Reconix LogoReconix
Bank of Thailand

Penetration Testing และ iPentest ตามเกณฑ์ ธปท.

ธปท. บังคับให้สถาบันการเงินทุกแห่งทดสอบเจาะระบบประจำปีและผ่าน iPentest ตามแนวปฏิบัติ IT Risk Management เราช่วยทำการประเมิน จัดทำรายงาน Board-Ready และให้คำแนะนำการแก้ไขครบวงจร

ปีละครั้ง
ความถี่ขั้นต่ำ
D-SIBs
เข้มงวดสูงสุด
NIST CSF
กรอบมาตรฐาน
Board-Ready
ระดับรายงาน
ขอรับการประเมินตามเกณฑ์ ธปท.
มาตรา 2.6.7

รากฐาน: แนวปฏิบัติ IT Risk Management ของ ธปท.

ปรับปรุงล่าสุดเมื่อพฤศจิกายน 2566 เพื่อรับมือกับ Digital Transformation และภัยคุกคามไซเบอร์ที่ซับซ้อนขึ้น เป็นเกณฑ์พื้นฐานที่ทุกหน่วยงานภายใต้ ธปท. ต้องปฏิบัติตาม ไม่ว่าจะเป็นธนาคารพาณิชย์ Non-Bank หรือผู้ให้บริการชำระเงิน

  • ต้องมีกระบวนการและเครื่องมือสำหรับ VA และ Penetration Testing อย่างสม่ำเสมอ (มาตรา 2.6.7)
  • ขอบเขตต้องครอบคลุมทุก Critical Infrastructure: แอป Mobile Banking, เว็บแอป, API, Network และ Cloud
  • ต้องมีทีม Vulnerability Management เฉพาะทาง ทำหน้าที่บันทึก จัดลำดับ มอบหมายผู้แก้ไข และติดตามจนเสร็จภายในเวลาที่กำหนด
  • รายงาน IT Risk Assessment และผลตรวจสอบต้องส่ง ธปท. ภายใน 30-45 วัน แล้วแต่ประเภทรายงาน
กรอบ Red Teaming

iPentest: มากกว่าการสแกน คือ Red Teaming จริงจัง

การสแกนช่องโหว่อย่างเดียวไม่เพียงพอสำหรับ Regulator ภาคธนาคาร ธปท. ร่วมกับ TB-CERT พัฒนากรอบ iPentest ขึ้นมา เป็น Intelligence-Led Red Teaming ที่ทดสอบระบบป้องกันแบบเดียวกับที่ผู้โจมตีจริงจะทำ

  • จำลองการโจมตีที่ซับซ้อนในสถานการณ์จริง โดยอิง Threat Intelligence ล่าสุด
  • ทดสอบครบทุกมิติ: บุคลากร (Social Engineering, Phishing), กระบวนการ (Incident Response, Blue Team) และเทคโนโลยี
  • Red Team, Blue Team, ทีมพัฒนา และเจ้าของธุรกิจ ต้องทำงานร่วมกันตลอดการทดสอบ
  • ทุกฝ่ายเข้าใจช่องโหว่ที่พบและร่วมกันแก้ไขให้ถูกจุดอย่างมีประสิทธิภาพ
กรอบสอดคล้อง NIST

กรอบ Cyber Resilience ของ ธปท.

Penetration Testing เป็นส่วนหนึ่งของภาพใหญ่ กรอบ Cyber Resilience ของ ธปท. อิงตาม NIST Cybersecurity Framework และขยายเป็น 6 โดเมนที่ทุกสถาบันต้องดำเนินการ

1

Governance

การกำกับดูแลระดับคณะกรรมการและโครงสร้างธรรมาภิบาลด้านไซเบอร์

2

Identification

การบริหารสินทรัพย์ การประเมินความเสี่ยง และการระบุภัยคุกคาม

3

Protection

การควบคุมการเข้าถึง ความปลอดภัยของข้อมูล และเทคโนโลยีป้องกัน

4

Detection

การเฝ้าระวังด้านความปลอดภัย การทดสอบเจาะระบบ และการประเมินช่องโหว่

โดเมนการทดสอบเจาะระบบ
5

Response

การวางแผนตอบสนองต่อเหตุการณ์ การสื่อสาร และการบรรเทาผลกระทบ

6

Third-Party Risk Management

การประเมินความปลอดภัยของผู้ให้บริการ IT ภายนอกและผู้ให้บริการ

ใครบ้างที่ต้องทำ?

สถาบันการเงินทุกแห่งภายใต้ ธปท. ต้องทำ Penetration Testing และ iPentest โดย D-SIBs ถูกกำกับเข้มงวดที่สุด

ธนาคารพาณิชย์

โดยเฉพาะ D-SIBs ที่ถูกคาดหวังในระดับสูงกว่าธนาคารทั่วไป

บริษัทเงินทุน

บริษัทเงินทุนและเครดิตฟองซิเอร์ที่ได้รับใบอนุญาตจาก ธปท.

ผู้ให้บริการ e-Payment

ผู้ดำเนินการโอนเงินอิเล็กทรอนิกส์ กระเป๋าเงินดิจิทัล และ Payment Gateway

ผู้ให้บริการ Mobile Banking

สถาบันใดก็ตามที่มีแอป Mobile Banking ภายใต้การกำกับของ ธปท.

บริษัทบัตรเครดิต

ผู้ออกบัตรและผู้รับบัตร (Issuer & Acquirer) ในระบบบัตรเครดิตและบัตรชำระเงิน

แพลตฟอร์มสินเชื่อดิจิทัล

สินเชื่อออนไลน์และ Peer-to-Peer Lending ที่อยู่ภายใต้ ธปท.

ข้อกำหนด

ธปท. คาดหวังอะไร

ธปท. กำหนด Security Assessment ที่ทุกสถาบันการเงินต้องทำ นี่คือข้อกำหนดหลัก

1

VA & Penetration Testing สม่ำเสมอ (มาตรา 2.6.7)

ต้องมีกระบวนการและเครื่องมือสำหรับ VA และ Penetration Testing อย่างต่อเนื่อง ครอบคลุม Critical Infrastructure ทั้งหมด

2

iPentest ประจำปีโดยผู้เชี่ยวชาญอิสระ

ต้องจ้างผู้ประเมินจากภายนอกที่มีคุณสมบัติเหมาะสมและไม่มีผลประโยชน์ทับซ้อน ทำ Intelligence-Led Penetration Testing อย่างน้อยปีละครั้ง

3

ทีม Vulnerability Management เฉพาะทาง

ต้องมีทีมที่ทำหน้าที่บันทึก จัดลำดับความรุนแรง มอบหมายผู้รับผิดชอบ และติดตามการแก้ไขทุก Finding จนเสร็จภายในเวลาที่กำหนด

4

ขอบเขตครบทุกระบบ

ต้องทดสอบทุกอย่าง ตั้งแต่ Mobile Banking, เว็บแอป, API, Network Infrastructure ไปจนถึง Cloud ไม่มีข้อยกเว้น

5

รายงานระดับ Board

ผลการทดสอบต้องสรุปเป็นรายงาน Board-Ready ที่สื่อสาร Risk Exposure แผนการแก้ไข และสถานะ Compliance ให้กรรมการและผู้บริหารเข้าใจได้ชัดเจน

6

ส่งรายงาน ธปท. ตรงเวลา

IT Risk Assessment และผลตรวจสอบต้องส่งถึง ธปท. ภายใน 30-45 วัน ตามประเภทรายงาน ส่งไม่ทันหมายถึงเสี่ยงต่อมาตรการลงโทษ

ขอบเขตที่ต้องทดสอบ

Penetration Testing และ iPentest ต้องครอบคลุม Digital Footprint ทั้งหมด ตั้งแต่แอปที่ลูกค้าใช้ไปจนถึงระบบ Clearing ด้านหลัง

  • แอปพลิเคชัน Mobile Banking (iOS & Android)
  • เว็บแอปพลิเคชันและระบบ Internet Banking
  • อินเทอร์เฟซ API และระบบธนาคารหลัก
  • โครงสร้างพื้นฐานเครือข่ายและการแบ่งส่วนเครือข่าย
  • สภาพแวดล้อมคลาวด์
  • โครงสร้างพื้นฐาน Payment Gateway
  • ระบบ SWIFT และ Local Clearing
  • การเชื่อมต่อกับผู้ให้บริการภายนอก
วิธีการ

มาตรฐานทางเทคนิคที่ ธปท. คาดหวัง

ธปท. กำหนดข้อบังคับ แต่การทดสอบต้องดำเนินการตาม Methodology ที่ได้รับการยอมรับในระดับสากล

OWASP WSTG / MSTG

มาตรฐานสากลสำหรับทดสอบความปลอดภัยเว็บพอร์ทัลและแอป Mobile Banking

NIST SP 800-115

คู่มือทดสอบและประเมินความมั่นคงปลอดภัยสารสนเทศ เป็นกรอบมาตรฐานที่ใช้อ้างอิงทั่วโลก

Secure Code Review

Penetration Testing ต้องเสริมด้วย Code Review ที่บูรณาการเข้ากับ Development Lifecycle

ความเสี่ยงจากการไม่ปฏิบัติตาม

ไม่ทำตามเกณฑ์ ธปท. จะเจออะไร

ผลกระทบจากการไม่ปฏิบัติตามเกณฑ์ Cybersecurity ของ ธปท. ไม่ใช่แค่หนังสือเตือน แต่กระทบการดำเนินธุรกิจโดยตรง

ระงับบริการบางส่วน

ธปท. สามารถสั่งจำกัดหรือหยุดบริการ Mobile Banking, Internet Banking หรือ Product Launch ได้ จนกว่าจะแก้ไขจุดอ่อนเสร็จ

มาตรการลงโทษยกระดับ

ตั้งแต่ตักเตือนอย่างเป็นทางการ เพิ่มความเข้มข้นในการกำกับดูแล ไปจนถึงมาตรการบังคับที่เข้มงวดขึ้นเรื่อย ๆ

สั่งแก้ไขทันที

อาจถูกสั่งให้แก้ไขภายในกำหนดเวลาเข้มงวด พร้อมรายงานความคืบหน้าต่อ Regulator ทุกขั้นตอน

ทบทวนใบอนุญาต

กรณีร้ายแรงหรือทำผิดซ้ำ อาจนำไปสู่การทบทวนใบอนุญาตประกอบธุรกิจ ซึ่งอาจจำกัดกิจกรรมทางธุรกิจหลัก

กรอบกฎหมาย

กฎหมายที่หนุนหลัง

แนวปฏิบัติของ ธปท. ไม่ได้อยู่โดดเดี่ยว มีกฎหมายไทย 3 ฉบับที่ให้อำนาจบังคับใช้อย่างเต็มที่

พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

สถาบันการเงินถูกจัดเป็น Critical Information Infrastructure (CII) ต้องมีกรอบ Cybersecurity ที่แข็งแกร่ง ทำ Risk Assessment ประจำปี และรายงานภัยคุกคามสำคัญต่อ สกมช. ทันที

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) พ.ศ. 2562

Penetration Testing สนับสนุน PDPA โดยตรง เพราะตรวจสอบว่ามาตรการทางเทคนิคปกป้องข้อมูลส่วนบุคคลได้จริงหรือไม่ ช่องโหว่ที่ไม่แก้ไขจนเกิด Data Breach อาจโดนโทษ PDPA หนัก ทำให้ Pentest กลายเป็นเรื่องจำเป็นทางกฎหมาย

พ.ร.บ.ระบบการชำระเงิน พ.ศ. 2560

ให้อำนาจ ธปท. กำกับดูแลผู้ให้บริการ e-Payment โดยตรง ผู้ดำเนินการระบบชำระเงินที่สำคัญต้องผ่าน IT Security Audit อย่างน้อยปีละครั้ง (รวม Penetration Testing) และส่งผลต่อ Board ของ ธปท.

การแมปข้อกำหนด

บริการของเราแมปกับเกณฑ์ ธปท. อย่างไร

ทุกการประเมินแมปตรงกับข้อกำหนดเฉพาะของ ธปท. เพื่อไม่ให้มีช่องว่างเมื่อถึงรอบตรวจสอบ

การประเมินข้อกำหนด ธปท.ขอบเขต
การทดสอบความปลอดภัย Mobile Appการบริหารความเสี่ยง IT (มาตรา 2.6.7)Biometrics, การจัดการ Session, Anti-Fraud, การจัดเก็บข้อมูลปลอดภัย (OWASP MSTG)
การประเมินความปลอดภัย APIการปกป้องอินเทอร์เฟซ Core BankingAuthentication, Authorization, Data Validation, Rate Limiting
Network Penetration Testingการตรวจสอบ Infrastructure SegmentationFirewall Rules, VLAN Segmentation, Lateral Movement Testing
Red Team Simulation (iPentest)การจำลองภัยคุกคามเชิงข่าวกรองจำลองสถานการณ์โจมตีจริง, TTP Emulation, Social Engineering, Detection Testing
Web Application Testingความปลอดภัย Internet BankingOWASP WSTG, Business Logic, Authentication Flows
Third-Party Risk Assessmentการบริหารความเสี่ยงผู้ให้บริการภายนอก (TPRM)Vendor API Security, Integration Points, Data Flow Analysis
Checklist ความพร้อม

Checklist ความพร้อมตามเกณฑ์ ธปท.

ตรวจสอบความพร้อมขององค์กรกับทุกข้อกำหนดสำคัญก่อนถึงรอบตรวจสอบถัดไป

  • มีตารางการทดสอบเจาะระบบและ VA ประจำปีที่ได้รับอนุมัติจากคณะกรรมการ
  • ว่าจ้างผู้ประเมินอิสระจากภายนอกที่ไม่มีผลประโยชน์ทับซ้อน
  • ดำเนินการ iPentest (Red Team) ตามกรอบ TB-CERT แล้ว
  • ความปลอดภัยของแอปพลิเคชัน Mobile Banking ผ่านการตรวจสอบตาม OWASP MSTG
  • จัดตั้งทีมบริหารช่องโหว่พร้อมกรอบเวลาแก้ไขที่กำหนด
  • จัดทำรายงานสรุปผู้บริหารระดับ Board และนำเสนอแล้ว
  • ช่องโหว่ระดับ Critical และ High ทั้งหมดได้รับการแก้ไขพร้อมหลักฐาน Retest
  • รายงานการประเมินความเสี่ยง IT ต่อ ธปท. ภายในเวลาที่กำหนด (30–45 วัน)
  • ตรวจสอบการแบ่งส่วนเครือข่ายและการควบคุมโครงสร้างพื้นฐานแล้ว
  • ประเมินความเสี่ยงผู้ให้บริการภายนอก (Third-Party) เสร็จสิ้น
  • ประเมินความปลอดภัยสภาพแวดล้อมคลาวด์แล้ว
  • บูรณาการ Secure Code Review เข้ากับวงจรการพัฒนา
เอกสารส่งมอบ

สิ่งที่คุณได้รับ: เอกสาร BOT-Ready

ทุก Engagement จัดทำเอกสารที่ทีมของคุณต้องการสำหรับรอบ IT Examination ของ ธปท.

ใบรับรองการทำ iPentest สำเร็จ

ใบรับรองอย่างเป็นทางการเพื่อยื่นต่อหน่วยงานกำกับดูแล

สรุปผลระดับคณะกรรมการ

รายงานความเสี่ยงแบบไม่เทคนิคสำหรับนำเสนอต่อคณะกรรมการ

รายงานทางเทคนิคพร้อมคะแนน CVSS

รายงานช่องโหว่โดยละเอียดพร้อมคะแนนความรุนแรงตามมาตรฐานสากล

แผนการแก้ไขตามลำดับความสำคัญ

แผนดำเนินการแก้ไขจัดลำดับตามความรุนแรงและผลกระทบทางธุรกิจ

หลักฐานการตรวจสอบซ้ำ (Retesting)

เอกสารยืนยันว่าช่องโหว่ที่พบได้รับการแก้ไขสำเร็จแล้ว

รายงานการประเมินตามเกณฑ์ ธปท.

รายงานการประเมินฉบับสมบูรณ์ที่จัดทำตามข้อกำหนด IT Examination ของ ธปท.

เอกสารอ้างอิงอย่างเป็นทางการ

ศึกษาเอกสารกฎระเบียบต้นฉบับสำหรับข้อกำหนดฉบับเต็ม

แนวปฏิบัติการบริหารความเสี่ยงด้าน IT ธปท. (พ.ย. 2566, PDF)แนวปฏิบัติ iPentest ธปท. (PDF)นโยบายด้านความมั่นคงปลอดภัย IT ธปท. (EN PDF)พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ — สกมช.พ.ร.บ.ระบบการชำระเงิน — ธปท.

บริการที่เกี่ยวข้อง

บริการด้านความปลอดภัยทางไซเบอร์ครบวงจรเพื่อสนับสนุนการปฏิบัติตามเกณฑ์ ธปท.

Penetration Testing

บริการทดสอบเจาะระบบครบวงจรสำหรับโครงสร้างพื้นฐานและแอปพลิเคชันขององค์กร

ดูรายละเอียด

Mobile App Penetration Testing

การทดสอบความปลอดภัยเฉพาะทางสำหรับแอปพลิเคชันธนาคารบน iOS และ Android

ดูรายละเอียด

Network Penetration Testing

การตรวจสอบโครงสร้างพื้นฐานและการแบ่งส่วนเครือข่ายสำหรับระบบการเงิน

ดูรายละเอียด
กลับไปหน้า Compliance

คำถามที่พบบ่อยเรื่อง Penetration Testing ของ ธปท.

รวมคำตอบเรื่องข้อกำหนด Penetration Testing, iPentest และกรอบเวลาการ Comply ของ ธปท.

พร้อมรับการตรวจสอบจาก ธปท.

Penetration Testing และ iPentest จากผู้เชี่ยวชาญที่ตอบโจทย์ทุกข้อกำหนดของ ธปท. พร้อมรายงาน Board-Ready และแผนแก้ไขที่ชัดเจน

Reconix เป็นบริษัทชั้นนำด้านความปลอดภัยไซเบอร์ในประเทศไทย ที่ให้บริการระดับโลกแก่ธุรกิจทุกขนาด