By: mk 
on 12 September 2016 - 18:28
Tags:
จากปัญหาเรื่องการทำธุรกรรมออนไลน์ผ่านโทรศัพท์เคลื่อนที่ ที่มีประเด็นเรื่องความปลอดภัยของข้อมูลในช่วง 1-2 เดือนที่ผ่านมา วันนี้ หน่วยงานที่เกี่ยวข้อง 4 รายได้แก่ กสทช. ธนาคารแห่งประเทศไทย สมาคมธนาคารไทย สมาคมโทรคมนาคมแห่งประเทศไทย มาประชุมหารือกันและได้ข้อสรุป 5 เรื่อง ดังนี้
- ผู้ให้บริการโทรศัพท์เคลื่อนที่จะร่วมกันกำหนด "แนวปฏิบัติ" ในการพิสูจน์ตัวตนของผู้ใช้บริการ ในฝั่งของ กสทช. จะคอยกำหนดมาตรการในการตรวจสอบการดำเนินงานอย่างเคร่งครัด
- ธนาคารพาณิชย์กับผู้ให้บริการโทรศัพท์เคลื่อนที่ จะช่วยกันประชาสัมพันธ์ให้ผู้ใช้งานทราบว่า ถ้าโทรศัพท์หายต้องทำอย่างไรบ้าง โดยจะต้องแจ้งทั้งฝั่งธนาคารให้ยกเลิกบริการ และแจ้งผู้ให้บริการโทรศัพท์เพื่อขอออกซิมใหม่ ซึ่งต้องเข้ากระบวนการพิสูจน์ตัวตน
- ถ้าพิสูจน์ได้ว่า ผู้ใช้ที่ทำโทรศัพท์หาย แจ้งธนาคารให้ระงับบริการออนไลน์ต่างๆ แล้ว ผู้ใช้ไม่ต้องรับผิดชอบต่อความเสียหายที่เกิดขึ้น
- ธนาคารต้องแจ้งหมายเลขโทรศัพท์ที่สูญหายให้ผู้ให้บริการโทรศัพท์ทราบ ระหว่างที่ยังไม่มีระบบเชื่อมต่อข้อมูลโดยตรงระหว่าง 2 ฝั่ง
- การออกซิมการ์ดใหม่สำหรับเลขหมายที่เชื่อมต่อบริการธนาคารออนไลน์ เจ้าของต้องมาดำเนินการด้วยตัวเองเท่านั้น มอบอำนาจไม่ได้
สรุปข้อหารือ เรื่อง การสร้างความเชื่อมั่นให้กับประชาชน
ในการใช้บริการธุรกรรมทางการเงินผ่านอุปกรณ์โทรศัพท์เคลื่อนที่
สำนักงาน กสทช. ธนาคารแห่งประเทศไทย
สมาคมโทรคมนาคมแห่งประเทศไทย ในพระบรมราชูปถัมภ์ และสมาคมธนาคารไทยเมื่อวันที่ 12 กันยายน 2559 นายฐากร ตัณฑสิทธิ์ เลขาธิการคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ(เลขาธิการ กสทช.) นายรณดล นุ่มนนท์ ผู้ช่วยผู้ว่าการสายกำกับสถาบันการเงิน ธนาคารแห่งประเทศไทย(ธปท.) นายปรีดี ดาวฉาย ประธานสมาคมธนาคารไทย และนายศุภชัย เจียรวนนท์ นายกสมาคมโทรคมนาคมแห่งประเทศไทย ในพระบรมราชูปถัมภ์ ได้ประชุมหารือ เรื่อง การสร้างความเชื่อมั่นให้กับประชาชนในการใช้บริการธุรกรรมทางการเงินผ่านอุปกรณ์โทรศัพท์เคลื่อนที่ เพื่อหารือถึงความเป็นไปได้ในการสร้างความเชื่อมั่นและยกระดับมาตรฐานความปลอดภัยในการใช้บริการของ 2 อุตสาหกรรม ณ สำนักงาน กสทช. โดยมีข้อสรุปของการประชุมหารือ ดังนี้
ระยะสั้น มีการดำเนินการ 5 เรื่อง คือ
1. สำนักงาน กสทช. ธนาคารแห่งประเทศไทย สมาคมโทรคมนาคมแห่งประเทศไทยฯ และผู้ให้บริการโทรศัพท์เคลื่อนที่จะกำหนดแนวทางปฏิบัติร่วมกันในการพิสูจน์ตัวตนผู้ใช้บริการของผู้ให้บริการโทรศัพท์เคลื่อนที่ ในขณะเดียวกัน สำนักงาน กสทช. จะออกหนังสือกำชับผู้ให้บริการโทรศัพท์เคลื่อนที่ให้ดำเนินตามกระบวนการพิสูจน์ตัวตน และกำหนดมาตรการให้ผู้ให้บริการโทรศัพท์เคลื่อนที่มีการตรวจสอบ ติดตาม และประเมินผลการดำเนินงานอย่างเคร่งครัดด้วย
2. ธนาคารพาณิชย์และผู้ให้บริการโทรศัพท์เคลื่อนที่จะร่วมกันประชาสัมพันธ์ให้ผู้ใช้บริการ mobile Banking, Internet Banking และ Prompt Pay ในกรณีโทรศัพท์เคลื่อนที่สูญหาย 1. จะต้องแจ้งให้ธนาคารพาณิชย์ที่ใช้บริการอยู่ทราบเพื่อยกเลิกการใช้บริการดังกล่าว และ2. แจ้งผู้ให้บริการโทรศัพท์เคลื่อนที่เพื่อขอออกซิมการ์ดใหม่ซึ่งจะต้องดำเนินการตามขั้นตอนการพิสูจน์ตัวตน
3. ในกรณีที่พิสูจน์ได้ว่าผู้ใช้บริการได้ดำเนินการแจ้งให้ธนาคารพาณิชย์ระงับบริการ Mobile Banking, Internet Banking และ Prompt Pay ผู้ใช้บริการไม่ต้องรับผิดชอบต่อความเสียหายที่เกิดขึ้น
4. ในระหว่างที่ยังไม่มีระบบการเชื่อมต่อตรงระหว่างธนาคารพาณิชย์และผู้ให้บริการโทรศัพท์เคลื่อนที่ให้ธนาคารพาณิชย์แจ้งหมายเลขโทรศัพท์ที่ใช้งาน Mobile Banking, Internet Banking และ Prompt Pay ให้ผู้ให้บริการโทรศัพท์เคลื่อนที่ทราบ เพื่อจะได้มีการดูแลเป็นกรณีพิเศษ
5. การออกซิมการ์ดใหม่สำหรับเลขหมายที่มีการใช้บริการ mobile Banking และ Internet Banking ผู้ใช้บริการจะต้องดำเนินการด้วยตนเองเท่านั้น ไม่สามารถมอบอำนาจให้ผู้อื่นดำเนินการได้
โดยทั้ง 4 หน่วยงานจะทำงานร่วมกันทำงานอย่างใกล้ชิดในการศึกษาและนำเสนอแนวทางในรายละเอียด เพื่อสร้างความเชื่อมั่นในการใช้บริการให้กับประชาชน โดยความร่วมมือจากทุกภาคส่วนที่เกี่ยวข้องตามนโยบายรัฐบาล National e-Payment ในระยะยาวต่อไป
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- Kubernetes คืออะไร [Part 1] เกิดขึ้นมาอย่างไร? ทำไมต้องใช้มัน? | Cloudnone EP.14
- CI/CD ยังไงดี ตั้งเซิร์ฟเวอร์เอง vs เช่าคลาวด์ | Cloudnone EP.13
- รู้จักโน้ตบุ๊กบนคลาวด์ เช่าใช้งาน Jupyter Notebook ที่ไหนดี | Cloudnone Ep.12
- สรุปข่าวใหญ่ปี 23 และคาดการณ์เทรนด์ปี 24 ในวงการ Cloud | Cloudnone EP.11
- สรุปของใหม่และสาระสำคัญจาก AWS re:Invent 2023 | Cloudnone Special EP
Comments
แล้วตู้ออกซิมล่ะ?
บล็อกส่วนตัวที่อัพเดตตามอารมณ์และความขยัน :P
น่าสนใจนะ เพราะตู้เสียบบัตรประชาชน ที่เหมือนจะแต่ดึงข้อมูลได้เฉยๆ ก็ออกซิมใหม่ได้แล้ว ขโมยบัตรมาออกก็ได้ ไม่ต้องผ่านคนตรวจสอบก่อน
จะมี one stop service ไม๊
"การออกซิมการ์ดใหม่สำหรับเลขหมายที่เชื่อมต่อบริการธนาคารออนไลน์ เจ้าของต้องมาดำเนินการด้วยตัวเองเท่านั้น มอบอำนาจไม่ได้" >>> ตรวจยังไงว่าเบอร์นี้เชื่อมต่อกับบริการธนาคารออนไลน์แห่งไหนทำเหมือนเครดิตบูโรหรือ?!?
นั่นซิ ถ้ารู้เท่ากับธนาคารเอาข้อมูลสำคัญของลูกค้าไปเปิดเผยด้วย
อยู่ในข้อ 4. ไง "ให้ธนาคารพาณิชย์แจ้งหมายเลขโทรศัพท์ที่ใช้งาน Mobile Banking, Internet Banking และ Prompt Pay ให้ผู้ให้บริการโทรศัพท์เคลื่อนที่ทราบ" ให้เปิดเผยหมด ไม่ต้องรักษาความลับกันแล้ว
จริงๆ ไม่ควรแยกว่า เบอร์นั้นใช้กับธนาคารถึงได้ต้องเข้มงวดเป็นพิเศษ แต่ควรเข้มงวดเรื่องการออกซิมใหม่กับทุกเบอร์เลย
เห็นด้วย
การให้ธนาคาร บอกข้อมูลเบอร์กับค่ายมือถือ
ผมว่ามันเพิ่มโอกาสทุจริตของพนักงานค่ายมือถือ
ที่บางครั้งก็เป็น Sub เป็น OutSource
ถ้าพิสูจน์ได้ว่า ผู้ใช้ที่ทำโทรศัพท์หาย แจ้งธนาคารให้ระงับบริการออนไลน์ต่างๆ แล้ว ผู้ใช้ไม่ต้องรับผิดชอบต่อความเสียหายที่เกิดขึ้น
หรือ
ถ้าพิสูจน์ไม่ได้ว่า ผู้ใช้ที่ทำโทรศัพท์หาย แจ้งธนาคารให้ระงับบริการออนไลน์ต่างๆ แล้ว ผู้ใช้อาจต้องรับผิดชอบต่อความเสียหายที่เกิดขึ้น
... ว่าแต่ใครเก็บหลักฐานการแจ้งหายนะ ...
samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo
การแจ้งหายหรือแจ้งระงับนี่ก็ต้องรัดกุมด้วย ไม่งั้นก็อาจจะเกิดการแกล้งแจ้งระงับบัญชีของคนอื่นมั่วๆ ได้
ถ้าไม่ประโคม prompt pay ขนาดนี้ การประชุมลักษณะนี้ไม่มีทางเกิด
ดูแล้ว ใช้แบบเดิมดูจะสะดวกกว่า เสี่ยงน้อยกว่า
มันควรมีระบบ central lock โทรแจ้งปุ๊ป ล็อคทุก ATM DC CC SIM IDCARD BANK-ACCOUNT เวลากระเป๋าเงินหาย โทรศัพท์หาย
ธนาคารเป็นคนเลือกให้ลูกค้าใช้เบอร์โทรศัพท์ พอลูกค้ามีปัญหา ธนาคารก็เป็นคนบอกว่าลูกค้าต้องแจ้งธนาคารนะ
เริ่มจากไม่ใช้เบอร์โทรศัพท์ก่อนไหมครับ :)
แล้วจะให้ใช้อะไรหล่ะครับ ปล่อยลอยไปเลยก็ไม่ใช่นะ เสนอแนวทางทดแทนมาด้วยครับผม
แนวทางอื่นเยอะไปครับ hardware token ก็มีหลายประเทศทั่วโลกเขาแจกกัน
คนทำงานความปลอดภัยธนาคารไม่อับจนปัญญาจนไม่รู้ว่าประเทศอื่นเขาใช้อะไรกันหรอกครับ
lewcpe.com, @wasonliw
ผมคิดว่า hardware token มีโอกาสหายมากกว่าโทรศัพท์อีกครับ แต่เห็นด้วยว่าควรมีทางเลือกอื่นๆ ให้ลูกค้าเลือกเองครับ
หายแต่ตัวมันเองไม่ได้ผูกกับข้อมูลอื่นๆ ครับ ไม่ได้บอกว่าเจ้าของเป็นใคร, หมายเลขบัญชีอะไร
แนวคิดของ 2nd factor ที่สำคัญคือการแยกเส้นทางการยืนยันตัวตนออกจากเส้นทางหลัก (การล็อกอินเว็บ+password) แต่ทุกวันนี้เราล็อกอินบนมือถือ SMS ก็ส่งบนมือถือ ถ้าคนร้ายเข้าถึงมือถือได้ก็แทบจะได้ทุกอย่าง
lewcpe.com, @wasonliw
hardware token หรือ software token ก็มีนะครับ
ไทยไม่ใช่ที่แรกในโลกที่มีปัญหานี้ครับ
+1 เบอร์โทรศัพท์ไม่ใช่ทรัพย์สินหรือบริการที่ให้โดยธนาคาร (ไม่เหมือนบัตร ATM, Debit, Credit) ดังนั้น มันไม่ใช่หน้าที่ของผุ้ใช้งานที่จะต้องแจ้งแต่ธนาคารทีทราบว่ามือถือหาย
อีกอย่างธนาคารเป็นผู้บังคับให้ผู้ใช้งานต้องผูกกับเบอร์มือถือเอง แทนที่จะยอมลงทุนในระบบ authen ของตัวเองอย่างเช่น token
ถ้าโทรศัพท์หายจริงๆ ตกลงต้องแจ้งใครบ้าง
และจะมีใครมีความสามารถการแจ้งให้ครบถ้วนไม่ตกหล่นจริงๆ บ้าง?
lewcpe.com, @wasonliw
แปลว่า อีกหน่อย True/DTAC/AIS จะรู้ว่า ผมใช้บริการธนาคารอะไรอยู่แถมรู้ว่าเอาเบอร์ไหนผูกกับบัญชีของธนาคารอะไรด้วย? มันเป็นเรื่องจำเป็นต้องรู้เหรอ แล้วจะยิ่งเพิ่มช่องโหว่เข้าไปใหญ่หรือเปล่า, ทำไมไม่ทำให้ "การดูแลเป็นกรณีพิเศษ" เป็นมาตรฐานไปเลย
iPAtS
เจอกระทู้นี้เข้าไป ... เราจะไว้ใจ operator ได้ไหมม
หมดความเชื่อมั่น!!!. พนักงานบริษัท AIS ถือวิสาสะขโมยข้อมูลลูกค้าไปให้บุคคลภายนอก ไม่โดนเองไม่รู้
iPAtS
ผมว่าเปลี่ยนเป็น ให้ ผู้บริการ ค่ายมือถือทั้งหลาย "มีส่วนรับผิดชอบต่อความเสียหาย"
เพียงเท่านี้ ค่ายมือถือ ก็จะรอบคอบมากขึ้นได้นะ และอาจจะต้องมีระบบ เพื่อบอกว่า ซิมนี้ "ใช้บริการธุรกรรมทางธนาคารผ่าน OTP"
จะทำให้คนที่ทำการออกซิม ดูแลเป็นพิเศษ ว่าไม่ออกผิดคน