Reconix LogoReconix
SEC Thailand

Cybersecurity Compliance ตามเกณฑ์ ก.ล.ต. สำหรับตลาดทุนและ Digital Asset

ก.ล.ต. บังคับให้ทุกผู้ประกอบธุรกิจตลาดทุนและสินทรัพย์ดิจิทัลต้องผ่านการประเมินด้าน Cybersecurity ตั้งแต่ Pentest ประจำปี ไปจนถึง Smart Contract Audit ก่อนเสนอขาย ตามประกาศ ทจ. 6/2567 และ พ.ร.ก. สินทรัพย์ดิจิทัล

ทจ. 6/2567
แนวปฏิบัติด้าน IT
พ.ศ. 2561
พ.ร.ก. สินทรัพย์ดิจิทัล
CRAF
Cyber Resilience
ปีละครั้ง
ทดสอบขั้นต่ำ
ขอรับการประเมินตามเกณฑ์ ก.ล.ต.

เกณฑ์ Cybersecurity ของ ก.ล.ต. เป็นอย่างไร?

ก.ล.ต. มีกรอบ Cybersecurity ที่เข้มงวดที่สุดแห่งหนึ่งในอาเซียน ครอบคลุมทั้งตลาดทุน (โบรกเกอร์ บลจ. กองทุนรวม) และธุรกิจสินทรัพย์ดิจิทัล กฎหลักอยู่ใน 2 ฉบับ คือ ประกาศ ทจ. 6/2567 (แนวปฏิบัติด้าน IT) และ พ.ร.ก. สินทรัพย์ดิจิทัล พ.ศ. 2561

  • ประกาศ ทจ. 6/2567 บังคับให้ทำ Vulnerability Assessment, Penetration Testing และพัฒนาซอฟต์แวร์ตามแนวทาง Secure Development
  • พ.ร.ก. สินทรัพย์ดิจิทัล พ.ศ. 2561 ครอบคลุม Exchange, Broker และ ICO Portal ที่ดำเนินธุรกิจในไทย
  • CRAF (Cyber Resilience Assessment Framework) ใช้วัด Maturity ของบริษัทหลักทรัพย์และอนุพันธ์
  • Penetration Testing ต้องทำโดยผู้เชี่ยวชาญอิสระภายนอกเท่านั้น ห้ามทำเอง
  • Smart Contract Audit บังคับก่อนเปิดขาย Token/ICO และเมื่อมีการอัปเดต Smart Contract ที่สำคัญ
อ้างอิง: ประกาศ ทจ. 6/2567 (แนวปฏิบัติด้าน IT); พ.ร.ก. สินทรัพย์ดิจิทัล พ.ศ. 2561

ใครบ้างที่ต้องทำตามเกณฑ์ ก.ล.ต.?

ทั้งผู้ประกอบธุรกิจตลาดทุนและธุรกิจสินทรัพย์ดิจิทัลที่อยู่ภายใต้ ก.ล.ต. ต้องมีมาตรการ Cybersecurity ครบถ้วน

บริษัทหลักทรัพย์

โบรกเกอร์ ดีลเลอร์ และ บล. ที่มีใบอนุญาต ต้องทำตามแนวปฏิบัติด้าน IT และเกณฑ์ CRAF

บริษัทจัดการสินทรัพย์

บลจ. ผู้จัดการกองทุน และที่ปรึกษาการลงทุนที่ดูแลเงินของนักลงทุน

ศูนย์ซื้อขาย Digital Asset

แพลตฟอร์มซื้อขาย Crypto ที่ได้รับใบอนุญาตจาก ก.ล.ต.

นายหน้า/ผู้ค้า Digital Asset

ผู้ให้บริการซื้อขายสินทรัพย์ดิจิทัลแทนลูกค้า

ICO Portal และผู้ออก Token

แพลตฟอร์มที่ ก.ล.ต. อนุมัติให้ทำ ICO และเสนอขาย Token ที่มีสินทรัพย์หนุน

โครงสร้างพื้นฐานตลาดทุน

ตลาดหลักทรัพย์ สำนักหักบัญชี และ Operator ที่เป็นหัวใจของตลาดทุน

SEC Thailand

5 Security Assessment ที่ ก.ล.ต. บังคับ

ก.ล.ต. กำหนดให้ผู้ประกอบธุรกิจตลาดทุนและ Digital Asset ต้องทำ Security Assessment 5 ประเภท

Vulnerability Assessment (VA)

บังคับทำ ต้องกำหนดขอบเขตและความถี่ชัดเจน จัดลำดับความรุนแรงของช่องโหว่ที่พบ รายงานผลต่อผู้บริหาร และแก้ไขรายการ High Risk ให้เสร็จภายในกำหนด

Penetration Testing (PT)

บังคับทำ อย่างน้อยปีละครั้ง และหลังเปลี่ยนแปลงระบบสำคัญ ต้องจำลองการโจมตีจริงกับเว็บแอป แอปซื้อขายบนมือถือ และแพลตฟอร์ม Exchange โดยผู้เชี่ยวชาญอิสระเท่านั้น

Secure Code Review (SCR)

บังคับตามเกณฑ์ IT Project Management ต้องพัฒนาตาม SSDLC ใช้ SAST อัตโนมัติร่วมกับ Manual Review เพื่อกำจัดช่องโหว่ OWASP Top 10 ก่อนขึ้น Production

Red Teaming

คาดหวังจากผู้ประกอบการรายใหญ่และ Critical Infrastructure จำลองการโจมตีแบบลับ ทดสอบทั้งเทคโนโลยี Physical Security และบุคลากร เพื่อวัดความพร้อมของ SOC และ Incident Response

Smart Contract Audit

บังคับก่อนเปิดขาย ICO/Token และเมื่อมีการอัปเดต Smart Contract ที่สำคัญ ต้องผ่าน Audit โดยผู้เชี่ยวชาญผ่าน ICO Portal ที่ ก.ล.ต. อนุมัติ ก่อนเปิดขายสาธารณะ

Cyber Resilience Assessment (CRAF)

ผู้ประกอบธุรกิจตลาดทุนต้องประเมิน Cyber Resilience Maturity ใน 5 ด้าน: Identify, Protect, Detect, Respond และ Recover ตามกรอบ CRAF

แต่ละ Assessment ครอบคลุมอะไรบ้าง

การประเมินแต่ละประเภทเน้นที่ระบบคนละส่วน เป้าหมายก็ต่างกัน

IT Infrastructure ทั้งหมด

VA: สแกนหา CVE และ Misconfiguration อย่างเป็นระบบทั่วทุกระบบ

แพลตฟอร์มซื้อขาย & API

Pentest: พิสูจน์ว่าช่องโหว่ในเว็บแอป แอปมือถือ และ API โดนโจมตีจริงได้หรือไม่

Source Code

Code Review: จับ Logic Flaw และ OWASP Top 10 ตั้งแต่ตอนพัฒนา ก่อนถึงมือ User

คน กระบวนการ และเทคโนโลยี

Red Teaming: ทดสอบ Incident Response, SOC Detection และ Cyber Resilience แบบ End-to-End

Web3 Token & ICO

Smart Contract Audit: ตรวจสอบว่า On-chain Code ปลอดภัยก่อนที่เงินนักลงทุนจะเข้ามา

ระบบ e-KYC & Onboarding

ทดสอบความปลอดภัยของการยืนยันตัวตน ตรวจเอกสาร และกระบวนการเปิดบัญชี

ไม่ทำตามเกณฑ์ ก.ล.ต. จะเกิดอะไรขึ้น

บทลงโทษจาก ก.ล.ต. รุนแรงและส่งผลต่อทั้งธุรกิจและผู้บริหารโดยตรง

  • ระงับหรือเพิกถอนใบอนุญาตประกอบธุรกิจ
  • โทษอาญาสำหรับผู้บริหารและกรรมการ
  • ค่าปรับทางปกครอง
  • สั่งหยุดให้บริการทันที
  • มาตรการคุ้มครองผู้ลงทุนจาก ก.ล.ต.

บริการของเราตอบโจทย์เกณฑ์ ก.ล.ต. อย่างไร

บริการแต่ละตัวของเราแมปตรงกับข้อกำหนด Compliance ของ ก.ล.ต.

Vulnerability Assessment
สแกนหา CVE และ Misconfiguration อย่างเป็นระบบทั่วทั้ง IT Infrastructure
Penetration Testing
จำลองการโจมตีจริงกับแพลตฟอร์มซื้อขาย API และเว็บ/แอปมือถือ ประจำปี
Secure Code Review
ตรวจโค้ดตาม SSDLC ด้วย SAST + Manual Review ก่อน Deploy
Smart Contract Audit
ตรวจสอบ Smart Contract ให้ปลอดภัยก่อนเสนอขายผ่าน ICO Portal

Checklist สำหรับ Compliance ก.ล.ต.

สิ่งที่ต้องทำเพื่อรักษาสถานะ Compliance กับ ก.ล.ต.

  • ทำ VA พร้อมเอกสารขอบเขต ความถี่ และแผนแก้ไขช่องโหว่
  • Pentest ประจำปีโดยผู้เชี่ยวชาญอิสระภายนอก
  • Code Review ตาม SSDLC ก่อน Deploy ทุกครั้ง
  • Smart Contract ผ่าน Audit โดยผู้เชี่ยวชาญก่อนเสนอขายสาธารณะ
  • ประเมิน CRAF Maturity และรายงานผลต่อ ก.ล.ต.
  • จัดทำรายงาน Security Assessment พร้อมยื่นประกอบการขอ/ต่อใบอนุญาต

เอกสารอ้างอิง

อ่านรายละเอียดกฎระเบียบฉบับเต็มจากแหล่งทางการ

พ.ร.ก. การประกอบธุรกิจสินทรัพย์ดิจิทัล พ.ศ. 2561 (EN)SEC Digital Asset Business OperatorsThai Capital Market Cyber ResilienceCyber Resilience Assessment Framework (CRAF)

บริการที่เกี่ยวข้อง

บริการเฉพาะทางที่ช่วยให้ผ่านเกณฑ์ ก.ล.ต. ได้ครบทุกข้อ

Vulnerability Assessment

สแกนหาช่องโหว่และจัดลำดับความเสี่ยงทั่วทั้ง IT Infrastructure และ Application

เรียนรู้เพิ่มเติม

Web Application Penetration Testing

ทดสอบเชิงลึกสำหรับแพลตฟอร์มซื้อขาย Portal และเว็บแอปที่ให้บริการลูกค้า

เรียนรู้เพิ่มเติม

Smart Contract Audit

ตรวจสอบความปลอดภัย Smart Contract สำหรับ DeFi, Token และ ICO อย่างเข้มงวด

เรียนรู้เพิ่มเติม
กลับไปหน้า Compliance

คำถามที่พบบ่อยเรื่อง Compliance ก.ล.ต.

รวมคำตอบเรื่อง Cybersecurity ตามเกณฑ์ ก.ล.ต. สำหรับตลาดทุนและธุรกิจ Digital Asset

พร้อมผ่านเกณฑ์ ก.ล.ต. แล้วหรือยัง?

ปกป้องใบอนุญาตและความเชื่อมั่นของนักลงทุน ด้วย Security Assessment ที่ตรงตามเกณฑ์ ก.ล.ต. ทุกข้อ

Reconix เป็นบริษัทชั้นนำด้านความปลอดภัยไซเบอร์ในประเทศไทย ที่ให้บริการระดับโลกแก่ธุรกิจทุกขนาด