ข้อกำหนดด้าน Cybersecurity ของ ก.ล.ต. สำหรับตลาดทุนและสินทรัพย์ดิจิทัล
สำนักงาน ก.ล.ต. กำหนดให้ผู้ประกอบธุรกิจตลาดทุนและสินทรัพย์ดิจิทัลต้องผ่านการประเมินด้าน Cybersecurity ภายใต้แนวปฏิบัติด้านระบบเทคโนโลยีสารสนเทศ (ประกาศ ทจ. 6/2567) และ พ.ร.ก. สินทรัพย์ดิจิทัล
ข้อกำหนด Cybersecurity ของ ก.ล.ต. คืออะไร?
สำนักงาน ก.ล.ต. กำกับดูแลกรอบ Cybersecurity ที่เข้มงวดที่สุดแห่งหนึ่งในภูมิภาค ครอบคลุมทั้งตลาดทุนแบบดั้งเดิม (นายหน้า บริษัทจัดการสินทรัพย์ กองทุนรวม) และภาคสินทรัพย์ดิจิทัล กฎเกณฑ์หลักอยู่ในแนวปฏิบัติด้านการจัดให้มีระบบเทคโนโลยีสารสนเทศ (ประกาศ ทจ. 6/2567) และ พ.ร.ก. การประกอบธุรกิจสินทรัพย์ดิจิทัล พ.ศ. 2561
- แนวปฏิบัติด้านระบบ IT (ประกาศ ทจ. 6/2567) กำหนดให้ต้องมีการประเมินช่องโหว่ ทดสอบเจาะระบบ และพัฒนาซอฟต์แวร์อย่างปลอดภัย
- พ.ร.ก. การประกอบธุรกิจสินทรัพย์ดิจิทัล พ.ศ. 2561 ครอบคลุมศูนย์ซื้อขาย นายหน้า และ ICO Portal
- กรอบ Cyber Resilience Assessment Framework (CRAF) ใช้กับผู้ประกอบธุรกิจหลักทรัพย์และอนุพันธ์
- การทดสอบเจาะระบบต้องดำเนินการโดยผู้เชี่ยวชาญอิสระที่มีคุณสมบัติเหมาะสม
- การตรวจสอบ Smart Contract เป็นข้อบังคับเคร่งครัดก่อนเสนอขายสินทรัพย์ดิจิทัลต่อสาธารณะ
ใครต้องปฏิบัติตามข้อกำหนดด้านความปลอดภัยของ ก.ล.ต.?
ผู้ประกอบธุรกิจตลาดทุนแบบดั้งเดิมและผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลภายใต้การกำกับดูแลของ ก.ล.ต. ต้องมีมาตรการ Cybersecurity
บริษัทหลักทรัพย์
นายหน้า ผู้ค้า และบริษัทหลักทรัพย์ที่ได้รับใบอนุญาตภายใต้แนวปฏิบัติด้าน IT และข้อกำหนด CRAF
บริษัทจัดการสินทรัพย์
ผู้จัดการกองทุน ผู้ดำเนินการกองทุนรวม และที่ปรึกษาการลงทุนที่ดูแลสินทรัพย์ของผู้ลงทุน
ศูนย์ซื้อขายสินทรัพย์ดิจิทัล
แพลตฟอร์มซื้อขาย Cryptocurrency ที่ได้รับใบอนุญาตดำเนินการในประเทศไทย
นายหน้าและผู้ค้าสินทรัพย์ดิจิทัล
ผู้ให้บริการซื้อขายสินทรัพย์ดิจิทัลในนามของลูกค้า
ICO Portal และผู้ออกโทเคน
แพลตฟอร์มที่ได้รับอนุมัติจาก ก.ล.ต. สำหรับการเสนอขายเหรียญดิจิทัลและโทเคนที่มีสินทรัพย์ค้ำประกัน
โครงสร้างพื้นฐานตลาดทุน
ตลาดหลักทรัพย์ สำนักหักบัญชี และผู้ดำเนินการโครงสร้างพื้นฐานตลาดทุนที่สำคัญ
5 การประเมินด้านความปลอดภัยที่บังคับ
ก.ล.ต. กำหนดให้ต้องมีการประเมิน Cybersecurity 5 ประเภทสำหรับผู้ประกอบธุรกิจตลาดทุนและสินทรัพย์ดิจิทัล
การประเมินช่องโหว่ (VA)
บังคับ ต้องกำหนดขอบเขตและความถี่ในการประเมินช่องโหว่ ประเมินระดับความเสี่ยงของช่องโหว่ที่ค้นพบ รายงานผลต่อผู้บริหาร และติดตามการแก้ไขรายการความเสี่ยงสูงภายในกำหนดเวลา
การทดสอบเจาะระบบ (PT)
บังคับ อย่างน้อยปีละครั้งและหลังเปลี่ยนแปลงระบบสำคัญ ต้องจำลองการโจมตีจริงต่อเว็บแอปพลิเคชัน แอปซื้อขายบนมือถือ และศูนย์ซื้อขายสินทรัพย์ดิจิทัล โดยผู้เชี่ยวชาญอิสระ
การตรวจสอบโค้ดอย่างปลอดภัย (SCR)
บังคับภายใต้กฎการจัดการโครงการ IT การพัฒนาซอฟต์แวร์ทั้งหมดต้องเป็นไปตาม Secure Software Development Life Cycle (SSDLC) ผสมผสาน SAST อัตโนมัติกับการตรวจสอบด้วยมือเพื่อขจัด OWASP Top 10
Red Teaming
คาดหวังสำหรับผู้ประกอบการรายใหญ่และโครงสร้างพื้นฐานตลาดทุนที่สำคัญ การโจมตีจำลองแบบลับที่ทดสอบเทคโนโลยี ความปลอดภัยทางกายภาพ และบุคลากร เพื่อตรวจสอบการตอบสนองของ SOC
การตรวจสอบ Smart Contract
บังคับเคร่งครัดสำหรับโครงการสินทรัพย์ดิจิทัล Smart Contract ที่ใช้ใน ICO และโทเคนต้องผ่านการตรวจสอบความปลอดภัยอย่างเข้มงวดโดยผู้เชี่ยวชาญผ่าน ICO Portal ที่ได้รับอนุมัติจาก ก.ล.ต.
การประเมิน Cyber Resilience (CRAF)
ผู้ประกอบธุรกิจตลาดทุนต้องประเมิน Cyber Resilience Maturity ครอบคลุมการระบุ การป้องกัน การตรวจจับ การตอบสนอง และการกู้คืนตามกรอบ CRAF
ขอบเขตการตรวจสอบตามประเภท
การประเมินแต่ละประเภทมุ่งเป้าไปที่สินทรัพย์เฉพาะด้วยวัตถุประสงค์ด้านความปลอดภัยที่แตกต่างกัน
โครงสร้างพื้นฐาน IT ทั้งหมด
การประเมินช่องโหว่: ค้นหา CVE และการกำหนดค่าผิดพลาดอย่างต่อเนื่องในทุกระบบ
แพลตฟอร์มซื้อขายและ API
การทดสอบเจาะระบบ: ยืนยันว่าช่องโหว่ในเว็บแอป แอปมือถือ และ API ไม่สามารถถูกโจมตีได้
โค้ดแอปพลิเคชัน
การตรวจสอบโค้ด: ขจัดข้อบกพร่องทางตรรกะและ OWASP Top 10 ในขั้นตอนการพัฒนา
บุคลากร กระบวนการ และเทคโนโลยี
Red Teaming: ทดสอบการตอบสนองต่อเหตุการณ์ ประสิทธิภาพ SOC และ Cyber Resilience โดยรวม
Web3 Token และ ICO
ตรวจสอบ Smart Contract: รับประกันว่าโค้ดที่ไม่สามารถแก้ไขได้นั้นปลอดภัยก่อนที่เงินลงทุนจะเกี่ยวข้อง
ระบบ e-KYC
การยืนยันตัวตนลูกค้า การตรวจสอบเอกสาร และความปลอดภัยระบบเปิดบัญชีทุกแพลตฟอร์ม
ผลกระทบจากการไม่ปฏิบัติตามกฎระเบียบ
การไม่ปฏิบัติตามข้อกำหนดด้านความปลอดภัยของ ก.ล.ต. มีบทลงโทษที่รุนแรง
- ระงับหรือเพิกถอนใบอนุญาตประกอบธุรกิจ
- โทษทางอาญาสำหรับผู้บริหารและผู้ดำเนินการ
- ค่าปรับทางปกครองสำหรับการฝ่าฝืนกฎระเบียบ
- คำสั่งระงับการให้บริการทันที
- มาตรการบังคับใช้เพื่อคุ้มครองผู้ลงทุน
บริการของเราตอบโจทย์ข้อกำหนด ก.ล.ต. อย่างไร
บริการประเมินความปลอดภัยของเราแมปตรงกับข้อกำหนด Compliance ของ ก.ล.ต. แต่ละข้อ
Checklist การปฏิบัติตามเกณฑ์ ก.ล.ต.
เป้าหมายด้านความปลอดภัยที่จำเป็นสำหรับการรักษา Compliance กับ ก.ล.ต.
- ดำเนินการประเมินช่องโหว่พร้อมเอกสารขอบเขต ความถี่ และการติดตามแก้ไข
- ทดสอบเจาะระบบประจำปีโดยผู้เชี่ยวชาญอิสระ
- ตรวจสอบโค้ดอย่างปลอดภัยตาม SSDLC ก่อน Deploy ใช้งานจริง
- Smart Contract ผ่านการตรวจสอบโดยผู้เชี่ยวชาญก่อนเสนอขายต่อสาธารณะ
- ประเมินและรายงาน Cyber Resilience Maturity ตามกรอบ CRAF
- ส่งรายงานการประเมินความปลอดภัยประกอบการขอ/รักษาใบอนุญาต
เอกสารอ้างอิงอย่างเป็นทางการ
ศึกษาเอกสารกฎระเบียบต้นฉบับสำหรับข้อกำหนดฉบับเต็ม
บริการที่เกี่ยวข้อง
สำรวจบริการเฉพาะทางที่สนับสนุน Compliance ตามเกณฑ์ ก.ล.ต.
Vulnerability Assessment
ค้นหาช่องโหว่และประเมินความเสี่ยงอย่างครอบคลุมสำหรับโครงสร้างพื้นฐาน IT และแอปพลิเคชัน
เรียนรู้เพิ่มเติมWeb Application Penetration Testing
ทดสอบแพลตฟอร์มซื้อขาย พอร์ทัล และเว็บแอปพลิเคชันที่ให้บริการลูกค้า
เรียนรู้เพิ่มเติมSmart Contract Audit
ตรวจสอบความปลอดภัย Smart Contract สำหรับ DeFi, Token และ ICO ก่อนเสนอขายต่อสาธารณะ
เรียนรู้เพิ่มเติมคำถามที่พบบ่อยเกี่ยวกับ ก.ล.ต. Compliance
คำตอบสำหรับคำถามที่พบบ่อยเกี่ยวกับข้อกำหนดด้านความปลอดภัยของ ก.ล.ต. สำหรับธุรกิจสินทรัพย์ดิจิทัล
รักษาสถานะ Compliance ตามเกณฑ์ ก.ล.ต.
ปกป้องใบอนุญาตธุรกิจสินทรัพย์ดิจิทัลของคุณด้วยการประเมินความปลอดภัยที่ตรงตามข้อกำหนดของ ก.ล.ต.
Reconix เป็นบริษัทชั้นนำด้านความปลอดภัยไซเบอร์ในประเทศไทย ที่ให้บริการระดับโลกแก่ธุรกิจทุกขนาด