Cybersecurity ตามเกณฑ์ คปภ. สำหรับธุรกิจประกันภัย
บริษัทประกันภัยและ Insurtech ทุกรายต้องทำตามหลักเกณฑ์ IT Governance ของ คปภ. ปกป้องข้อมูลผู้เอาประกัน ผ่านการตรวจสอบ และสร้างความต่อเนื่องทางธุรกิจ
เกณฑ์ Cybersecurity ของ คปภ. คืออะไร?
คปภ. (สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย) กำกับดูแลธุรกิจประกันภัยในไทย โดยหลักเกณฑ์ด้าน Cybersecurity มาจากประกาศนายทะเบียน เรื่อง หลักเกณฑ์การกำกับดูแลและบริหารจัดการความเสี่ยงด้าน IT ของบริษัทประกันชีวิตและวินาศภัย พ.ศ. 2563
เกณฑ์นี้พัฒนาตามแนวทางของ ธปท. แต่ปรับให้เหมาะกับธุรกิจประกันภัยที่ต้องดูแลข้อมูลส่วนบุคคลและข้อมูลสุขภาพที่ละเอียดอ่อนเป็นพิเศษ ครอบคลุมตั้งแต่ IT Governance, Security Policy, Data Protection, Business Continuity ไปจนถึง Secure SDLC
คปภ. ใช้หลัก "Three Lines of Defense" คือ Operational Control, Risk Management & Compliance และ Independent Assurance ทั้งหมดเป็น Risk-based Approach ที่กรรมการต้องดูผลประเมิน Security ด้วยตัวเอง และต้องให้งบประมาณทีม IT แก้ไขปัญหาจริง
ใครต้องทำตาม?
บังคับใช้กับทุกองค์กรที่อยู่ภายใต้การกำกับดูแลของ คปภ.
ข้อกำหนดหลักด้าน Cybersecurity ของ คปภ.
6 เสาหลักที่บริษัทประกันภัยทุกแห่งต้องดำเนินการตามเกณฑ์ คปภ.
IT Governance และ Three Lines of Defense
กรรมการต้องดูแลด้าน IT Security โดยตรง ทบทวนผลประเมินความเสี่ยง อนุมัติงบแก้ไข และรับผิดชอบทั่วทั้งองค์กร
Security Policy
ต้องมีนโยบาย มาตรฐาน และขั้นตอนด้าน Security เป็นลายลักษณ์อักษร ครอบคลุมทุกด้านของ IT รวมถึง SDLC ต้องมี Secure Coding และทบทวนเป็นประจำ
Security Risk Assessment
บังคับทำ Vulnerability Assessment และ Penetration Testing โดยเฉพาะ E-Insurance ต้องระบุ CVE อย่างเป็นระบบ จัดลำดับตามความเสี่ยง และมีหลักฐานการแก้ไขพร้อม Re-test
คุ้มครองข้อมูลผู้เอาประกัน
ต้องปกป้องข้อมูลส่วนบุคคล ประวัติสุขภาพ และข้อมูลการเงินของลูกค้าด้วยมาตรการทางเทคนิคที่เหมาะสม
Incident Response และ Business Continuity
ต้องมีแผนตรวจจับ ตอบสนอง และกู้คืนจากเหตุการณ์ด้าน Security ที่ซ้อมแล้ว Cyber Threat ต้องรวมอยู่ใน Enterprise Risk Management (ERM) ด้วย
Third-Party Risk Management
ต้องประเมินและติดตาม Vendor ภายนอกอย่างต่อเนื่อง แม้ Outsource การพัฒนา บริษัทประกันภัยก็ยังต้องรับผิดชอบให้ผู้พัฒนาทำ Secure Code Review
คุ้มครองข้อมูลผู้เอาประกัน
บริษัทประกันภัยถือข้อมูลละเอียดอ่อนหลายประเภท ต้องมี Security ที่แข็งแกร่ง
ประเภทข้อมูลที่มีความอ่อนไหวของบริษัทประกันภัย
- ข้อมูลระบุตัวตนบุคคล
- ประวัติสุขภาพและเวชระเบียน
- ข้อมูลการเงินและการชำระเงิน
- ประวัติเคลม และรายละเอียดการชดใช้
- ข้อมูลผู้รับผลประโยชน์และครอบครัว
ข้อกำหนดคู่กับ PDPA มาตรา 37
นอกจากเกณฑ์ คปภ. แล้ว บริษัทประกันภัยยังต้องทำตาม PDPA มาตรา 37 ที่บังคับให้มีมาตรการทางเทคนิคป้องกันข้อมูลส่วนบุคคลด้วย ทำให้ต้อง Comply กับกฎสองฉบับพร้อมกัน
ไม่ทำตามจะเกิดอะไรขึ้น?
- ถูก คปภ. ลงโทษทางปกครอง
- ถูกตรวจสอบบ่อยขึ้นและกำกับดูแลเข้มงวดขึ้น
- อาจถูกจำกัดการทำธุรกิจหรือไม่อนุมัติผลิตภัณฑ์ใหม่
- เสียชื่อเสียงจากเหตุการณ์ด้าน Security ที่กระทบผู้เอาประกัน
- โทษตาม PDPA เพิ่มเติม: ปรับทางปกครองสูงสุด 5,000,000 บาทสำหรับข้อมูลอ่อนไหว (3,000,000 บาทสำหรับข้อมูลส่วนบุคคลทั่วไป) ตามมาตรา 83–84
Security Testing ตอบโจทย์เกณฑ์ คปภ. อย่างไร
การทดสอบแต่ละอย่างแมปตรงกับข้อกำหนดเฉพาะของ คปภ. ตามประกาศ พ.ศ. 2563
Checklist Compliance คปภ.
สิ่งที่ต้องตรวจสอบให้ครบตามเกณฑ์ Cybersecurity ของ คปภ. พ.ศ. 2563
- มี IT Governance ตามหลัก Three Lines of Defense กรรมการกำกับดูแลด้าน IT Security
- มี Security Policy ที่จัดทำ อนุมัติ และทบทวนแล้ว รวมถึง SDLC Security
- ทำ Vulnerability Assessment เป็นประจำ พร้อมติดตาม CVE และหลักฐานการแก้ไข
- ทำ Penetration Testing เป็นระยะ (อย่างน้อยปีละครั้ง) และทดสอบก่อนเปิดตัว E-Insurance
- มี Secure Code Review ในกระบวนการพัฒนา (รวมถึงงานที่ Outsource)
- มีแผน Incident Response ที่ซ้อมแล้ว และรวมอยู่ใน Enterprise Risk Management
- ประเมิน Vendor ภายนอกด้าน Security และติดตามอย่างต่อเนื่อง
- ตรวจสอบมาตรการคุ้มครองข้อมูลผู้เอาประกันครบทุกระบบ
เอกสารอ้างอิง
อ่านประกาศและกฎระเบียบฉบับเต็มจากแหล่งทางการ
คำถามที่พบบ่อย
รวมคำถามเกี่ยวกับเกณฑ์ Cybersecurity ของ คปภ. สำหรับธุรกิจประกันภัย
ยกระดับ Security ธุรกิจประกันภัย
ทำตามเกณฑ์ คปภ. ทุกข้อด้วยการประเมินจากผู้เชี่ยวชาญที่เข้าใจธุรกิจประกันภัยโดยเฉพาะ
Reconix เป็นบริษัทชั้นนำด้านความปลอดภัยไซเบอร์ในประเทศไทย ที่ให้บริการระดับโลกแก่ธุรกิจทุกขนาด