Cybersecurity and Data Privacy Protection

ความมั่นคงปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล

บริษัทตระหนักถึงความสำคัญของความมั่นคงปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นปัจจัยสำคัญในการสร้างความเชื่อมั่น ให้แก่ลูกค้า คู่ค้า และผู้มีส่วนได้เสีย บริษัทจึงมุ่งมั่นดำเนินงานให้สอดคล้องกับกฎหมายที่เกี่ยวข้องและมาตรฐานสากล พร้อมพัฒนาเทคโนโลยี ระบบสารสนเทศ และกระบวนการควบคุมภายในอย่างต่อเนื่อง เพื่อป้องกัน ตรวจจับ และรับมือกับภัยคุกคามทางไซเบอร์ได้อย่างมีประสิทธิภาพ

บริษัทบูรณาการการบริหารความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์และข้อมูลส่วนบุคคลไว้ในกรอบการกำกับดูแลและการบริหารความเสี่ยง ขององค์กร เพื่อให้มั่นใจว่าการดำเนินงานเป็นไปอย่างปลอดภัย โปร่งใส และตรวจสอบได้ ควบคู่กับการส่งเสริมความรู้ ความตระหนัก และ วัฒนธรรมองค์กรที่ให้ความสำคัญกับการรักษาความลับ ความถูกต้องครบถ้วนของข้อมูล และสิทธิความเป็นส่วนตัวของลูกค้า อันเป็นรากฐานสำคัญ ของการดำเนินธุรกิจอย่างยั่งยืนในระยะยาว

เป้าหมายและผลการดำเนินงาน

เป้าหมาย

พนักงานได้รับการฝึกอบรมความรู้ด้านความปลอดภัยและความมั่นคงปลอดภัยทางไซเบอร์ผ่านระบบ e-Learning ร้อยละ 100
ได้รับการรับรองมาตรฐานสากลISO/IEC 27001:2022 ระบบการจัดการความมั่นคงปลอดภัยด้านสารสนเทศ และ ISO/IEC 27701:2019 ระบบมาตรฐานการจัดการข้อมูลส่วนบุคคล

ผลการดำเนินงาน ปี 2568

พนักงานได้รับการฝึกอบรมความรู้ด้านความปลอดภัยและความมั่นคงปลอดภัยทางไซเบอร์ผ่านระบบ e-Learning ร้อยละ 100
ได้รับการรับรองมาตรฐานสากล ISO/IEC 27001:2022 ระบบการจัดการความมั่นคงปลอดภัยด้านสารสนเทศ และ ISO/IEC 27701:2019 ระบบมาตรฐานการจัดการข้อมูลส่วนบุคคล

โอกาสและความท้าทาย

เศรษฐกิจ

ผลกระทบเชิงบวก: การบริหารจัดการความมั่นคงปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพช่วยเสริมความเชื่อมั่นของลูกค้าและพันธมิตรทางธุรกิจ สนับสนุนความต่อเนื่องของธุรกิจดิจิทัล และลดความเสี่ยงทางการเงินจากเหตุการณ์ด้านไซเบอร์
ผลกระทบเชิงลบ: เหตุการณ์โจมตีทางไซเบอร์หรือการละเมิดข้อมูลส่วนบุคคลอาจส่งผลกระทบอย่างมีนัยสำคัญต่อฐานะการเงิน ชื่อเสียง และความเชื่อมั่นของผู้มีส่วนได้เสีย รวมถึงความเสี่ยงด้านกฎหมายและบทลงโทษจากการไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

สิ่งแวดล้อม

ผลกระทบเชิงบวก: การบริหารจัดการระบบเทคโนโลยีสารสนเทศอย่างมีประสิทธิภาพและปลอดภัยช่วยเพิ่มประสิทธิภาพการใช้ทรัพยากรด้านพลังงานของศูนย์ข้อมูลและโครงสร้างพื้นฐานดิจิทัล สนับสนุนการลดการใช้ทรัพยากรและผลกระทบต่อสิ่งแวดล้อมจากการดำเนินงานขององค์กร
ผลกระทบเชิงลบ: การพึ่งพาระบบเทคโนโลยีและศูนย์ข้อมูลที่ใช้พลังงานสูงอาจเพิ่มต้นทุนและการปล่อยก๊าซเรือนกระจก หากไม่มีการบริหารจัดการประสิทธิภาพพลังงานควบคู่กับการเสริมความมั่นคงปลอดภัยทางไซเบอร์

สังคม

ผลกระทบเชิงบวก: การคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยทางไซเบอร์ช่วยสร้างความไว้วางใจของลูกค้าและสังคมต่อการใช้บริการทางการเงินดิจิทัล ส่งเสริมการเข้าถึงบริการอย่างปลอดภัย และสนับสนุนความเชื่อมั่นในระบบการเงินโดยรวม
ผลกระทบเชิงลบ: เหตุการณ์ด้านไซเบอร์หรือการรั่วไหลของข้อมูลอาจกระทบต่อความเป็นส่วนตัว ความปลอดภัย และคุณภาพชีวิตของลูกค้า รวมถึงสร้างความตื่นตระหนกและบั่นทอนความเชื่อมั่นของสังคมต่อองค์กร หากไม่มีการสื่อสารและการเยียวยาที่เหมาะสม

สิทธิมนุษยชน

ผลกระทบเชิงบวก: การส่งเสริมการเคารพสิทธิมนุษยชนผ่านการคุ้มครองข้อมูลส่วนบุคคลและสิทธิในความเป็นส่วนตัวของลูกค้าและพนักงาน ตามหลักการสากลและกฎหมายที่เกี่ยวข้อง ซึ่งช่วยลดความเสี่ยงด้านชื่อเสียงและสนับสนุนการดำเนินธุรกิจอย่างมีความรับผิดชอบ
ผลกระทบเชิงลบ: การละเมิดข้อมูลส่วนบุคคลหรือการใช้ข้อมูลอย่างไม่เหมาะสมอาจส่งผลกระทบต่อสิทธิในความเป็นส่วนตัวและศักดิ์ศรีของบุคคล รวมถึงก่อให้เกิดความเสี่ยงด้านกฎหมายและความเชื่อมั่น หากขาดระบบกำกับดูแล การควบคุมภายใน และการกำหนดความรับผิดชอบที่ชัดเจน

การกำกับดูแล

บริษัทได้กำหนดนโยบายและระเบียบด้านการรักษาความมั่นคงปลอดภัยของข้อมูลสารสนเทศและข้อมูลส่วนบุคคล เพื่อใช้เป็นกรอบในการบริหาร ความเสี่ยงด้านเทคโนโลยีสารสนเทศและการคุ้มครองข้อมูลส่วนบุคคลให้อยู่ในระดับที่เหมาะสม สอดคล้องกับกฎหมายและมาตรฐานสากลที่เกี่ยวข้อง โดยครอบคลุมการดำเนินงานของบริษัท พนักงาน ลูกค้า และผู้มีส่วนได้เสียที่เกี่ยวข้องกับการเข้าถึงหรือประมวลผลข้อมูลของบริษัท โดยนโยบายและระเบียบดังกล่าวได้รับการทบทวนและปรับปรุงอย่างสม่ำเสมออย่างน้อยปีละหนึ่งครั้ง และคณะกรรมการบริษัทได้อนุมัติ การทบทวนนโยบายดังกล่าวอย่างน้อยปีละ 1 ครั้ง เพื่อให้มั่นใจถึงความเหมาะสม ความทันสมัย และประสิทธิภาพในการรองรับความเสี่ยงด้าน ไขเบอร์ที่มีการเปลี่ยนแปลงอย่างต่อเนื่อง

โครงสร้างการกำกับดูแล

บริษัทให้ความสำคัญกับการกำกับดูแลด้านความมั่นคงปลอดภัยของข้อมูลและระบบสารสนเทศในระดับสูงสุด โดยคณะกรรมการบริษัททำหน้าที่กำกับดูแลและรับผิดชอบเชิงนโยบายต่อประเด็นด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ขององค์กร และมอบหมายให้คณะอนุกรรมการ Information Security Committee (ISC) โดยมีประธานเจ้าหน้าที่บริหาร (CEO) เป็นประธานคณะอนุกรรมการ และมีผู้บริหารระดับสูง จากสายงานที่เกี่ยวข้องเป็นสมาชิก โดยมีบทบาทและหน้าที่รับผิดชอบ ดังนี้

กำหนดนโยบายด้านเทคโนโลยีสารสนเทศ และนโยบาย Information Securities และนำเสนอต่อคณะกรรมการบริษัทเพื่ออนุมัติ
กำกับดูแลแผนกลยุทธ์และงบประมาณด้านเทคโนโลยีสารสนเทศให้สอดคล้องกับงบประมาณ ทรัพยากร และลำดับความมีนัยสำคัญเชิงธุรกิจ
ดำเนินงาน ติดตาม และรายงานผลการดำเนินงาน ประเด็นความเสี่ยง และเหตุการณ์สำคัญด้านความมั่นคงปลอดภัยทางไซเบอร์ และเทคโนโลยีสารสนเทศต่อฝ่ายบริหารและคณะกรรมการบริษัทเป็นประจำ
ทำหน้าที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลของบริษัทและบริษัทย่อย โดยปฏิบัติหน้าที่ตามที่กฎหมายกำหนด

บริษัทได้จัดตั้งฝ่ายความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ (CISO Division) เพื่อบริหารจัดการและเสริมสร้างความมั่นคงปลอดภัย ด้านสารสนเทศ โดยรายงานตรงต่อผู้บริหารสูงสุดสายงานเทคโนโลยีสารสนเทศ ซึ่งมีบทบาทเทียบเท่า Chief Information Officer (CIO) ทำหน้าที่กำหนดกลยุทธ์และดำเนินมาตรการด้านความมั่นคงปลอดภัยไซเบอร์ การบริหารความเสี่ยง การตอบสนองต่อเหตุการณ์ด้าน ความปลอดภัย และการปฏิบัติตามมาตรฐานสากล ภายใต้โครงสร้างธรรมาภิบาลที่ชัดเจนและเป็นระบบ แนวทางดังกล่าวสะท้อนถึงการบูรณาการ ความมั่นคงปลอดภัยไซเบอร์เป็นส่วนหนึ่งของกลยุทธ์เทคโนโลยีสารสนเทศและการดำเนินธุรกิจอย่างยั่งยืน

นอกจากนี้ บริษัทยังได้จัดโครงสร้างองค์กรเพื่อสนับสนุนการกำกับดูแลด้านเทคโนโลยีสารสนเทศให้เหมาะสมต่อการบริหารความเสี่ยง โดยใช้แนวทาง 3 Lines of Defense ซึ่งมีการแยกบทบาทและความรับผิดชอบอย่างชัดเจน ได้แก่ สายงานปฏิบัติการเทคโนโลยีสารสนเทศ (IT Operations) สายงานกำกับดูแลและบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Governance และ IT Risk) และสายงานตรวจสอบภายใน ด้านเทคโนโลยีสารสนเทศ (IT Audit)

‌

มาตรการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยทางไซเบอร์

บริษัทได้กำหนดมาตรการและเครื่องมือสำหรับบริหารจัดการความเสี่ยง พร้อมกระบวนการตอบสนองต่อเหตุการณ์ที่ชัดเจน รวมถึงการทดสอบระบบอย่างน้อยปีละหนึ่งครั้ง เพื่อป้องกันความเสี่ยงจากการหยุดชะงักของระบบและภัยคุกคามทางไซเบอร์ ตลอดจนเตรียมความพร้อมรับมือสถานการณ์ฉุกเฉินอย่างมีประสิทธิภาพ พร้อมทั้งจัดการทบทวนและเสริมสร้างความรู้ความเข้าใจแก่พนักงานอย่างต่อเนื่อง โดยมีแนวปฏิบัติที่สำคัญ ดังนี้

การทดสอบระบบความปลอดภัยและซักซ้อมแผนรับมือเหตุการณ์เป็นประจำ เพื่อให้มั่นใจว่าข้อมูลและระบบออนไลน์ปลอดภัย โดยทำการเจาะระบบ (Penetration Testing) อย่างน้อยปีละ 1 ครั้ง และตรวจสอบหาช่องโหว่ (Vulnerability Assessment) ทั้งจากภายในและภายนอกเครือข่ายทุกไตรมาส โดยผู้ตรวจสอบภายนอกที่ได้รับการรับรองตามมาตรฐาน PCI DSS หากพบช่องโหว่จะมีมาตรการแก้ไขทันที ทั้งนี้ผลการทดสอบและผลการแก้ไขช่องโหว่ที่ตรวจพบจะถูกนำไปรายงานต่อคณะอนุกรรมการ Risk Management Committee (RMC) หรือคณะอนุกรรมการ Information Security Committee (ISC)
การทบทวนแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศ (Disaster Recovery Plan) และทดสอบแผนดังกล่าวเป็นประจำทุกปี รวมถึงทดสอบแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCP) โดยมีฝ่าย IT ทำหน้าที่สนับสนุน
การจัดให้มีศูนย์เฝ้าระวังและเตือนภัยด้านความมั่นคงปลอดภัยทางไซเบอร์ เพื่อตรวจจับและป้องกันการบุกรุกทางไซเบอร์ รวมถึงป้องกันการรั่วไหลของข้อมูลที่สำคัญของบริษัท
การจัดให้มีศูนย์ข้อมูลหลักและศูนย์ข้อมูลสำรองที่มีความมั่นคงปลอดภัยและมีความพร้อมใช้สำหรับระบบงานหลักที่สำคัญ
การติดตั้งระบบตรวจจับและป้องกันการรั่วไหลของข้อมูล (Data Loss Prevention System: DLP) เพื่อป้องกันการรั่วไหลของข้อมูลสำคัญของบริษัท
การป้องกันเครือข่ายของบริษัทโดยการติดตั้งอุปกรณ์และระบบด้านการรักษาความปลอดภัยของเครือข่าย
การจัดให้มีกระบวนการจัดการเพื่อแก้ไขปัญหา (Incident) และข้อร้องเรียน (Complaint) ด้านความมั่นคงปลอดภัยของข้อมูล ความมั่นคงปลอดภัยทางไซเบอร์ และความมั่นคงปลอดภัยของระบบงานด้านเทคโนโลยีสารสนเทศ รวมถึงมีการทดสอบ Incident Response Plan ประจำปี
การทำประกันการละเมิดความปลอดภัยของข้อมูลหรือเหตุการณ์ความปลอดภัยทางไซเบอร์ (Cyber Insurance) เพื่อถ่ายโอนความเสี่ยงจากการถูกละเมิดความมั่นคงปลอดภัยของข้อมูลที่สำคัญและความมั่นคงปลอดภัยทางไซเบอร์
การตรวจสอบความมั่นคงปลอดภัยสารสนเทศและความมั่นคงปลอดภัยทางไซเบอร์โดยสายงานตรวจสอบภายใน และผู้ตรวจสอบภายนอกเป็นประจำทุกปี
การกำหนดให้การปฏิบัติตามมาตรฐาน ISO เป็นตัวชี้วัดหนึ่งของการประเมินผลการปฏิบัติงานของพนักงานทั่วทั้งองค์กร เพื่อให้มั่นใจถึงการดำเนินงานที่สอดคล้องกับมาตรฐานอย่างเคร่งครัด

มาตรการคุ้มครองความเป็นส่วนตัว

บริษัทให้ความสำคัญสูงสุดต่อความปลอดภัยและความเป็นส่วนตัวของข้อมูลลูกค้าและผู้มีส่วนได้เสีย โดยได้กำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคล พร้อมแนวทางปฏิบัติและมาตรการที่ครอบคลุมทุกกระบวนการดำเนินงานของบริษัท บริษัทในเครือ และผู้เกี่ยวข้องทั้งหมด เช่น ลูกค้า พนักงาน ผู้ถือหุ้น และพันธมิตรทางธุรกิจ เป็นต้น ทั้งนี้ พนักงานทุกคนต้องปฏิบัติตามแนวทางดังกล่าวอย่างเคร่งครัด หากไม่ปฏิบัติอาจมีความผิดตามระเบียบวินัย ซึ่งอาจนำไปสู่บทลงโทษตามระเบียบหรือกฎหมาย ดังนั้น บริษัทจึงจัดให้มีกลไกเพื่อให้มั่นใจว่านโยบายคุ้มครองข้อมูลส่วนบุคคลถูกนำไปปฏิบัติอย่างมีประสิทธิภาพ โดยมีแนวปฏิบัติที่สำคัญ ดังนี้

การกำหนดให้สายงานตรวจสอบภายในรับผิดชอบการตรวจสอบการปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของทุกสายงานพร้อมรายงานผลต่อคณะอนุกรรมการ Information Security Committee (ISC) และคณะกรรมการตรวจสอบ บรรษัทภิบาลและความยั่งยืน
การตรวจสอบโดยผู้ประเมินภายนอกเป็นประจำทุกปี เพื่อยืนยันการปฏิบัติตามข้อกำหนดด้านการคุ้มครองข้อมูลส่วนบุคคล และรับรองมาตรฐานระบบบริหารจัดการข้อมูลส่วนบุคคลตาม ISO/IEC 27701:2019
การกำหนดให้จำนวนเหตุการณ์ละเมิดข้อมูลส่วนบุคคล เป็นหนึ่งในตัวชี้วัดของการประเมินผลการปฏิบัติงานของพนักงานทั่วทั้งองค์กร
การปรับปรุงกระบวนการทำงาน เอกสารสัญญา หรือแบบฟอร์มต่าง ๆ ของบริษัทให้มีรายละเอียดตามที่กฎหมายกำหนด เช่น การให้ความยินยอมในการประมวลผลข้อมูลส่วนบุคคล การประเมินความเสี่ยงจากการประมวลผลข้อมูลส่วนบุคคล เป็นต้น
การกำหนดให้ผู้ประมวลผลข้อมูลส่วนบุคคลลงนามใน Data Processor Agreement เพื่อยืนยันว่าผู้ประมวลผลรับทราบและปฏิบัติงานตามขอบเขตที่ตกลงกัน รวมถึงแจ้งบริษัททันทีหากเกิดเหตุละเมิดข้อมูลส่วนบุคคลจากงานที่ได้รับมอบหมาย
การจัดอบรมให้ความรู้แก่พนักงานและผู้ให้บริการภายนอกที่สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลและมาตรฐาน ISO/IEC 27701:2019

นอกจากนี้ บริษัทได้ดำเนินการแจ้งเจ้าของข้อมูลส่วนบุคคลให้ทราบเกี่ยวกับการประมวลผลข้อมูล โดยครอบคลุมประเด็นดังต่อไปนี้

ลักษณะของข้อมูลส่วนบุคคลที่บริษัทเก็บรวบรวมและนำไปใช้ตามวัตถุประสงค์ที่กำหนด
เหตุผลหรือฐานทางกฎหมายในการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้า
สิทธิของเจ้าของข้อมูลตามที่กฎหมายกำหนด ได้แก่ สิทธิได้รับการแจ้ง สิทธิในการเข้าถึงข้อมูล สิทธิขอโอนข้อมูล สิทธิในการคัดค้านการประมวลผล สิทธิขอให้ลบ ทำลาย หรือทำให้ข้อมูลไม่สามารถระบุตัวตนได้ สิทธิขอให้ระงับการใช้ข้อมูล และสิทธิในการแก้ไขข้อมูล
ในการยกเลิกการให้ข้อมูล (Opt out) ลูกค้ามีสิทธิที่จะปฏิเสธการรับข้อมูลข่าวสารหรือกิจกรรมทางการตลาดจากบริษัท หากไม่ประสงค์จะรับข้อมูลโฆษณา โปรโมชัน หรือจดหมายข่าวจากบริษัท โดยแจ้งความประสงค์ผ่านอีเมล cservice@ktc.co.th KTC Mobile App ทาง Social Media ผ่านช่องทาง Facebook และ Line หรือแจ้งเจ้าหน้าที่บริการลูกค้าที่หมายเลข 02-123-5000
ระยะเวลาการเก็บรักษาข้อมูล โดยบริษัทจะเก็บข้อมูลส่วนบุคคลของผู้ที่มีความสัมพันธ์กับบริษัท ไม่เกิน 10 ปีหลังสิ้นสุดความสัมพันธ์ สำหรับกรณีไม่ได้รับอนุมัติเป็นสมาชิกผลิตภัณฑ์ทางการเงิน บริษัทจะเก็บข้อมูลไม่เกิน 1 ปี นับจากวันที่ไม่ได้รับอนุมัติ และเมื่อครบกำหนดจะดำเนินการลบหรือทำลายข้อมูล
มาตรการปกป้องข้อมูลส่วนบุคคล โดยบริษัทกำหนดนโยบายและกรณีมีการขอใช้ข้อมูลโดยบุคคลที่สาม อาทิ หน่วยงานรัฐหรือเอกชน บริษัทจะไม่ใช้ข้อมูลเพื่อวัตถุประสงค์อื่นนอกเหนือจากที่ได้รับความยินยอมหรือเป็นไปตามเงื่อนไขที่กำหนด
การติดตามสัดส่วนการใช้ข้อมูลเพื่อวัตถุประสงค์รอง อาทิ การเปิดเผยข้อมูลให้บริษัทในเครือหรือพันธมิตรทางธุรกิจ โดยในปี 2568 มีอัตราส่วนอยู่ที่ ร้อยละ 8.29
มีการจัดทำระบบ Fraud Monitoring สำหรับรายการชำระผ่านบัตรเครดิตเคทีซี และรายการรับชำระ

สามารถพิจารณารายละเอียดเพิ่มเติมได้ที่ https://www.ktc.co.th/about/data-protection-notice หัวข้อ “ประกาศของบริษัทเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของลูกค้าภายใต้นโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท บัตรกรุงไทย จำกัด (มหาชน)”

มาตรการทางวินัยกรณีเกิดการละเมิดความเป็นส่วนตัว

ในปี 2568 บริษัทพบเหตุการณ์การละเมิดความเป็นส่วนตัวของลูกค้า อันเกิดจากการรั่วไหลของข้อมูลส่วนบุคคล โดยเป็นกรณีที่มีการแจ้งเหตุความผิดพลาดจากบริษัทหรือผู้ให้บริการภายนอก จำนวน 12 เหตุการณ์ บริษัทได้ดำเนินการรายงานเหตุการณ์ดังกล่าวต่อคณะอนุกรรมการ Information Security Committee (ISC) และ/หรือ หน่วยงานกำกับดูแล เพื่อกำกับดูแลและติดตามการแก้ไขอย่างเหมาะสมตามแนวทางที่กฎหมายหรือระเบียบบริษัทกำหนดไว้้ บริษัทได้ดำเนินมาตรการแก้ไขและป้องกันอย่างเป็นระบบ รวมถึงการทบทวนกระบวนการทำงาน การยกระดับการควบคุมภายใน และการเสริมสร้างความตระหนักรู้ให้แก่พนักงานและผู้ให้บริการภายนอกเกี่ยวกับความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล ผลกระทบที่อาจเกิดขึ้นจากการละเมิดข้อมูล และความจำเป็นในการปฏิบัติตามขั้นตอนที่ถูกต้องอย่างเคร่งครัด นอกจากนี้ บริษัทได้เน้นย้ำถึงบทลงโทษที่เกี่ยวข้อง พร้อมทั้งพัฒนาและปรับปรุงระบบเพื่อช่วยตรวจสอบการทำงานและเพิ่มประสิทธิภาพในการป้องกันความเสี่ยงด้านข้อมูล เพื่อป้องกันไม่ให้เกิดเหตุในลักษณะเดียวกันซ้ำอีกในอนาคต

การตรวจสอบโดยหน่วยงานภายนอกที่มีความเป็นอิสระ

บริษัทดำเนินการบริหารจัดการด้านความมั่นคงปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลตามมาตรฐานสากล โดยได้รับการรับรองมาตรฐาน ISO/IEC 27001:2022 สำหรับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System: ISMS) และ ISO/IEC 27701:2019 สำหรับระบบบริหารจัดการข้อมูลส่วนบุคคล (Privacy Information Management System: PIMS) ซึ่งสะท้อนถึงความรับผิดชอบ ความโปร่งใส และความน่าเชื่อถือในการบริหารจัดการข้อมูล อันเป็นรากฐานสำคัญของการดำเนินธุรกิจด้านการเงิน ซึ่งบริษัทได้รับการรับรองมาตรฐานดังกล่าวอย่างต่อเนื่องเป็นระยะเวลา 6 ปี แสดงถึงความมุ่งมั่นในการปกป้องข้อมูลของลูกค้า คู่ค้า และผู้มีส่วนได้เสีย รวมถึงการลดความเสี่ยงจากภัยคุกคามทางไซเบอร์อย่างเป็นระบบและยั่งยืน

นอกจากนี้ บริษัทยังได้ปฏิบัติตามมาตรฐาน PCI DSS (Payment Card Industry Data Security Standard) เพื่อยกระดับความปลอดภัยของข้อมูลบัตรชำระเงินและเสริมสร้างความเชื่อมั่นในการทำธุรกรรมทางการเงินดิจิทัลอย่างต่อเนื่อง โดยปัจจุบันอยู่ระหว่างการขอรับรองมาตรฐาน PCI DSS

ISO/IEC 27001: 2022 ระบบบริหารความมั่นคงปลอดภัยสารสนเทศ สำาหรับทุกกระบวนการ

ISO/IEC 27701:2019 ระบบบริหารจัดการข้อมูลส่วนบุคคล สำาหรับทุกกระบวนการ

การอบรมด้านความปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล

บริษัทมุ่งสร้างความตระหนักถึงภัยไซเบอร์และความสำคัญของการรักษาความปลอดภัยข้อมูล โดยจัดอบรมด้านเทคโนโลยีสารสนเทศและการคุ้มครองข้อมูลส่วนบุคคลอย่างต่อเนื่อง ให้แก่คณะกรรมการ ผู้บริหาร พนักงาน รวมถึงคู่ค้าและผู้ให้บริการ เพื่อยกระดับมาตรฐานความปลอดภัยและการปฏิบัติตามข้อกำหนดอย่างเคร่งครัด

การอบรมมาตรฐานระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISO/IEC 27001:2022) และระบบบริหารจัดการข้อมูลส่วนบุคคล (ISO/IEC 27701:2019)

บริษัทได้จัดทำโปรแกรมฝึกอบรมทั่วทั้งองค์กร เพื่อเสริมสร้างความรู้ความเข้าใจเกี่ยวกับมาตรฐาน ISO/IEC 27001:2022 และ ISO/IEC 27701:2019 รวมถึงกฎหมายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล ผ่านระบบการเรียนรู้อิเล็กทรอนิกส์ภายในองค์กร โดยหลักสูตรแบ่งออกเป็น 2 ส่วน ประกอบด้วย ความรู้เบื้องต้นเกี่ยวกับ ISO/IEC 27001:2022 (ISMS) และ ISO/IEC 27701:2019 (PIMS) และแนวปฏิบัติให้สอดคล้องกับมาตรฐาน ทั้งนี้ หลักสูตรดังกล่าวเป็นการอบรมภาคบังคับสำหรับพนักงานใหม่ในช่วงปฐมนิเทศ และมีการทบทวนเนื้อหาให้กับพนักงานทั้งองค์กรทุกปี

ผู้เข้าร่วมอบรมทั้งหมด 1,822 คน คิดเป็นร้อยละ 100

ผู้เข้าร่วมอบรมผ่านเกณฑ์การทดสอบหลังการอบรม ร้อยละ 100

การอบรมหลักสูตร Security Awareness “คลิกผิด ชีวิตเปลี่ยน…รู้ก่อนปลอดภัยกว่า!” ประจำปี 2568

บริษัทจัดหลักสูตรอบรมเพื่อเสริมสร้างความตระหนักรู้และความเข้าใจด้านความปลอดภัยไซเบอร์ให้แก่พนักงานทุกคน โดยมุ่งเน้นการรับรู้ความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่อาจส่งผลกระทบต่อข้อมูลส่วนบุคคล ข้อมูลองค์กร และการดำเนินธุรกิจของบริษัท เนื้อหาการอบรมครอบคลุมการทำความเข้าใจภัยคุกคามจากอีเมลฟิชชิ่ง การปกป้องข้อมูลสำคัญ การพัฒนาทักษะในการตอบสนองเมื่อพบเหตุการณ์ต้องสงสัย การยกระดับความปลอดภัยไซเบอร์ภายในองค์กร และการเรียนรู้เทคนิคการหลีกเลี่ยงการตกเป็นเหยื่อของกลโกงออนไลน์ โครงการดังกล่าวมีเป้าหมายเพื่อยกระดับความรู้ ความตระหนักรู้ และความพร้อมของพนักงานในการรับมือกับภัยไซเบอร์อย่างมีประสิทธิภาพ เสริมสร้างวัฒนธรรมด้านความมั่นคงปลอดภัยสารสนเทศ และสนับสนุนการดำเนินธุรกิจอย่างมั่นคงและยั่งยืนในระยะยาว

‌

ผู้เข้าร่วมอบรมทั้งหมด 1,818 คน คิดเป็นร้อยละ 100

KTC FIT Talk ครั้งที่ 20 “รู้ทันภัยไซเบอร์: ปกป้องตัวตนและเงินในโลกดิจิทัล”

บริษัทร่วมกับกองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี สำนักงานตำรวจแห่งชาติ ดำเนินมาตรการเชิงรุกเพื่อยกระดับการป้องกันภัยไซเบอร์ที่ส่งผลต่อผู้บริโภค ผ่านการจัดเวทีเสวนา KTC FIT Talk ครั้งที่ 20 “รู้ทันภัยไซเบอร์: ปกป้องตัวตนและเงินในโลกดิจิทัล” เพื่อให้ความรู้ วิเคราะห์แนวโน้มภัยคุกคามทางการเงินที่ทวีความซับซ้อนจากฟิชชิ่งและคอลเซ็นเตอร์ สู่การใช้ AI, Deepfake และ Agentic AI ในการโจมตีธุรกรรมทางการเงิน พร้อมส่งเสริมความร่วมมือระหว่างภาครัฐ ภาคเอกชน และสื่อมวลชน ในการสร้างภูมิคุ้มกันทางดิจิทัลแก่สังคมไทย

โครงการดังกล่าวสะท้อนบทบาทของบริษัทในการดูแลความปลอดภัยทางการเงินของลูกค้าอย่างรอบด้าน ผ่านการแลกเปลี่ยนข้อมูลภัยทุจริต การเฝ้าระวังธุรกรรมแบบเรียลไทม์ 24 ชั่วโมง การพัฒนาผลิตภัณฑ์และเทคโนโลยีความปลอดภัย อาทิ KTC Digital Card และการสื่อสารให้ความรู้แก่ประชาชนอย่างต่อเนื่อง โดยมุ่งลดความเสี่ยงด้านอาชญากรรมไซเบอร์ เสริมสร้างความเชื่อมั่นต่อระบบการเงินดิจิทัล และสนับสนุนการเติบโตอย่างยั่งยืนของสังคมและเศรษฐกิจดิจิทัลไทย