Reconix LogoReconix
ประกาศ ธปท. ที่ 4/2568

การปฏิบัติตามแนวทางรักษาความมั่นคงปลอดภัย Mobile Banking ของ ธปท. (4/2568)

ธนาคารแห่งประเทศไทยได้ยกระดับข้อกำหนดด้านความปลอดภัย Mobile Banking อย่างเข้มงวด เพื่อรับมือกับภัยคุกคามด้านการฉ้อโกงทางการเงิน มัลแวร์ และอาชญากรรมไซเบอร์ที่ซับซ้อน

4/2568
ประกาศที่
1:1
อุปกรณ์ต่อบัญชี
฿50K
Biometric เกิน
24/7
สายด่วนทุจริต
ขอรับการประเมิน Mobile Banking
ทำความเข้าใจกฎระเบียบ

ประกาศ ธปท. ที่ 4/2568 คืออะไร?

ประกาศ ธปท. ที่ 4/2568 ออกในต้นปี 2568 กำหนดมาตรฐานความปลอดภัยขั้นต่ำที่เข้มงวดสำหรับแอปพลิเคชัน Mobile Banking เพื่อรับมือกับภัยคุกคามที่เพิ่มขึ้นจากการฉ้อโกงทางการเงิน มัลแวร์ และอาชญากรรมไซเบอร์ที่ซับซ้อน เช่น Social Engineering และ Phishing โดยทำงานร่วมกับแนวปฏิบัติด้านการบริหารความเสี่ยงด้าน IT (ปรับปรุง พ.ย. 2566) สร้างกรอบความปลอดภัยครบวงจรที่สถาบันการเงินและผู้ให้บริการ E-Money ทุกรายต้องปฏิบัติตาม

กำหนดนโยบาย 1 คน 1 อุปกรณ์ — ผู้ใช้ลงทะเบียนได้เพียง 1 อุปกรณ์ต่อบัญชี Mobile Banking
กำหนดให้ใช้ Biometric (Face Recognition พร้อม Liveness Detection) สำหรับธุรกรรมเกิน ฿50,000 หรือยอดรวมรายวันเกิน ฿200,000
ห้ามธนาคารแนบลิงก์ใน SMS และอีเมลที่ส่งถึงลูกค้าโดยเด็ดขาด
กำหนดให้มีสายด่วนรายงานทุจริต 24/7 และระบบตรวจจับธุรกรรมน่าสงสัยแบบ Real-time

อ้างอิง: ประกาศ ธปท. ที่ 4/2568 (มีผลบังคับใช้ปี 2568)

ใครต้องปฏิบัติตามประกาศ ธปท. 4/2568?

สถาบันการเงิน ผู้ให้บริการ E-Money และผู้ให้บริการชำระเงินทุกรายที่มีแอปพลิเคชันให้บริการลูกค้าอยู่ภายใต้ข้อกำหนดนี้

ธนาคารพาณิชย์ที่ให้บริการ Mobile Banking
ผู้ให้บริการชำระเงินภายใต้การกำกับของ ธปท.
ผู้ให้บริการ E-Wallet ที่ได้รับอนุญาตจาก ธปท.
ผู้ให้บริการ E-Money ภายใต้การกำกับของ ธปท.
สถาบันการเงินทุกแห่งที่มีแอปพลิเคชันให้บริการลูกค้า
มาตรการควบคุมความปลอดภัยหลัก

มาตรการควบคุมตามประกาศ 4/2568

ประกาศ 4/2568 ร่วมกับแนวปฏิบัติด้านการบริหารความเสี่ยงด้าน IT กำหนดมาตรการควบคุมความปลอดภัยที่เข้มงวดในด้านหลักเหล่านี้

1 คน 1 อุปกรณ์ และการควบคุมอุปกรณ์

ผู้ใช้ลงทะเบียนได้เพียง 1 อุปกรณ์ต่อบัญชี Mobile Banking ต่อสถาบัน แอปห้ามทำงานบนอุปกรณ์ที่ถูก Jailbreak/Root หรือ OS ที่ล้าสมัยอย่างรุนแรง เพื่อป้องกันการใช้ Remote Access Trojan (RAT)

Biometric Verification และวงเงินธุรกรรม

กำหนดให้ใช้ Biometric (Face Recognition พร้อม Liveness Detection) สำหรับธุรกรรมเกิน ฿50,000 หรือยอดรวมรายวันเกิน ฿200,000 กลุ่มเปราะบาง (เด็กอายุต่ำกว่า 15 ปี, ผู้สูงอายุ) จำกัดวงเงินรายวันที่ ฿50,000

กฎ Anti-Phishing และการสื่อสาร

ห้ามธนาคารแนบลิงก์ใน SMS และอีเมลโดยเด็ดขาด ลิงก์ทาง Social Media อนุญาตเฉพาะเมื่อลูกค้าร้องขอ ห้ามขอข้อมูลส่วนบุคคล (Username, Password, OTP, PIN, เลขบัตรประชาชน) ผ่านทุกช่องทาง

Anti-Malware และ Threat Monitoring

แอปต้องมีระบบตรวจจับมัลแวร์เพื่อป้องกัน Overlay Attack (หน้าจอปลอมซ้อนทับแอปจริง) สถาบันต้องตรวจสอบและรายงานแอปปลอมบน App Store ทั้งทางการและ Third-party

Incident Response 24/7 และ Real-Time Detection

ธนาคารต้องมีสายด่วน 24 ชั่วโมงสำหรับผู้เสียหายจากทุจริต ระบบต้องตรวจจับธุรกรรมน่าสงสัยแบบ Real-time และระงับชั่วคราวระหว่างสอบสวนบัญชีม้า

โครงสร้างพื้นฐาน IT และมาตรฐานการเข้ารหัส

กำหนดให้ใช้การเข้ารหัส AES 256-bit สำหรับข้อมูลที่จัดเก็บและระหว่างส่ง พร้อม Identity and Access Management (IAM) ที่เข้มงวดสำหรับพนักงาน ตามแนวปฏิบัติด้านการบริหารความเสี่ยงด้าน IT (2566)

ขอบเขตการประเมิน

ขอบเขตการทดสอบ Mobile App

การทดสอบครอบคลุมทุกมาตรการควบคุมที่สำคัญตามประกาศ 4/2568 และแนวปฏิบัติด้านการบริหารความเสี่ยงด้าน IT

การทดสอบความปลอดภัยแอปพลิเคชัน iOS และ Android (ตามมาตรฐาน OWASP MASTG)
การตรวจสอบการผูก 1 อุปกรณ์ต่อบัญชี และ Jailbreak/Root Detection
การทดสอบ Bypass Biometric Authentication และ Liveness Detection
การตรวจสอบการบังคับใช้วงเงินธุรกรรมและ Risk-Based Controls
การประเมิน Anti-Malware และความทนทานต่อ Overlay Attack
การตรวจสอบ TLS/SSL, Certificate Pinning และการเข้ารหัสข้อมูลที่จัดเก็บ
การทดสอบ Session Management, Timeout Controls และ Concurrent Session Prevention

ผลกระทบหากไม่ปฏิบัติตาม

การไม่ปฏิบัติตามข้อกำหนดมีผลกระทบรุนแรงทั้งด้านการเงิน การดำเนินงาน และชื่อเสียง

ความรับผิดทางการเงินร่วม

ตาม พ.ร.ก.ป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี (2568) สถาบันที่ไม่ปฏิบัติตามมาตรฐาน ธปท. เช่น ไม่อายัดบัญชีม้า จะต้องรับผิดชอบค่าเสียหายต่อผู้เสียหายตามสัดส่วนความประมาท

ถูกจำกัดการให้บริการ

ธปท. อาจสั่งจำกัดการให้บริการ Mobile Banking รวมถึงการระงับบริการบางส่วนหรือทั้งหมดจนกว่าจะแก้ไขช่องโหว่เสร็จสิ้น

ต้องแก้ไขทันที

เมื่อตรวจพบช่องโหว่ร้ายแรงระหว่างการตรวจสอบของ ธปท. จะต้องอัปเดตแอปพลิเคชันหรือระงับบริการทันที

ถูกกำกับดูแลเข้มงวดขึ้น

ต้องรับการตรวจสอบบ่อยครั้งขึ้น รายงานความคืบหน้าอย่างสม่ำเสมอ และปฏิบัติตามกรอบเวลาที่เข้มงวดมากขึ้น

กรอบกฎหมาย

กฎหมายและระเบียบที่เกี่ยวข้อง

กรอบความปลอดภัย Mobile Banking ของ ธปท. ทำงานร่วมกับกฎหมายและระเบียบอื่นที่เกี่ยวข้อง

พ.ร.ก.ป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี (ฉบับที่ 2 พ.ศ. 2568)

มีผลบังคับใช้ 13 เมษายน 2568 เปิดทางให้อายัดธุรกรรมที่น่าสงสัยได้ทันที แลกเปลี่ยนข้อมูลระหว่างสถาบันเพื่อติดตามการฉ้อโกง และกำหนดโมเดลความรับผิดร่วม โดยสถาบันที่ไม่ปฏิบัติตามต้องรับผิดชดเชยผู้เสียหายตามสัดส่วนความประมาท

แนวปฏิบัติด้านการบริหารความเสี่ยงด้าน IT ของ ธปท. (ปรับปรุง พ.ย. 2566)

กำหนดมาตรฐานความปลอดภัย Backend รวมถึงการเข้ารหัส AES 256-bit สำหรับข้อมูลที่จัดเก็บและระหว่างส่ง และโปรโตคอล Identity and Access Management (IAM) ที่เข้มงวดสำหรับพนักงานธนาคาร

พระราชบัญญัติธุรกิจสถาบันการเงิน พ.ศ. 2551

กฎหมายหลักที่ให้อำนาจธนาคารแห่งประเทศไทยในการออกและบังคับใช้ระเบียบที่มีผลผูกพันกับธนาคารพาณิชย์และกลุ่มธุรกิจสถาบันการเงินทุกแห่ง

แนวทางของเรา

การทดสอบที่ตอบโจทย์ประกาศ 4/2568

เราตรวจสอบมาตรการควบคุมแต่ละข้อของประกาศ 4/2568 ผ่านการประเมินความปลอดภัยที่ออกแบบตามข้อกำหนดของกฎระเบียบ

1
ตรวจสอบการผูกอุปกรณ์ และทดสอบการ Bypass Jailbreak/Root Detection
2
ทดสอบ Bypass Biometric Authentication รวมถึง Facial Recognition และ Liveness Detection
3
ตรวจสอบการบังคับใช้วงเงินธุรกรรม และ Risk-Based Controls
4
ทดสอบ Anti-Malware และความทนทานต่อ Overlay Attack ภายในแอปพลิเคชัน
5
ตรวจสอบการ Implement Certificate Pinning และการสื่อสารที่ปลอดภัย
6
ตรวจสอบ Session Management รวมถึง Timeout Controls และการป้องกัน Concurrent Session

Checklist การปฏิบัติตามประกาศ 4/2568

ติดตามความพร้อมขององค์กรตามมาตรการเฉพาะของประกาศ ธปท. ที่ 4/2568

นโยบาย 1 คน 1 อุปกรณ์ ถูก Implement สำหรับบัญชี Mobile Banking ทุกบัญชี
การตรวจจับ Jailbreak/Root และ OS ที่ล้าสมัยทำงานอยู่
Biometric Verification บังคับใช้สำหรับธุรกรรมเกิน ฿50,000
วงเงินโอนรายวันตาม Risk-Based ถูกตั้งค่า (รวมถึงกลุ่มเปราะบาง)
SMS และอีเมลตรวจสอบแล้วว่าไม่มีลิงก์ตามกฎ Anti-Phishing
Anti-Malware และการตรวจจับ Overlay Attack ถูกฝังในแอป
การตรวจสอบแอปปลอมบน App Store ทั้งทางการและ Third-party ทำงานอยู่
สายด่วนรายงานทุจริต 24/7 พร้อมให้บริการ
ระบบตรวจจับธุรกรรมน่าสงสัยแบบ Real-time และอายัดบัญชีม้าพร้อมใช้งาน
การเข้ารหัส AES 256-bit สำหรับข้อมูลที่จัดเก็บและระหว่างส่งได้รับการยืนยัน

เอกสารอ้างอิงอย่างเป็นทางการ

ศึกษาเอกสารกฎระเบียบฉบับเต็มจากแหล่งข้อมูลอย่างเป็นทางการ

ประกาศ ธปท. ที่ 4/2568 — ความปลอดภัย Mobile Banking (TH PDF)นโยบายความปลอดภัย IT และการบริหารความเสี่ยง (EN PDF)พ.ร.ก.ป้องกันอาชญากรรมทางเทคโนโลยี ฉบับที่ 2 (ธปท.)ค้นหาประกาศ ธปท. ทั้งหมด (FIPCS)

บริการที่เกี่ยวข้อง

เสริมความแข็งแกร่งด้าน Compliance ด้วยบริการประเมินความปลอดภัยเฉพาะทาง

กลับไปหน้า Compliance

คำถามที่พบบ่อย

คำถามที่พบบ่อยเกี่ยวกับข้อกำหนดความปลอดภัย Mobile Banking ตามประกาศ ธปท. 4/2568

ตรวจสอบให้แน่ใจว่า Mobile Banking App ของคุณผ่านเกณฑ์ ธปท.

รับการประเมินความปลอดภัยที่สอดคล้องกับประกาศ ธปท. ที่ 4/2568 ปกป้องลูกค้าและรักษา Compliance ขององค์กร

Reconix เป็นบริษัทชั้นนำด้านความปลอดภัยไซเบอร์ในประเทศไทย ที่ให้บริการระดับโลกแก่ธุรกิจทุกขนาด