Sun Jan 15 2023 00:00:00 GMT+0000 (Coordinated Universal Time)

ประกาศสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ ที่ สธ. 44/2565 เรื่อง ข้อกำหนดในรายละเอียดเกี่ยวกับระบบการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัลและกุญแจ

ประกาศสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ ที่ สธ. 44/2565 เรื่อง ข้อกำหนดในรายละเอียดเกี่ยวกับระบบการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัลและกุญแจ

ประกาศสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ ที่ สธ. 44/2565 เรื่อง ข้อกำหนดในรายละเอียดเกี่ยวกับระบบการบริหารจัดการ กระเป๋าสินทรัพย์ดิจิทัลและกุญแจ อาศัยอำนาจตามความในข้อ 3 (1) แห่งประกาศคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ ที่ กธ. 19/2561 เรื่อง หลักเกณฑ์ เงื่อนไข และวิธีการประกอบธุรกิจสินทรัพย์ดิจิทัล ลงวันที่ 3 กรกฎาคม พ.ศ. 2561 ประกอบกับข้อ 9 (6) (ค) แห่งประกาศคณะกรรมการกำกับหลักทรัพย์ และตลาดหลักทรัพย์ ที่ กธ. 19/2561 เรื่อง หลักเกณฑ์ เงื่อนไข และวิธีการประกอบธุรกิจ สินทรัพย์ดิจิทัล ลงวันที่ 3 กรกฎาคม พ.ศ. 2561 ซึ่งแก้ไขเพิ่มเติมโดยประกาศคณะกรรมการ กากับหลักทรัพย์และตลาดหลักทรัพย์ ที่ กธ. 34/2565 เรื่อง หลักเกณฑ์ เงื่อนไข และวิธีการ ประกอบธุรกิจสินทรัพย์ดิจิทัล (ฉบับที่ 19) ลงวันที่ 15 ธันวาคม พ.ศ. 2565 สานักงาน ก.ล.ต. ออกประกาศไว้ ดังต่อไปนี้ ข้อ 1 ประกาศนี้ให้ใช้บังคับตั้งแต่วันที่ 16 มกราคม พ.ศ. 2566 เป็นต้นไป ข้อ 2 ในประกาศนี้ “ ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล ” หมายความว่า ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลที่ได้รับ ใบอนุญาตประกอบธุรกิจสินทรัพย์ดิจิทัล และมีการเก็บรักษาสินทรัพย์ดิจิทัลของลูกค้า “ ระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัล ” หมายความว่า ( 1 ) ระบบการบริหารจัดการกระเป๋าสินทรัพย์ดิจิทัล ( wallet management ) ( 2 ) ระบบการบริหารจัดการกุญแจ ( key management ) “ นโยบาย ” หมายความว่า นโยบายการกากับดูแลและบริหารจัดการระบบที่เกี่ยวข้องกับ การเก็บรักษาสินทรัพย์ดิจิทัล “ ข้อมูลต้นกาเนิด ” ( seed ) หมายความ ว่า ชุดตัวเลขที่ได้จากการประมวลค่าวลีช่วยจา ที่ผ่านกระบวนการทางคอมพิวเตอร์ตามที่มาตรฐานกำหนด “ วลีช่วยจา ” ( mnemonic phrase ) หมายความว่า ชุดคา ( word lists ) ที่ได้จากการประมวลค่า เอนโทรปีที่ผ่านกระบวนการทางคอมพิวเตอร์ โดยชุดคาจะเป็นไปตามที่มาตรฐานกำหนด “ เอนโทรปี ” ( entropy ) หมายความว่า การใช้กระบวนการทางคอมพิวเตอร์ เพื่อสร้างชุดตัวเลข ที่เป็นคำสุ่ม ( randomness ) ประกอบด้วย bit 0 หรือ bit 1 โดยมีความยาวเป็นไปตามที่มาตรฐาน กำหนด เพื่อนำไปใช้ประกอบการสร้างกุญแจเข้ารหัส ข้อ 3 ข้อกาหนดในรายละเอียดตามประกาศนี้ กาหนดขึ้นเพื่อให้ผู้ประกอบธุรกิจสินทรัพย์ ดิจิทัลที่มีการเก็บรักษาสินทรัพย์ดิจิทัลของลูกค้า ปฏิบัติตามประกาศคณะกรรมการกากับหลักทรัพย์ และตลาดหลักทรัพย์ว่าด้วยหลักเกณฑ์ เงื่อนไข และวิธีการประกอบธุรกิจสินทรัพย์ดิจิทัลในส่วน ้ หนา 5 ่ เลม 140 ตอนพิเศษ 10 ง ราชกิจจานุเบกษา 16 มกราคม 2566

ที่เกี่ยวกับระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัลที่มีประสิทธิภาพในเรื่องดังต่อไปนี้ให้เป็นไป ในแนวทางเดียวกัน ( 1 ) นโยบายและวิธีปฏิบัติในการกากับดูแลและบริหารจัดการระบบที่เกี่ยวข้องกับการเก็บรักษา สิ นทรัพย์ดิจิทัล ให้เป็นไปตามหมวด 1 ( 2 ) การบริหารจัดการระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัล ให้เป็นไปตามหมวด 2 ( 3 ) การบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อระบบที่เกี่ยวข้องกับการเก็บรักษา สินทรัพย์ดิจิทัล ( incident management ) ให้เป็นไปตามหมวด 3 หมวด 1 นโยบายและวิธีปฏิบัติในการกากับดูแลและบริหารจัดการระบบ ที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัล ข้อ 4 ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลต้องจัดให้มีนโยบายเป็นลายลักษณ์อักษรอย่างน้อย ในเรื่องดังต่อไปนี้ ทั้งนี้ นโยบายดังกล่า วต้องได้รับความเห็นชอบจากคณะกรรมการของผู้ประกอบธุรกิจ สินทรัพย์ดิจิทัล หรือคณะกรรมการที่ได้รับมอบหมายจากคณะกรรมการของผู้ประกอบธุรกิจ สินทรัพย์ดิจิทัล ( 1 ) การบริหารจัดการความเสี่ยงเกี่ยวกับระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัล ที่สอดคล้องกับนโยบายและการบริหารความเสี่ยงองค์กร ( enterprise risk ) ซึ่งครอบคลุมถึงการระบุ ความเสี่ยง การประเมินความเสี่ยง และการควบคุมความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้ ( 2 ) การบริหารจัดการระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัลตามข้อ 6 ข้อ 5 ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลต้องจัดให้มีการกากับดูแลและบริหารจัดการระบบ ที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัลตามหลักเกณฑ์ดังต่อไปนี้ เพื่อให้เป็นไปตามนโยบายตามข้อ 4 ( 1 ) สื่อสารนโยบายให้แก่บุคลากรของผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลที่เกี่ ยวข้องอย่างทั่วถึง ในลักษณะที่สามารถเข้าถึงได้ง่าย เพื่อให้บุคลากรดังกล่าวเข้าใจและสามารถปฏิบัติตามนโยบายดังกล่าว ได้ถูกต้อง ( 2 ) กำหนดขั้นตอนและวิธีปฏิบัติงานให้เป็นไปตามนโยบาย ( 3 ) ทบทวนหรือปรับปรุงนโยบาย อย่างน้อยปีละ 1 ครั้ง และทบทวนโดยไม่ชักช้า เมื่อ มีเหตุการณ์ใด ๆ ซึ่งอาจส่งผลกระทบต่อการกากับดูแลและบริหารจัดการระบบที่เกี่ยวข้องกับการเก็บรักษา สินทรัพย์ดิจิทัลอย่างมีนัยสำคัญ ทั้งนี้ ต้องปรับปรุงขั้นตอนและวิธีปฏิบัติงานตาม (2) ให้สอดคล้องกับ นโยบายที่มีการเปลี่ยนแปลงด้วย ( 4 ) จัดให้มีการกากับดูแลการปฏิบัติตามนโยบาย โดยหน่วยงานซึ่งเป็นอิสระจากการบริหาร จัดการระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัล และหน่วยงานดังกล่าวมีหน้าที่รายงานผล การปฏิบัติตามนโยบายดังกล่าวให้คณะกรรมการของผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลทราบอย่างน้อ ยปีละ 1 ครั้ง ้ หนา 6 ่ เลม 140 ตอนพิเศษ 10 ง ราชกิจจานุเบกษา 16 มกราคม 2566

และในกรณีที่มีเหตุการณ์ใด ๆ ซึ่งอาจส่งผลกระทบต่อการปฏิบัติตามนโยบายดังกล่าวอย่างมีนัยสาคัญ ต้องรายงานให้คณะกรรมการของผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลทราบโดยไม่ชักช้า ( 5 ) จัดให้มีระบบควบคุมภายในสำหรับการปฏิบัติงานให้เป็นไปตามนโยบายอย่างน้ อย ดังนี้ (ก) มีการตรวจสอบภายในและสอบทานการปฏิบัติงานให้เป็นไปตามนโยบายดังกล่าว อย่างเป็นระบบ (ข) มีการปรับปรุงแก้ไขข้อบกพร่อง และติดตามการปรับปรุงแก้ไขดังกล่าวอย่างเป็นระบบ และทันต่อเหตุการณ์ เพื่อลดผลกระทบต่อทรัพย์สินลูกค้า หมวด 2 การบริหารจัดการระบบที่เกี่ยวข้องกับ การเก็บรักษาสินทรัพย์ดิจิทัล ข้อ 6 ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลต้องจัดให้มีนโยบายและกาหนดกระบวนการในการ บริหารจัดการระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัล ในเรื่องของการออกแบบ พัฒนา และบริหารจัดการกระเ ป๋าสินทรัพย์ดิจิทัล อย่างเหมาะสมและมั่นคงปลอดภัย ในกรณีที่ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลมีการสร้าง จัดเก็บ หรือเข้าถึงกุญแจ ข้อมูลต้นกำเนิด หรือข้อมูลอื่น ๆ ที่เกี่ยวข้อง ให้ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลจัดให้มีนโยบายและกาหนดกระบวนการ ในการบริหารจัดการระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัลในเรื่องดังกล่าวด้วย หมวด 3 การบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อระบบ ที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัล ข้อ 7 ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลต้องจัดให้มีการบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบ ต่อระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัลตามหลักเกณฑ์ ดังต่อไปนี้ ( 1 ) กำหนดขั้นตอนและกระบวนการในการบริหารจัดการเหตุการณ์ ( 2 ) กำหนดผู้มีหน้าที่รับผิดชอบในการบริหารจัดการเหตุการณ์ ( 3 ) ทดสอบขั้นตอนและกระบวนการในการบริหารจัดการเหตุการณ์ตาม (1) อย่างน้อยปีละ 1 ครั้ง ( 4 ) พิจารณาทบทวนขั้นตอนและกระบวนการในการบริหารจัดการเหตุการณ์หลังจากที่ได้มี การทดสอบตาม (3) แล้วอย่างน้อยปีละ 1 ครั้ง ( 5 ) จัดให้มีการประเมินผลการทดสอบตาม (3) และประเมินผลการพิจารณาทบทวนตาม (4) โดยต้องรายงานผลต่อคณะกรรมการของผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลอย่างน้อยปีละ 1 ครั้ง ทั้งนี้ ้ หนา 7 ่ เลม 140 ตอนพิเศษ 10 ง ราชกิจจานุเบกษา 16 มกราคม 2566

การดาเนินการดังกล่าวต้องกระทาโดยบุคคลที่เป็นอิสระจากผู้มีหน้าที่รับผิดชอบ ในการบริหารจัดการ เหตุการณ์ตาม (2) ( 6 ) รายงานเหตุการณ์ที่อาจส่งผลกระทบต่อระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัล ต่อผู้มีหน้าที่รับผิดชอบในการบริหารจัดการเหตุการณ์ตาม (2) และสำนักงาน ก.ล.ต. โดยไม่ชักช้า ( 7 ) ในกรณีที่มีเหตุการณ์ที่ส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบที่เกี่ยวข้องกับ การเก็บรักษาสินทรัพย์ดิจิทัล ซึ่งกระทบต่อทรัพย์สินของลูกค้าอย่างมีนัยสาคัญ ผู้ประกอบธุรกิจสินทรัพย์ ดิจิทัลต้องดาเนินการ ดังนี้ (ก) จัดให้มีผู้เชี่ยวชาญภายนอกที่มีความเป็นอิสร ะ มีความชานาญตามมาตรฐานสากล เป็นที่ยอมรับและน่าเชื่อถือ และได้รับการรับรองหรือได้รับประกาศนียบัตร ( accreditations or certifications ) ที่เป็นที่ยอมรับในอุตสาหกรรม ทาหน้าที่ตรวจสอบความมั่นคงปลอดภัยของระบบและ พิสูจน์พยานหลักฐานทางดิจิทัล ( digital for ensic investigation ) โดยไม่ชักช้า (ข) จัดส่งรายงานที่จัดทาโดยผู้เชี่ยวชาญตาม (ก) ต่อสานักงาน ก.ล.ต. ตามหลักเกณฑ์ ดังนี้ 1 . รายงานการตรวจสอบขั้นต้น ( interim forensic investigation report ) ภายใน 30 วันนับแต่วันที่ลงนามในสัญญาจ้างผู้เชี่ยวชาญภายนอก 2 . รายงานการตรวจสอบฉบับสมบูรณ์ ( final forensic investigation report ) ภายใน 90 วันนับแต่วันที่ลงนามในสัญญาจ้างผู้เชี่ยวชาญภายนอก ในกรณีที่มีเหตุอันสมควรทาให้ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลไม่สามารถจัดส่งรายงาน ดังกล่าวภายในระยะเวลาที่กาหนดตามวรรคหนึ่ง (ข) ให้ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลยื่นขอขยาย ระยะเวลาการจัดส่งรายงาน พร้อมทั้งเหตุผลและเอกสารหลักฐานต่อสานักงาน ก.ล.ต. ก่อนครบกาหนด ระยะดังกล่าว ( 8 ) จัดทาแผนการดาเนินการแก้ไขปัญหาที่พบตาม (7) และมาตรการในการป้องกันไม่ให้ เกิดปัญหาดังกล่าวซ้า รวมทั้งระยะเวลาในการดาเนินการตามแผนดังกล่าว โดยจัดส่งต่อสานักงาน ก.ล.ต. ภายใน 10 วันนับแต่วันที่ผู้ประกอบธุรกิจสินทรัพย์ดิจิทั ลได้รับรายงานจากผู้เชี่ยวชาญ ตาม (7) วรรคหนึ่ง (ข) 2. ให้ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลดำเนินการตามแผนดังกล่าว และจัดส่งรายงาน ความคืบหน้าในการดาเนินการต่อสานักงาน ก.ล.ต. ทุกวันศุกร์จนกว่าผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล จะดาเนินการตามแผนแล้วเสร็จ ในกรณีที่มีเหตุอันสมควรทาให้ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลไม่สามารถจัดส่งแผนการ ดาเนินการตามวรรคหนึ่งหรือรายงานความคืบหน้าตามวรรคสองภายในระยะเวลาที่กำหนดให้ผู้ประกอบ ธุรกิจสินทรัพย์ดิจิทัลยื่นขอขยายระยะเวลาการจัดส่งแผนหรือรายงาน พร้อมทั้งเหตุผลและเอกสาร หลั กฐานต่อสำนักงาน ก.ล.ต. ก่อนครบกำหนดระยะเวลาดังกล่าว ้ หนา 8 ่ เลม 140 ตอนพิเศษ 10 ง ราชกิจจานุเบกษา 16 มกราคม 2566

( 9 ) จัดเก็บเอกสารหลักฐานที่เกี่ยวข้องกับการดาเนินการในการบริหารจัดการเหตุการณ์ที่อาจ ส่งผลกระทบต่อระบบที่เกี่ยวข้องกับการเก็บรักษาสินทรัพย์ดิจิทัลเป็นระยะเวลาไม่น้อยกว่า 2 ปีนับแต่ วันที่จัดทาเอกสารนั้น โดยต้องจัดเก็บไว้ในลักษณะที่พร้อมให้สานักงาน ก.ล.ต. สามารถเรียกดูและ ตรวจสอบได้โดยไม่ชักช้า การแจ้ง การส่งแผนการดาเนินการ รายงาน เอกสารหลักฐาน หรือคำขอใด ๆ ต่อสำนักงาน ก.ล.ต. ตามวรรคหนึ่ง ให้เป็นไปตามแบบและวิธีการที่จัดไว้บนเว็บไซต์ของสำนักงาน ก.ล.ต. ประกาศ ณ วันที่ 19 ธันวาคม พ.ศ. 25 6 5 รื่นวดี สุวรรณมงคล เลขาธิการ สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ ้ หนา 9 ่ เลม 140 ตอนพิเศษ 10 ง ราชกิจจานุเบกษา 16 มกราคม 2566