Online Banking
ลูกค้าบุคคล
- บัวหลวง ไอแบงก์กิ้ง
- บัวหลวง ไอแบงก์กิ้ง
- บัวหลวง ไอแบงก์กิ้ง
- โมบายแบงก์กิ้ง
- โมบายแบงก์กิ้ง
- โมบายแบงก์กิ้ง
- บัวหลวง ไอฟันด์
ความมุ่งมั่น
ความสำคัญ
ความเสี่ยงด้านเทคโนโลยีสารสนเทศรวมถึงความเสี่ยงจากภัยคุกคามทางไซเบอร์ ถือเป็นประเด็นความเสี่ยงหลักของธนาคารที่ต้องมีการบริหารจัดการอย่างรัดกุม ธนาคารวางกรอบการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศและความปลอดภัยทาไงซเบอร์ตามข้อบังคับของหน่วยงานกำกับดูแลและแนวปฏิบัติตามมาตรฐานสากล อีกทั้งกำหนดแผนรับมือภัยไซเบอร์รูปแบบต่าง ๆ โดยนำเอาเทคโนโลยีที่ทันสมัยมาใช้ในการเฝ้าระวังและตรวจจับสถานการณ์หรือเหตุผิดปกติที่อาจสร้างความเสียหายต่อข้อมูลและระบบสารสนเทศของธนาคาร ธนาคารกำหนดมาตรฐานด้านความมั่นคงปลอดภัยของข้อมูลในระบบการให้บริการธนาคารทั้งระบบ พร้อมทั้งมีการตรวจประเมินมาตรฐานดังกล่าวอย่างสม่ำเสมอทั้งก่อนและหลังการให้บริการ นอกจากนี้ ธนาคารยังมุ่งมั่นพัฒนาศักยภาพของบุคลากรด้านความมั่นคงปลอดภัยทางไซเบอร์อย่างต่อเนื่อง เพื่อให้มีความพร้อมในการรับมือภัยคุกคามทางไซเบอร์ใหม่ ๆ ได้อย่างทันท่วงที
การกำกับดูแลด้านความปลอดภัยทางไซเบอร์
ธนาคารกำหนดโครงสร้างการกำกับดูแลด้านเทคโนโลยีสารสนเทศและความปลอดภัยทางไซเบอร์ โดยกำหนดหน้าที่ความรับผิดชอบอย่างชัดเจนตั้งแต่ระดับคณะกรรมการจนถึงระดับจัดการ เพื่อให้การบริหารจัดการความปลอดภัยด้านสารสนเทศและความปลอดภัยทางไซเบอร์สอดคล้องตามกฎหมายและนโยบายของธนาคาร
นโยบายและมาตรการด้านความปลอดภัยทางไซเบอร์
ธนาคารกำหนดนโยบายความมั่นคงปลอดภัยด้านสารสนเทศและความปลอดภัยทางไซเบอร์ที่สอดคล้องกับมาตรฐานสากลและข้อบังคับของทางการ เพื่อเป็นแนวทางในการดูแลข้อมูลสารสนเทศและการรับมือกับการโจมตีทางไซเบอร์ นโยบายดังกล่าวบังคับใช้กับพนักงานของธนาคารทุกคนและบุคคลภายนอกที่ปฏิบัติงานให้กับธนาคาร อีกทั้งส่งเสริมให้มีการปฏิบัติตามนโยบาย โดยการสื่อสารและจัดกิจกรรมความรู้ผ่านช่องทางการสื่อสารภายในองค์กรอย่างต่อเนื่อง พร้อมทั้งจัดทำคู่มือการรักษาความปลอดภัยสารสนเทศและความปลอดภัยทางไซเบอร์ ตลอดจนมาตรฐานที่เกี่ยวข้องเพื่อให้เกิดความชัดเจนในทางปฏิบัติ
ธนาคารได้กำหนดระเบียบการใช้งานอุปกรณ์เคลื่อนที่ การเข้าถึงข้อมูลจากภายนอก การจัดการจดหมายอิเล็กทรอนิกส์ และการจัดเก็บข้อมูลให้สอดคล้องกับนโยบายความมั่นคงปลอดภัยด้านสารสนเทศและความปลอดภัยทางไซเบอร์ และนโยบายอื่น ๆ ที่เกี่ยวข้องของธนาคาร นอกจากนี้ ธนาคารได้ติดตั้งระบบความปลอดภัยในอุปกรณ์ฮาร์ดแวร์ทั้งหมด อีกทั้งมีการตรวจจับมัลแวร์บนอุปกรณ์อย่างสม่ำเสมอ และการตรวจสอบข้อมูลรั่วไหลจากแหล่งต่าง ๆ เพื่อกำหนดมาตรการป้องกันเชิงรุก
การติดตามเหตุการณ์ด้านความปลอดภัยทางไซเบอร์
ธนาคารมีการเฝ้าระวังเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของข้อมูลตลอด 24 ชั่วโมง โดยมีแนวปฏิบัติที่ชัดเจนพร้อมกำหนดระยะเวลาในการยกระดับความรุนแรงของเหตุการณ์และแจ้งเหตุให้ผู้เกี่ยวข้องรับทราบ เพื่อให้มีการติดตามและจัดการเหตุอย่างทันท่วงทีก่อนที่ความเสียหายจะลุกลาม นอกจากนี้ ธนาคารให้ความสำคัญกับการพัฒนาศักยภาพของพนักงานในหน่วยงานที่เกี่ยวข้องให้มีความพร้อมในการป้องกันและรับมือกับภัยคุกคามทางไซเบอร์อยู่เสมอ โดยการส่งพนักงานเข้าร่วมการอบรมที่จัดขึ้นโดยหน่วยงานภายในและภายนอกธนาคาร
พนักงานที่พบเหตุการณ์ต้องสงสัยด้านเทคโนโลยีสารสนเทศและความปลอดภัยทางไซเบอร์สามารถรายงานไปยังหน่วยงาน Service Desk ตามช่องทางที่ธนาคารกำหนดไว้ นอกจากนี้ ธนาคารยังจัดให้มีช่องทางสำหรับพนักงานแจ้งเหตุภัยคุกคามทางไซเบอร์ในกรณีที่มีการแอบอ้างเป็นธนาคารได้ตลอด 24 ชั่วโมง โดยสามารถรายงานผ่านแพลตฟอร์ม Power Apps เพื่อให้หน่วยงานที่เกี่ยวข้องตรวจสอบ วิเคราะห์ และตอบสนองต่อภัยคุกคามได้อย่างทันท่วงที ในปี 2568 ธนาคารไม่พบกรณีการละเมิดความปลอดภัยข้อมูลสารสนเทศหรือเหตุการณ์ด้านความปลอดภัยทางไซเบอร์
การเตรียมความพร้อมในการรับมือเหตุการณ์ด้านความปลอดภัยทางไซเบอร์
เพื่อให้มั่นใจว่าระบบเทคโนโลยีสารสนเทศของธนาคารได้รับการปกป้องอย่างเพียงพอและสามารถรับมือกับภัยคุกคามทางไซเบอร์ได้อย่างทันท่วงที ธนาคารจัดให้มีการตรวจประเมินด้านความปลอดภัยของระบบเทคโนโลยีสารสนเทศเป็นประจำทุกปี โดยหน่วยงานตรวจสอบภายใน รวมถึงการตรวจสอบประเมินด้านการจัดการความปลอดภัยด้านเทคโนโลยีสารสนเทศโดยหน่วยงานอิสระภายนอก ซึ่งการตรวจประเมินดังกล่าวครอบคลุมการควบคุมทั่วไปด้านเทคโนโลยีสารสนเทศและการควบคุมเฉพาะระบบงาน ธนาคารมีกระบวนการจัดการช่องโหว่ อีกทั้งมีการประเมินช่องโหว่ของระบบงานที่สำคัญและมีการทดสอบเจาะระบบภายใต้สถานการณ์เสมือนจริงเป็นประจำทุกปี
หน่วยงานจัดการความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศจัดให้มีการทดสอบและซักซ้อมแผนรับมือภัยคุกคามทางไซเบอร์เป็นประจำ อย่างน้อยปีละ 2 ครั้ง โดยมีการปรับเปลี่ยนสถานการณ์ที่ใช้ในการซักซ้อมอยู่เสมอ และนำผลการซ้อมไปใช้ในการปรับปรุงกระบวนการรับมือภัยคุกคามทางไซเบอร์ให้มีประสิทธิผลมากขึ้น ในปี 2568 ธนาคารจัดซ้อมแผนรับมือเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ 3 ครั้ง ประกอบด้วยการซ้อมภายในธนาคารสำหรับกิจการในประเทศไทย การซ้อมภายในธนาคารร่วมกับสาขาต่างประเทศ และการซ้อมระดับประเทศโดยสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) นอกจากนี้ ธนาคารเสริมสร้างความตระหนักรู้เกี่ยวกับความปลอดภัยทางไซเบอร์ผ่านการจัดส่ง Phishing Email ที่มีเนื้อหาแตกต่างกันตลอดทั้งปีไปยังกรรมการ ผุ้บริหาร และพนักงานทุกคน และนำผลการทดสอบมาใช้ในการสื่อสารเพื่อเสริมความเข้าใจเกี่ยวกับวิธีการสังเกตและรับมือกับ Phishing Email
ความร่วมมือกับหน่วยงานภายนอกเพื่อสร้างความปลอดภัยทางไซเบอร์
ธนาคารประสานความร่วมมือกับหน่วยงานภายนอกทั้งในระดับประเทศและระดับสากล ได้แก่ ศูนย์ประสานงานด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคการธนาคาร (TB-CERT) ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ThaiCERT) และศูนย์บริการการเงิน การแบ่งปัน และวิเคราะห์ข้อมูล (FS-ISAC) เพื่อแลกเปลี่ยนข้อมูลข่าวสารด้านความปลอดภัยทางไซเบอร์ และร่วมกิจกรรมเพื่อพัฒนาขีดความสามารถในการรับมือกับภัยคุกคามทางไซเบอร์
ในปี 2568 ธนาคารเข้าร่วมงานสัมมนาประจำปีของ TB-CERT ที่จัดขึ้นภายใต้ธีม “The Quantum-AI Shift: Cybersecurity & Fraud in the Next Era” เพื่อให้ความรู้เกี่ยวกับการยกระดับความมั่นคงปลอดภัยไซเบอร์ของประเทศในยุคที่เทคโนโลยีควอนตัมและ AI มีบทบาทสำคัญและกำลังปฏิวัติระบบการเงินและการลงทุน ผู้บริหารของธนาคารได้เข้าร่วมการเสวนาแลกเปลี่ยนมุมมองเกี่ยวกับกลยุทธ์ด้านความปลอดภัยทางไซเบอร์ในอนาคต นอกจากนี้ ธนาคารยังได้เข้าร่วมทีม Task Force ที่จัดตั้งขึ้นโดยความร่วมมือระหว่าง TB-CERT และธนาคารแห่งประเทศไทย เพื่อทำการศึกษาและเตรียมความพร้อมในการรับมือกับความเสี่ยงด้านเทคโนโลยีควอนตัมและ AI
ในปัจจุบัน เทคโนโลยี AI ได้ถูกนำมาใช้อย่างกว้างขวางทั้งในด้านการดำเนินธุรกิจและการใช้ชีวิตประจำวัน ธนาคารได้นำ AI มาใช้สนับสนุนการดำเนินธุรกิจของธนาคาร เช่น การตรวจจับภัยคุกคาม การสร้างระบบแนะนำผลิตภัณฑ์ การทำระบบแชทบอทเพื่อให้บริการลูกค้า เป็นต้น ธนาคารตระหนักถึงความเสี่ยงที่อาจเกิดขึ้นจาก AI จึงกำหนดมาตรการบริหารจัดการความเสี่ยงโดยยึดหลักการใช้งาน AI อย่างมีความรับผิดชอบที่คำนึงถึงผลกระทบทางด้านจริยธรรม สังคม และความปลอดภัยของข้อมูลส่วนบุคคล พร้อมทั้งมีนโยบายความมั่นคงปลอดภัยด้านสารสนเทศและความปลอดภัยไซเบอร์ที่กำหนดการบริหารจัดการที่เกี่ยวข้องกับการควบคุมการนำ AI มาใช้งาน เพื่อให้มั่นใจว่าธนาคารมีการใช้งาน AI อย่างเหมาะสม รวมถึงมีการออกแบบระบบงานให้มีความปลอดภัยเมื่อใช้ AI เช่น การเข้ารหัส การกำหนดการเข้าถึงข้อมูล การทดสอบระบบเพื่อหาช่องโหว่ เป็นต้น และมีการสื่อสารเชิงรุกกับพนักงานและลูกค้าเพื่อสร้างความรู้ความเข้าใจเกี่ยวกับการใช้งาน AI
นโยบายและมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล
ธนาคารกำหนดนโยบายและมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่สอดคล้องตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎเกณฑ์ที่เกี่ยวข้องของทางการ โดยมีผลบังคับใช้ครอบคลุมกลุ่มธุรกิจของธนาคาร รวมถึงพันธมิตรทางธุรกิจและผู้ให้บริการภายนอก นโยบายดังกล่าวได้รับการทบทวนเป็นประจำทุกปี เพื่อให้มั่นใจว่ามีความทันสมัยอยู่เสมอ นอกจากนี้ ธนาคารได้จัดทำคู่มือปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลในกระบวนการทำงานของหน่วยงานต่าง ๆ เพื่อให้ผู้ปฏิบัติงานมีความเข้าใจและสามารถปฏิบัติได้อย่างถูกต้อง พนักงานทุกคนต้องรับทราบและปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคล การฝ่าฝืนหรือไม่ปฏิบัติตามนโยบายอาจส่งผลให้ถูกลงโทษทางวินัย รวมทั้งอาจมีความผิดทางอาญาหรือมีโทษตามกฎหมายที่เกี่ยวข้อง
ธนาคารเผยแพร่หนังสือแจ้งการคุ้มครองข้อมูลส่วนบุคคล ผ่านช่องทางเว็บไซต์ สาขา และช่องทางการให้บริการธนาคารดิจิทัล เพื่อให้เจ้าของข้อมูลรับทราบรายละเอียดการคุ้มครองข้อมูลและสิทธิของเจ้าของข้อมูล ทั้งนี้ เจ้าของข้อมูลสามารถสอบถามข้อมูลเพิ่มเติมและขอใช้สิทธิของเจ้าของข้อมูลได้ที่สาขาหรือช่องทางบริการอื่น ๆ ของธนาคาร หรือติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือหน่วยงานคุ้มครองข้อมูลส่วนบุคคลของธนาคาร
ธนาคารจัดให้มีการขอความยินยอมจากเจ้าของข้อมูลในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล โดยจัดทำหนังสือขอและให้ความยินยอมเพื่อแจ้งรายละเอียดแก่เจ้าของข้อมูลใช้พิจารณาให้ความยินยอมได้ก่อนหรือในขณะที่ทำการประมวลผลข้อมูล (การให้ความยินยอมดังกล่าวไม่ถือเป็นส่วนหนึ่งของเงื่อนไขการให้บริการของธนาคาร) อีกทั้งมีการติดตามการใช้ข้อมูลส่วนบุคคลของลูกค้าเพื่อวัตถุประสงค์อื่นที่ชอบด้วยกฎหมาย เช่น การดำนเนการด้านการตลาด และการวิเคราะห์ข้อมูลเพื่อพัฒนาผลิตภัณฑ์และบริการ โดยมีสัดส่วนลูกค้าที่ให้ความยินยอมในการใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นคิดเป็นร้อยละ 88 ของลูกค้าทั้งหมด
การดำเนินการเมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล
ธนาคารกำหนดแนวทาง ขั้นตอน และผู้รับผิดชอบในการดำเนินการเพื่อตอบสนองต่อเหตุละเมิดข้อมูลส่วนบุคคล พร้อมทั้งจัดทำแบบฟอร์มการรายงานเหตุการณ์ละเมิดข้อมูลส่วนบุคคลเพื่อให้หน่วยงานที่เผชิญเหตุใช้รายงานต่อผู้รับผิดชอบของหน่วยงานและจัดส่งให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) เพื่อดำเนินการตามขั้นตอนต่อไป
เจ้าของข้อมูลสามารถแจ้งเรื่องร้องเรียนเกี่ยวกับเหตุละเมิดข้อมูลส่วนบุคคลผ่านช่องทางร้องเรียนของธนาคาร หรือติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือหน่วยงานคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ เมื่อได้รับการแจ้งเหตุ ธนาคารจะดำเนินการตรวจสอบข้อเท็จจริงอย่างโปร่งใสและเป็นธรรม หากพบว่ามีการละเมิดเกิดขึ้นจริง ธนาคารจะดำเนินการกับผู้กระทำผิดตามบทลงโทษทางวินัย เยียวยาผู้เสียหายอย่างเหมาะสม และหาแนวทางป้องกันไม่ให้เกิดเหตุซ้ำ ในปี 2568 ธนาคารได้รับข้อร้องเรียนเรื่องการละเมิดข้อมูลส่วนบุคคลทั้งสิ้น 22 กรณี แบ่งออกเป็นการร้องเรียนผ่านช่องทางรับเรื่องร้องเรียนของธนาคาร 121 กรณี และผ่านหน่วยงานกำกับดูแลของทางการ 10 กรณี ธนาคารได้ดำเนินการตรวจสอบและยุติข้อร้องเรียนเป็นที่เรียบร้อย 15 กรณี โดยไม่พบกรณีที่มีผลกระทบอย่างมีนัยสำคัญต่อผู้ถูกละเมิด
ความเข้าใจที่ถูกต้องของพนักงานเป็นพื้นฐานสำคัญของวัฒนธรรมความปลอดภัยด้านเทคโนโลยีสารสนเทศ ความปลอดภัยทางไซเบอร์ และการคุ้มครองข้อมูลส่วนบุคคล ธนาคารจึงให้ความสำคัญกับการพัฒนาความรู้ความเข้าใจของพนักงาน ผ่านการดำเนินการและจัดกิจกรรมต่าง ๆ ดังนี้