ความมั่นคงปลอดภัย ความปลอดภัยทางไซเบอร์ และการคุ้มครองข้อมูลส่วนบุคคล

การสนับสนุนเป้าหมายการพัฒนาที่ยั่งยืน

ธนาคารไทยเครดิตมุ่งมั่นในการปกป้องข้อมูลของลูกค้าและบุคลากร โดยเชื่อมโยงการดำเนินงานกับสร้างระบบเทคโนโลยีที่มั่นคงและปลอดภัย (Cyber Resilience) การพัฒนามาตรฐานความปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และสร้างวัฒนธรรมองค์กรที่ให้ความสำคัญกับความปลอดภัยไซเบอร์และการคุ้มครองข้อมูลอย่างต่อเนื่อง

เป้าหมายที่ 9

อุตสาหกรรม นวัตกรรม และโครงสร้างพื้นฐาน

เป้าหมายที่ 16

สันติภาพ ความยุติธรรม และสถาบันที่เข้มแข็ง

ผู้มีส่วนได้เสียที่เกี่ยวข้อง

ลูกค้า

ผู้ใช้บริการออนไลน์ เช่น Alpha App และ Micro Pay

พนักงาน

ผู้ปฏิบัติงานที่ต้องเข้าถึงหรือจัดการข้อมูลลูกค้าโดยตรง

หน่วยงานกำกับดูแล

ธนาคารแห่งประเทศไทย (ธปท.), สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)

พันธมิตรเทคโนโลยี

ผู้ให้บริการระบบคลาวด์, ความปลอดภัยเครือข่าย และระบบ DLP

เป้าหมายของเรา

ธนาคารได้ดำเนินการตาม Cyber Resilience Management Framework ครอบคลุมทั้งด้านความปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล โดยมีผลการดำเนินงานสำคัญในปี 2567 ได้แก่

ระบบบริหารจัดการความมั่นคงปลอดภัยข้อมูล (Data Security & Privacy Management)

มีมาตรการ 3 ด้าน ความลับของข้อมูล (Confidentiality), ความถูกต้อง (Integrity), และความพร้อมใช้งาน (Availability)
ตรวจสอบและทดสอบระบบสำรองข้อมูลอย่างสม่ำเสมอ

การบริหารจัดการเหตุการณ์ข้อมูลรั่วไหล (Data Breach Management)

รับแจ้งเหตุและตรวจสอบความเสียหาย
วิเคราะห์ ประเมินผลกระทบ และรายงานต่อคณะกรรมการบริหารความเสี่ยง
แจ้งหน่วยงานภายนอกที่เกี่ยวข้องตามกฎหมายตามแต่กรณี

รณรงค์ป้องกันข้อมูลรั่วไหล (DLP – Data Loss Prevention)

เริ่มโครงการวันที่ 19 กุมภาพันธ์ 2567
มีการสื่อสารเตือนพนักงาน “อย่าส่งงานเข้าอีเมลส่วนตัว”
ระบบอัตโนมัติช่วยบล็อกการส่งข้อมูลที่เข้าข่ายความเสี่ยง

ช่องทางติดต่อและร้องเรียนด้านข้อมูลส่วนบุคคล

Call Center: 0-2697-5454

Email: pdpu@thaicreditbank.com / complain_center@thaicreditbank.com (สำหรับลูกค้า)

ผลการดำเนินงาน

ข้อมูลการดำเนินงาน

เหตุการณ์หรือกรณีที่บริษัทถูกโจมตีทางไซเบอร์

0

ครั้ง

เหตุการณ์หรือกรณีข้อมูลส่วนบุคคลรั่วไหล

0

ครั้ง

ข้อมูลการดำเนินงาน

ความท้าทายและโอกาสทางธุรกิจ

ปัจจุบันภัยคุกคามที่มาพร้อมกับความก้าวหน้าทางเทคโนโลยีผ่านเครือข่ายอิเล็กทรอนิกส์ มีความซับซ้อนมากขึ้น รวมทั้งจากพฤติกรรมผู้บริโภคที่มีความต้องการเข้าถึงเทคโนโลยีอย่างไม่มีข้อจำกัด ด้วยวิธีการหรือช่องทางที่หลากหลาย เช่น Mobile Application Omni-channel เป็นต้น ซึ่งการใช้เทคโนโลยีที่มากขึ้นอาจทำให้เกิดช่องโหว่และความไม่ปลอดภัยทางไซเบอร์เพิ่มขึ้น อย่างไรก็ตาม ธนาคารกำหนดกรอบการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศให้สอดคล้องกับกลยุทธ์ของธนาคารอย่างเหมาะสม รวมถึงมุ่งมั่นสร้างความตระหนักในการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT risk awareness) โดยกำหนดให้พนักงานทุกคนในองค์กรทำความเข้าใจและยอมรับการปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ เพื่อให้ผู้ปฏิบัติงานด้านเทคโนโลยีสารสนเทศและผู้ใช้ระบบงานเกิดความตระหนักในความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk Awareness) และการผลักดันองค์กรให้เป็น IT Risk Culture เพื่อเพิ่มประสิทธิภาพในการดำเนินธุรกิจ ความสามารถในการแข่งขัน มีความมั่นคงและปลอดภัย พร้อมรับมือกับความเสี่ยงด้านเทคโนโลยีสารสนเทศ และความเสี่ยงด้านความปลอดภัยทางไซเบอร์ (Cyber Resilience Management) ที่อาจจะเกิดขึ้น

ความท้าทาย

ภัยไซเบอร์รูปแบบใหม่ เช่น Phishing, Ransomware, Deepfake และการหลอกลวงทางอีเมล
การรักษาสมดุลระหว่าง “ความปลอดภัยของข้อมูล” กับ “ความสะดวกในการให้บริการลูกค้า”

โอกาส

การลงทุนในระบบความปลอดภัยขั้นสูง เช่น Two-Factor Authentication และ VPN ผ่าน Cisco AnyConnect เพื่อเพิ่มความเชื่อมั่นให้ลูกค้า
การพัฒนาเทคโนโลยี DLP (Data Loss Prevention) ช่วยลดความเสี่ยงเชิงรุก
การเสริมสร้างชื่อเสียงของธนาคารในฐานะ “องค์กรการเงินที่เชื่อถือได้และโปร่งใส”

แนวทางการบริหารจัดการและการสร้างคุณค่า

ธนาคารมีความมุ่งมั่นพัฒนาการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ และการรักษาความปลอดภัยจากภัยไซเบอร์อย่างต่อเนื่อง ในการสร้างโครงสร้างพื้นฐานด้านความปลอดภัยเทคโนโลยีที่มีเสถียรภาพ กำหนดมาตรการด้านการรักษาความปลอดภัยเทคโนโลยีเชิงรุก พัฒนาทักษะความรู้ความสามารถของบุคลากร ซึ่งเป็นส่วนสำคัญต่อปกป้องความปลอดภัยต่อระบบและข้อมูลเพื่อจัดการความเสี่ยงที่เกิดจากภัยคุกคามทางไซเบอร์ที่พัฒนาตลอดเวลา โดยมีเป้าหมาย ดังนี้

การรักษาความลับของระบบและข้อมูล (Confidentiality)
ความถูกต้องเชื่อถือได้ของระบบ และข้อมูล (Integrity)
ความพร้อมใช้งานของเทคโนโลยี สารสนเทศ (availability)

นอกจากนี้ ในการนำเทคโนโลยีมาใช้เพื่อเพิ่มประสิทธิภาพการให้บริการทางการเงินแก่ลูกค้า และการพัฒนาช่องทางการบริการ (Digital platform) ธนาคารมีการกำหนดระดับความเสี่ยงที่ยอมรับได้ทางด้านเทคโนโลยีสารสนเทศ (IT Risk appetite ) ระดับองค์กร เพื่อใช้ในติดตาม และบริหารจัดการความเสี่ยงที่สำคัญได้อย่างเหมาะสม มีแผนการกำกับดูแลความเสี่ยงด้านไซเบอร์ คือ การนำ Cyber Resilience Management Framework ที่ธนาคารแห่งประเทศไทยกำหนด มาปรับใช้กับธนาคาร ดังนี้

ดูภาพขนาดใหญ่

ธนาคารได้มีการแต่งตั้งผู้บริหารระดับสูงให้มีหน้าที่ความรับผิดชอบในการกำกับดูแลด้านเทคโนโลยีสารสนเทศ มีการกำหนดนโยบายด้านการรักษาความปลอดภัยของข้อมูลและระบบสารสนเทศซึ่งครอบคลุมทุกประเด็นสำคัญ จัดทำคู่มือ/แนวปฏิบัติที่ใช้ในการรักษาความปลอดภัยของข้อมูลและระบบสารสนเทศ และสื่อสารให้แก่พนักงานทุกคนได้รับทราบผ่านช่องทางสื่อสารต่างๆของธนาคาร มีการจัดกิจกรรมที่หลากหลาย การทำกรณีศึกษา ประกอบในการให้ความรู้เรื่องความเสี่ยงและภัยทางไซเบอร์อยู่อย่างสม่ำเสมอ เพื่อให้พนักงานได้มีความเข้าใจและตระหนักถึงความเสี่ยงและภัยที่มากจากไซเบอร์รวมถึงวิธีการปฏิบัติที่เหมาะสมเพื่อให้ธนาคาร พนักงาน และลูกค้าปลอดภัยจากภัยดังกล่าว