบับเดียวกัน โดยให้ขอบเขตธุรกิจที่บริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์ได้รับอนุญาตยังคงเป็นไปตามขอบเขตที่ได้รับอนุญาตอยู่เดิม
เนื่องจากพระราชบัญญัติธุรกิจสถาบันการเงิน พ.ศ. 2551 มีผลยกเลิกกฎหมายว่าด้วยการประกอบธุรกิจเงินทุน ธุรกิจหลักทรัพย์และธุรกิจเครดิตฟองซิเอร์ ดังนั้น กฎกระทรวง ประกาศต่าง ๆ ที่ออกโดยอาศัยอํานาจตามกฎหมายดังกล่าวจึงสิ้นผลบังคับใช้เมื่อธนาคารแห่งประเทศไทยได้ออกประกาศฉบับนี้
อื่นๆ - 2. อํานาจตามกฎหมาย
อาศัยอํานาจตามความในมาตรา 36 แห่งพระราชบัญญัติธุรกิจสถาบันการเงิน พ.ศ. 2551 ธนาคารแห่งประเทศไทยออกหลักเกณฑ์เกี่ยวกับการให้บริการการเงินทางอิเล็กทรอนิกส์ตามข้อกําหนดในประกาศนี้
อื่นๆ - 3. ขอบเขตการบังคับใช้
ประกาศฉบับนี้ให้ใช้บังคับกับบริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์ตามกฎหมายว่าด้วยธุรกิจสถาบันการเงินทุกแห่ง
อื่นๆ - 4. ประกาศและหนังสือเวียนที่ยกเลิก ตามเอกสารแนบ 1
อื่นๆ - 5. เนื้อหา
5.1 รูปแบบธุรกรรมการให้บริการทางการเงิน
การนําเทคโนโลยีใหม่ ๆ มาใช้เพื่อช่วยในการให้บริการการเงินนั้น บริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์จะต้องขออนุญาตตามที่ธนาคารแห่งประเทศไทยกําหนดก่อนการให้บริการ ทั้งในส่วนของเทคโนโลยีใหม่ที่ยังไม่เคยนํามาใช้ และการพัฒนาเทคโนโลยีเดิมเพื่อเพิ่มขีดความสามารถในการให้บริการทางการเงิน
ปัจจุบันรูปแบบการให้บริการทางการเงินที่ธนาคารแห่งประเทศไทยอนุญาตให้บริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์ดําเนินการได้ตามหลักเกณฑ์ที่ธนาการแห่งประเทศไทยกําหนด ได้แก่ การใช้บริการครือข่ายอินเทอร์เน็ต (Internet) ในการประกอบธุรกิจของบริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์ ตามเอกสารแนบ 2 ซึ่งได้ให้บริการหรือทําธุรกรรมผ่านเครือข่ายดังกล่าว ทั้งนี้ บริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์ต้องได้รับอนุญาตจากธนาคารแห่งประเทศไทยก่อนการดําเนินการ สําหรับบริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์ที่ได้รับอนุญาตจากธนาคารแห่งประเทศไทยอยู่เดิมแล้ว ให้ทําได้ต่อไปตามที่ได้รับอนุญาต
5.2 การรักษาความปลอดภัย
5.2.1 การให้บริการทางการเงินผ่านสื่ออิเล็กทรอนิกส์ มีความเสี่ยงที่สําคัญคือ ความเสี่ยงด้านความปลอดภัย (Security Risk) ของข้อมูล ระบบ และเครือข่ายที่ใช้ในการให้บริการบริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์จําเป็นต้องมีนโยบายและกระบวนการรักษาความปลอดภัยที่มีประสิทธิภาพ เพื่อให้สามารถป้องกันระบบการให้บริการจากภัยคุกคาม การลักลอบเข้าถึงและการโจรกรรมข้อมูลทั้งของบริษัทเงินทุนหรือบริษัทเครดิตฟองซิเอร์เองเละลูกค้า ซึ่งเป็นสาเหตุของความเสียหายทางการเงิน ความเสียหายต่อชื่อเสียง และสามารถนําไปสู่การขาดความเชื่อมั่นต่อระบบการให้บริการของบริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์ โดยรวมได้
ธนาคารแห่งประเทศไทยจึงเห็นว่าบริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์ควรมีแนวทางในการกําหนดนโยบายและกระบวนการในการรักษาความปลอดภัยสําหรับการให้บริการการเงินทางอิเล็กทรอนิกส์ เพื่อให้บริการดังกล่าวมีความปลอดภัย เป็นที่น่าเชื่อถือ และเป็นการรักษาผลประโยชน์ของลูกค้าบริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์ ดังนั้น จึงได้ออกแนวปฏิบัติในการรักษาความปลอดภัยการให้บริการการเงินทางอิเล็กทรอนิกส์ เพื่อเป็นแนวทางสําหรับบริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์ ตามเอกสารแนบ 3
5.2.2 การจัดทําแผนฉุกเฉินด้านงานเทคโนโลยีสารสนเทศ เพื่อให้บริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์มีแนวทางในการกําหนดนโยบายและกระบวนการจัดทําแผนฉุกเฉินด้านงานเทคโนโลยีสารสนเทศที่มีประสิทธิภาพ เพื่อเตรียมรองรับเหตุการณ์และลดผลกระทบต่าง ๆที่อาจเกิดขึ้น รวมทั้งฟื้นฟูระบบเทคโนโลยีสารสนเทศของบริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์ให้กลับคืนสู่สภาพปกติได้ภายในเวลาที่เหมาะสม ซึ่งทําให้บริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์สามารถดําเนินธุรกิจได้อย่างต่อเนื่องหรือได้รับผลกระทบน้อยที่สุดหลังจากเกิดเหตุการณ์หยุดชะงัก อันเป็นการสร้างความเชื่อมั่นให้กับลูกค้าและผู้มีส่วนได้ส่วนเสียในการให้บริการของบริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์ ธนาคารแห่งประเทศไทยจึงได้ออกแนวปฏิบัติในการจัดทําแผนฉุกเฉินด้านงานเทคโนโลยีสารสนเทศ (แผนฉุกเฉินด้าน IT) ตามเอกสารแนบ 4
5.3 การควบคุมภายใน
การที่บริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์ได้นําคอมพิวเตอร์มาใช้ในการประมวลผลข้อมูลธุรกิจการเงินหรือใช้เป็นเครื่องมือสําคัญในการให้บริการทางการเงินใหม่ ๆ ซึ่งอาจก่อให้เกิดความเสี่ยงและความเสียหายแก่การดําเนินธุรกิจของบริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์ได้ หากมิได้มีการตระเตรียมในการควบคุมและตรวจสอบไว้ถ่วงหน้าอย่างมีประสิทธิภาพเพียงพอ ธนาคารแห่งประเทศไทยจึงกําหนดมาตรฐานขั้นต่ําในการควบคุมภายในและการรักษาความปลอดภัย เกี่ยวกับการประมวลผลข้อมูลด้วยระบบคอมพิวเตอร์เพื่อให้บริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์ได้ใช้เป็นแนวปฏิบัติและสามารถปรับใช้ให้เหมาะสมกับสภาพโครงสร้างธุรกิจและสิ่งแวดล้อม ตามมาตรฐานขั้นต่ําการควบคุมภายในและการรักษาความปลอดภัยเกี่ยวกับการประมวลข้อมูลด้วยระบบคอมพิวเตอร์ ตามเอกสารแนบ 5 อันจะช่วยป้องกันหรือบรรเทาความเสียหายที่อาจเกิดขึ้นจากการนําคอมพิวเตอร์มาใช้ในการประมวลผลข้อมูลให้มีความปลอดภัยและมั่นคงอย่างเพียงพอได้ตามสมควร
5.4 การดําเนินการอื่นๆ
การใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่น (IT Outsourcing) เนื่องด้วยสถาบันการเงินส่วนใหญ่ได้มีการใช้บริการดังกล่าวอย่างแพร่หลายมากขึ้นเพื่อลดต้นทุน เพิ่มขีดความสามารถในการดําเนินงานและพัฒนาศักยภาพการให้บริการให้ทันต่อพัฒนาการของเทคโนโลยีที่มีการเปลี่ยนแปลงอย่างรวดเร็ว ซึ่งบริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์ที่ใช้บริการดังกล่าว ขอให้ปฏิบัติตามประกาศธนาคารแห่งประเทศไทยว่าด้วยการใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่น (IT Outsourcing) เพื่อให้บริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์สามารถใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่นได้อย่างมีประสิทธิภาพ เป็นที่น่าเชื่อถือ และเป็นการพิทักษ์รักษาประโยชน์ของประชาชนผู้ใช้บริการ
5.5 รูปแบบการฉ้อโกงทางการเงินและแนวทางป้องกัน
เพื่อให้ลูกค้าผู้ใช้บริการมีความรู้เท่าทันต่อเหตุการณ์ มีความปลอดภัยเมื่อใช้บริการลดผลกระทบและความเสียหายต่อธุรกิจของบริษัทเงินทุนเละบริษัทเครดิตฟองซิเอร์ และเป็นการรักษาความเชื่อมั่นของลูกค้าในการใช้บริการการเงินทางอิเล็กทรอนิกส์ของบริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์
บริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์ที่ให้บริการธนาคารผ่านเครือข่ายอินเทอร์เน็ต ควรเพิ่มความระมัดระวังในการให้บริการจากการทุจริตผ่านเครือข่ายอินเทอร์เน็ตด้วยวิธี Phishing รวมทั้งจัดให้มีมาตรการป้องกันและแจ้งเตือนลูกค้าเกี่ยวกับการทุจริตที่อาจเกิดขึ้นตามเอกสารแนบ 6
5.6 กฎหมายที่เกี่ยวข้องกับการให้บริการการเงินทางอิเล็กทรอนิกส์
การบริหารความเสี่ยงทางด้านการให้บริการการเงินทางอิเล็กทรอนิกส์นั้น ยังมีกฎเกณฑ์ที่บริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์จําเป็นต้องศึกษาเพิ่มเติมเพื่อใช้ในการบริหารความเสี่ยงของตนและส่งเสริมให้การทําธุรกรรมด้านการธนาคารอิเล็กทรอนิกส์มีความปลอดภัยและเป็นมาตรฐานสากล เช่น พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 (ตามเอกสารแนบ 7) และBank for International Settlements (BIS) โดย Basle Committee on Banking Supervision ได้ดําเนินการจัดทําและเผยแพร่ Risk Management Principles for Electronic Banking (ตามเอกสารแนบ 8)
อื่นๆ - 6. วันเริ่มต้นบังคับใช้
ประกาศนี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป
ผู้มีอํานาจลงนาม - ประกาศ ณ วันที่ 3 สิงหาคม 2551
(นางธาริษา วัฒนเกส)
ผู้ว่าการ
ธนาคารแห่งประเทศไทย