การดูแลความมั่นคงปลอดภัยทางไซเบอร์และคุ้มครองข้อมูลของลูกค้า
ความมุ่งมั่น
การสร้างความมั่นคงปลอดภัยด้านข้อมูลและการคุ้มครองข้อมูลส่วนบุคคลของลูกค้า โดยอาศัยเทคโนโลยีที่มีประสิทธิภาพและขีดความสามารถของพนักงานเพื่อเพิ่มประสิทธิภาพการทำงาน ความมั่นใจในการปฏิบัติตามข้อบังคับ และความเชื่อมั่นแก่ผู้มีส่วนได้เสียทุกกลุ่ม
ความสำคัญ
ในยุคดิจิทัลข้อมูลเป็นทรัพยากรที่่มีค่ามหาศาลต่อการดำเนินธุรกิจของธนาคาร ปริมาณข้อมูลและความสามารถในการจัดการข้อมูลได้กลายเป็นปัจจัยสำคัญที่สร้างความแตกต่างและความได้เปรียบเหนือคู่แข่ง ยิ่งข้อมูลมีค่าต่อธุรกิจมากขึ้นฉันใด การบริหารจัดการความปลอดภัยของข้อมูลก็มีความจำเป็นมากขึ้นฉันนั้น ธนาคารให้ความสำคัญกับการรักษาความมั่นคงปลอดภัยของข้อมูลและการคุ้มครองข้อมูลส่วนบุคคลของลูกค้าเพื่อลดความเสี่ยงจากการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การใช้ข้อมูลโดยผิดกฎหมาย การรั่วไหล การโจรกรรม การสูญหายของข้อมูล และการละเมิดข้อมูลส่วนบุคคล อันนำมาซึ่งผลกระทบเชิงลบต่อธนาคารและเจ้าของข้อมูล ธนาคารได้จัดให้มีกลไกการจัดการด้านความปลอดภัยทางไซเบอร์ที่่เหมาะสม กระบวนการกำกับดููแลข้อมูลที่มีประสิทธิผล มาตรการปกป้องคุ้มครองข้อมูลส่วนบุคคลที่่เพียงพอและเหมาะสม ตลอดจนการเสริมสร้างศักยภาพของพนักงานในการรับมือกับภัยคุกคามทางไซเบอร์และการปฏิบัติตามแนวทางการรักษาความปลอดภัยของข้อมูลส่วนบุคคล เพื่อสร้างความเชื่อมั่นให้แก่ลูกค้า คู่ค้าและพันธมิตรทางธุรกิจของธนาคาร
การบริหารจัดการ
การดูแลด้านความมั่นคงปลอดภัยทางไซเบอร์
ภัยคุกคามทางไซเบอร์ในปัจจุบันมีหลากหลายรูปแบบ มีความซับซ้อนและสามารถสร้างความเสียหายในวงกว้างขึ้น ธนาคารจึงมุ่งมั่น ดููแลรักษาความมั่นคงปลอดภัยสารสนเทศและป้องกันภัยทางไซเบอร์ โดยการกำหนดกรอบการบริหารจัดการที่เทียบเท่ามาตรฐานสากล และการปรับปรุงนโยบายความมั่นคงปลอดภัยด้านสารสนเทศและความมั่นคงปลอดภัยไซเบอร์ให้สอดคล้องกับมาตรฐานสากล ISO/IEC 27002 และเหมาะสมกับเทคโนโลยีและภัยคุกคามทางไซเบอร์ ในปัจจุบันธนาคารได้นำเทคโนโลยีทันสมัยมาใช้ในการเฝ้าระวังและตรวจจับสถานการณ์หรือเหตุุผิดปกติที่อาจสร้างความเสียหายต่อข้อมูลและระบบสารสนเทศของธนาคาร อีกทั้งได้กำหนดมาตรฐานด้านความมั่นคงปลอดภัยของข้อมูลในการให้บริการธนาคารทั้งระบบ และมีการตรวจประเมินมาตรฐานดังกล่าวอย่างสม่ำเสมอทั้งก่อนและหลังการให้บริการ ทั้งนี้้ ธนาคารได้รับการรับรองมาตรฐานสากล ได้แก่ ISO/IEC 27001:2013 สำหรับระบบการโอนเงินทางอิเล็กทรอนิกส์ระหว่างสถาบันการเงิน (BAHTNET) และระบบการหักบัญชีเช็คด้วยภาพและการจัดเก็บภาพเช็ค (ICAS) และอยู่ระหว่างการขอรับมาตรฐานความปลอดภัยข้อมูลบัตรชำระเงิน (PCI/DSS) ความมุ่งมั่นในการดูแลด้านความมั่นคงปลอดภัยทางไซเบอร์ได้ส่งผลให้ในปี 2565 ธนาคารได้รับประกาศนียบัตรหน่วยงานที่่มีการปฏิบัติตามมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นต้นที่จำเป็น “ระดับดีเลิศ” จากสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
การกำกับดูแลด้านความมั่นคงปลอดภัยทางไซเบอร์
เพื่อให้การบริหารจัดการความมั่นคงปลอดภัยด้านสารสนเทศ และความปลอดภัยทางไซเบอร์มีประสิทธิภาพและเป็นไปตามนโยบายและกลยุทธ์ที่่วางไว้ ธนาคารได้กำหนดขอบเขตหน้าที่่ความรับผิดชอบของผู้เกี่ยวข้องไว้อย่างชัดเจน ดังนี้
การกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคล
ธนาคารกำหนดโครงสร้างการกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคลไว้อย่างชัดเจน โดยกำหนดหน้าที่และความรับผิดชอบของคณะกรรมการ ผู้บริหารระดับสูง และหน่วยงานต่างๆ ที่เกี่ยวข้อง รวมถึงดูแลให้มีการควบคุมความเสี่ยงตามหลักแนวทางป้องกัน 3 ชั้น ธนาคารได้จัดตั้งหน่วยงานคุ้มครองข้อมูลส่วนบุคคล สังกัดหน่วยงานกำกับดูแล และได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) เพื่อทำหน้าที่่ดูแลงานด้านการคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะ เพื่อให้การดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างมีประสิทธิผล สอดคล้องกับกฎหมาย นโยบาย และแนวทางปฏิบัติที่ธนาคารวางไว้
ธนาคารกำหนดแนวทาง ขั้นตอน และผู้รับผิดชอบการดำเนินการเพื่อตอบสนองต่อเหตุละเมิดข้อมูลส่วนบุคคลที่สอดคล้องกับกฎเกณฑ์ ของทางการและสอดคล้องกับนโยบายคุ้มครองข้อมูลส่วนบุคคลของธนาคาร เพื่อให้เกิดความชัดเจนต่อผู้ปฏิบัติ โดยพนักงานของธนาคารทุกคนจะต้องรับทราบและปฏิบัติตามข้อกำหนดที่ระบุไว้ในนโยบายคุ้มครองข้อมูลส่วนบุคคล การฝ่าฝืนหรือไม่ปฏิบัติตามข้อกำหนดดังกล่าวอาจส่งผลให้ถูกโทษทางวินัยจนถึงอาจถูกเลิกจ้าง รวมทั้งอาจมีความรับผิดทางอาญาและมีโทษตามกฎหมายและกฎเกณฑ์ต่าง ๆ ที่เกี่ยวข้อง
ภัยคุกคามทางไซเบอร์ในปัจจุบันมีหลากหลายรูปแบบ มีความซับซ้อนและสามารถสร้างความเสียหายในวงกว้างขึ้น ธนาคารจึงมุ่งมั่น ดููแลรักษาความมั่นคงปลอดภัยสารสนเทศและป้องกันภัยทางไซเบอร์ โดยการกำหนดกรอบการบริหารจัดการที่เทียบเท่ามาตรฐานสากล และการปรับปรุงนโยบายความมั่นคงปลอดภัยด้านสารสนเทศและความมั่นคงปลอดภัยไซเบอร์ให้สอดคล้องกับมาตรฐานสากล ISO/IEC 27002 และเหมาะสมกับเทคโนโลยีและภัยคุกคามทางไซเบอร์ ในปัจจุบันธนาคารได้นำเทคโนโลยีทันสมัยมาใช้ในการเฝ้าระวังและตรวจจับสถานการณ์หรือเหตุุผิดปกติที่อาจสร้างความเสียหายต่อข้อมูลและระบบสารสนเทศของธนาคาร อีกทั้งได้กำหนดมาตรฐานด้านความมั่นคงปลอดภัยของข้อมูลในการให้บริการธนาคารทั้งระบบ และมีการตรวจประเมินมาตรฐานดังกล่าวอย่างสม่ำเสมอทั้งก่อนและหลังการให้บริการ ทั้งนี้้ ธนาคารได้รับการรับรองมาตรฐานสากล ได้แก่ ISO/IEC 27001:2013 สำหรับระบบการโอนเงินทางอิเล็กทรอนิกส์ระหว่างสถาบันการเงิน (BAHTNET) และระบบการหักบัญชีเช็คด้วยภาพและการจัดเก็บภาพเช็ค (ICAS) และอยู่ระหว่างการขอรับมาตรฐานความปลอดภัยข้อมูลบัตรชำระเงิน (PCI/DSS) ความมุ่งมั่นในการดูแลด้านความมั่นคงปลอดภัยทางไซเบอร์ได้ส่งผลให้ในปี 2565 ธนาคารได้รับประกาศนียบัตรหน่วยงานที่่มีการปฏิบัติตามมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นต้นที่จำเป็น “ระดับดีเลิศ” จากสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
การกำกับดูแลด้านความมั่นคงปลอดภัยทางไซเบอร์
เพื่อให้การบริหารจัดการความมั่นคงปลอดภัยด้านสารสนเทศ และความปลอดภัยทางไซเบอร์มีประสิทธิภาพและเป็นไปตามนโยบายและกลยุทธ์ที่่วางไว้ ธนาคารได้กำหนดขอบเขตหน้าที่่ความรับผิดชอบของผู้เกี่ยวข้องไว้อย่างชัดเจน ดังนี้
การจัดการด้านการคุ้มครองข้อมูลส่วนบุคคลของลูกค้า
ธนาคารยึดถือว่าการดูแลคุ้มครองข้อมูลส่วนบุคคลของลูกค้า เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลโดยมิชอบ เป็นหน้าที่และความรับผิดชอบของธนาคาร ธนาคารได้กำหนดหลักการและแนวทางปฏิบัติ ด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่งครอบคลุมมาตรการต่างๆ และการแจ้งเตือนในกรณีเกิดเหตุละเมิดข้อมูลส่วนบุคคลที่สอดคล้องกับกฎเกณฑ์ของทางการ ตลอดจนนโยบายคุ้มครองข้อมูลส่วนบุคคลและนโยบายอื่นๆ ที่เกี่ยวข้องของธนาคาร พร้อมทั้งได้กำหนดผู้รับผิดชอบในการตรวจสอบและดูแลข้อมูล การให้สิทธิการเข้าถึงข้อมูล การจำแนก และจัดชั้นความลับของข้อมูลเพื่อกำหนดระดับการรักษาความมั่นคงปลอดภัยของข้อมูลให้สอดคล้องกับระดับความเสี่ยง และผลกระทบของการละเมิดข้อมูลส่วนบุคคล
เพื่อให้มั่นใจว่ากระบวนการและการดำเนินการด้านคุ้มครองข้อมูลส่วนบุคคลของธนาคารสอดคล้องกับกฎเกณฑ์ของทางการและของธนาคารเอง ธนาคารจัดให้มีการตรวจสอบการปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลโดยสายตรวจสอบและควบคุมซึ่งทำหน้าที่เป็นอิสระจากหน่วยงานที่มีการเก็บรวบรวมใช้และเปิดเผยข้อมูลส่วนบุคคล นอกจากนี้ธนาคารยังได้กำหนดให้ความเสี่ยงด้านข้อมูลส่วนบุคคลเป็นความเสี่ยงสำคัญของธนาคาร พร้อมทั้งมอบหมายให้หน่วยงานคุ้มครองข้อมูลส่วนบุคคลและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเข้าไปมีส่วนร่วมในกระบวนการบริหารความเสี่ยงของธนาคาร ซึ่งครอบคลุมตั้งแต่การระบุความเสี่ยงด้านข้อมูลส่วนบุคคล ไปจนถึงการจัดการและควบคุมความเสี่ยง
นโยบายและมาตรฐานด้านการคุ้มครองข้อมูลส่วนบุคคล
ธนาคารได้จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคลและมาตราฐานคุ้มครองข้อมูลส่วนบุคคล ซึ่งสอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎเกณฑ์ที่เกี่ยวข้อง เพื่อให้ผู้เกี่ยวข้องยึดถือปฏิบัติ โดยมีผลบังคับใช้ครอบคลุมกลุ่มธุรกิจของธนาคาร รวมถึงพันธมิตรทางธุรกิจและผู้ให้บริการภายนอก อีกทั้ง ธนาคารได้เผยแพร่หนังสือแจ้งการคุ้มครองข้อมูลส่วนบุคคลผ่านทางเว็บไซต์ สาขา และช่องทางการให้บริการธนาคารดิจิทัล เพื่อให้ลูกค้าทราบถึงการคุ้มครองข้อมูลส่วนบุคคลและสิทธิของเจ้าของข้อมูลธนาคารยังได้จัดทำหนังสือขอและให้ความยินยอมสำหรับแจ้งรายละเอียดและวัตถุประสงค์ของการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคล เพื่อให้เจ้าของข้อมูลพิจารณาให้ความยินยอมก่อนหรือในขณะที่ทำการประมวลผลข้อมูล โดยที่ความยินยอมดังกล่าวจะไม่ถือเป็นส่วนหนึ่งของเงื่อนไขการให้บริการของธนาคาร นอกจากนี้ ธนาคารมีการติดตามการใช้ข้อมูลส่วนบุคคลของลูกค้าเพื่อวัตถุประสงค์อื่น เช่น การใช้เพื่อการตลาด การใช้วิเคราะห์วิจัยเพื่อปรับปรุงพัฒนาคุณภาพผลิตภัณฑ์และบริการ เป็นต้น ซึ่งเป็นการใช้ข้อมูลตามแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลของธนาคารและไม่ขัดต่อกฎหมาย โดยในปี 2565 ธนาคารมีลูกค้าที่ได้ให้ความยินยอมในการใช้ข้อมูลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นประมาณร้อยละ 60 ของจำนวนลูกค้าทั้งหมด
การกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคล
ธนาคารกำหนดโครงสร้างการกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคลไว้อย่างชัดเจน โดยกำหนดหน้าที่และความรับผิดชอบของคณะกรรมการ ผู้บริหารระดับสูง และหน่วยงานต่างๆ ที่เกี่ยวข้อง รวมถึงดูแลให้มีการควบคุมความเสี่ยงตามหลักแนวทางป้องกัน 3 ชั้น ธนาคารได้จัดตั้งหน่วยงานคุ้มครองข้อมูลส่วนบุคคล สังกัดหน่วยงานกำกับดูแล และได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) เพื่อทำหน้าที่่ดูแลงานด้านการคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะ เพื่อให้การดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างมีประสิทธิผล สอดคล้องกับกฎหมาย นโยบาย และแนวทางปฏิบัติที่ธนาคารวางไว้
การดำเนินการเมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล
ธนาคารกำหนดแนวทาง ขั้นตอน และผู้รับผิดชอบการดำเนินการเพื่อตอบสนองต่อเหตุละเมิดข้อมูลส่วนบุคคลที่สอดคล้องกับกฎเกณฑ์ ของทางการและสอดคล้องกับนโยบายคุ้มครองข้อมูลส่วนบุคคลของธนาคาร เพื่อให้เกิดความชัดเจนต่อผู้ปฏิบัติ โดยพนักงานของธนาคารทุกคนจะต้องรับทราบและปฏิบัติตามข้อกำหนดที่ระบุไว้ในนโยบายคุ้มครองข้อมูลส่วนบุคคล การฝ่าฝืนหรือไม่ปฏิบัติตามข้อกำหนดดังกล่าวอาจส่งผลให้ถูกโทษทางวินัยจนถึงอาจถูกเลิกจ้าง รวมทั้งอาจมีความรับผิดทางอาญาและมีโทษตามกฎหมายและกฎเกณฑ์ต่าง ๆ ที่เกี่ยวข้อง
การดำเนินงานที่สำคัญ
ในปี 2565 มีกิจกรรมหรือการดำเนินงานที่สำคัญ ดังนี้
- การกำหนดให้หลักสูตรการคุ้มครองข้อมูลส่วนบุคคลและการโจรกรรมข้อมูลในรูปแบบ Phishing เป็นหลักสูตรการเรียนรู้ออนไลน์ภาคบังคับสำหรับผู้บริหารและพนักงานทุกคน
- การกำหนดให้พนักงานในหน่วยงานที่เกี่ยวข้องเข้ารับการอบรมในหลักสูตรตามบทบาทเฉพาะ (Role Specific) เรื่องการคุ้มครองข้อมูลส่วนบุคคล
- การกำหนดให้คณะกรรมการธนาคารต้องเพิ่มพูนความรู้ด้านการบริหารจัดการความมั่นคงปลอดภัยด้านสารสนเทศ และความปลอดภัยทางไซเบอร์อย่างสม่ำเสมอ โดยการเข้าร่วมการอบรมที่่จัดขึ้นโดยหน่วยงานภายในและ หน่วยงานภายนอกเป็นประจำทุกปี โดยในปี 2565 ธนาคารได้จัดอบรมเกี่ยวกับสถานการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ แนวทางในการบริหารจัดการและสร้าง Resilience ให้กับองค์กรและข้อมูล พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
- การสื่อสารข่าวสารความรู้เกี่ยวกับความปลอดภัยทางไซเบอร์ ผ่านช่องทางการสื่อสารภายในอย่างต่อเนื่อง เพื่อให้พนักงานรู้เท่าทันภัยทางไซเบอร์ที่เกิดขึ้นใหม่
- การจัดโครงการ PDPA Awareness Campaign เพื่อสร้างความรู้ความเข้าใจเกี่ยวกับการปฏิบัติงานอย่างถูกต้องภายใต้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ผ่านการเผยแพร่ความรู้ในรูปแบบบทความอินโฟกราฟิกและวีดิทัศน์พร้อมทั้งเปิดช่องทางให้คำปรึกษากับผู้เชี่ยวชาญ
- การจัดกิจกรรม Information Security and Cybersecurity Awareness Forum ประจำปี เพื่อให้ข้อมูลความรู้ด้านความปลอดภัยข้อมูลสารสนเทศและความปลอดภัยทางไซเบอร์แก่ผู้บริหารและพนักงาน ในปี 2565 ธนาคารได้จัดกิจกรรมในหัวข้อ Preparing for Security, Privacy and Emerging Technology Adoption โดยมีดร.กิตติ โฆษะวิสุทธิ์ ผู้จัดการความปลอดภัยด้านเทคโนโลยีสารสนเทศของธนาคารมาแบ่งปันข้อมูลและประสบการณ์ด้านภัยคุกคามทางไซเบอร์พร้อมวิธีการรับมือ
เครื่องมือช่วยเหลือ
ธนาคารพร้อมให้คำปรึกษาและดูแลคุณ
ในทุกธุรกรรมทางการเงิน
เครื่องมือช่วยเหลือ
ธนาคารพร้อมให้คำปรึกษาและดูแลคุณในทุกธุรกรรมทางการเงิน
เว็บไซต์นี้ใช้คุกกี้ เพื่อมอบประสบการณ์การใช้งานที่ดีให้กับท่าน และเพื่อพัฒนาคุณภาพการให้บริการเว็บไซต์ที่ตรงต่อความต้องการของท่านมากยิ่งขึ้น ท่านสามารถทราบรายละเอียดเกี่ยวกับคุกกี้ได้ที่
นโยบายการใช้คุกกี้
