ประกาศตลาดหลักทรัพย์แห่งประเทศไทย
เรื่อง มาตรฐานเกี่ยวกับการซื้อขายหลักทรัพย์ผ่านอินเทอร์เน็ต พ.ศ. 2548
อาศัยอำนาจตามความในข้อ 14 ของข้อบังคับตลาดหลักทรัพย์แห่งประเทศไทย เรื่องการซื้อขายหลักทรัพย์ผ่านอินเทอร์เน็ต พ.ศ. 2548 ลงวันที่ 22 มีนาคม 2548 ตลาดหลักทรัพย์แห่งประเทศไทยออกข้อกำหนดไว้ดังต่อไปนี้
ข้อ 1 ประกาศนี้ให้ใช้บังคับตั้งแต่วันที่ 3 พฤษภาคม 2548 เป็นต้นไป
ข้อ 2 ให้สมาชิกปฏิบัติงานตามมาตรฐานที่เกี่ยวกับการซื้อขายหลักทรัพย์ผ่านอินเทอร์เน็ตตามเอกสารแนบท้ายประกาศนี้
ประกาศ ณ วันที่ 22 มีนาคม 2548
ลงนาม (กิตติรัตน์ ณ ระนอง)
(นายกิตติรัตน์ ณ ระนอง)
กรรมการและผู้จัดการ
เหตุผลในการประกาศใช้ : โดยที่ตลาดหลักทรัพย์เห็นควรกำหนดมาตรฐานการทำงานและการรักษา
ความปลอดภัยของระบบคอมพิวเตอร์สำหรับการซื้อขายหลักทรัพย์ผ่านอินเทอร์เน็ต ระบบการบันทึกคำสั่ง
ซื้อขายผ่านอินเทอร์เน็ต การจัดเก็บข้อมูลเกี่ยวกับการบันทึกคำสั่งซื้อขายผ่านอินเทอร์เน็ต รวมทั้งระบบคัดกรอง
คำสั่งซื้อขายเพื่อรองรับการซื้อขายหลักทรัพย์ดังกล่าว จึงสมควรออกประกาศนี้ใช้บังคับ
มาตรฐานคอมพิวเตอร์สำหรับการซื้อขายหลักทรัพย์ผ่านอินเทอร์เน็ต (Internet Trading)
และระบบคัดกรองคำสั่งซื้อขาย (Order Screening System)
ตลาดหลักทรัพย์ได้ตระหนักถึงความสำคัญของการซื้อขายหลักทรัพย์ผ่านอินเทอร์เน็ตที่ต่อเชื่อมกับระบบการซื้อขาย ซึ่งอาจส่งผลต่อความปลอดภัยของระบบการซื้อขาย รวมถึงการส่งคำสั่งซื้อขายของลูกค้าผ่านระบบอินเทอร์เน็ตที่อาจมีลักษณะที่เข้าข่ายเป็นคำสั่งไม่เหมาะสม ตลาดหลักทรัพย์จึงได้จัดทำมาตรฐานในเรื่องดังกล่าวเพื่อให้สมาชิกใช้เป็นข้อปฏิบัติในการดำเนินการ ได้แก่
I. มาตรฐานคอมพิวเตอร์สำหรับการซื้อขายหลักทรัพย์ผ่านอินเทอร์เน็ต
* รูปแบบการซื้อขายหลักทรัพย์ผ่านระบบอินเทอร์เน็ต
* การบริหารและควบคุมระบบรักษาความปลอดภัย (Security Management)
- Physical Security
- Network Security
- User Authentication and Privacy
- Information Security Standard
II. ระบบคัดกรองคำสั่งซื้อขาย (Order Screening System)
* คำสั่งในลักษณะลัดคิวและปิดบังคำสั่งของผู้อื่น
* คำสั่งในลักษณะใส่-ถอน
* คำสั่งจับคู่กันเอง (Wash Sale)
* คำสั่งในลักษณะชี้นำราคา
โดยมีรายละเอียดดังนี้
I. มาตรฐานคอมพิวเตอร์สำหรับการซื้อขายหลักทรัพย์ผ่านอินเทอร์เน็ต (Internet Trading)
รูปแบบการซื้อขายหลักทรัพย์ผ่านระบบอินเทอร์เน็ต (Internet Trading)
1. เป็นการซื้อขายหลักทรัพย์ผ่านเครื่องคอมพิวเตอร์ Web Server มีการต่อเชื่อมผ่านระบบเครือ
ข่าย Internet (Public Network) และผ่านผู้ให้บริการอินเทอร์เน็ต (Internet
Service Provider (ISP)) ที่ให้บริการเป็นการทั่วไป (Public Service)
2. เครื่อง Web Server และ Order Management ต้องแยกฟังก์ชันพร้อมทั้งบันทึกการทำงาน
สำหรับตรวจสอบ โดยต้องแยกออกจากเครื่อง Broker Front-Office
3. ไม่ใช้ Application หรือ วิธีการที่ตลาดหลักทรัพย์พิจารณาว่าเข้าข่ายเป็น Terminal
Emulator
4. มีระบบรักษาความปลอดภัยเป็นระบบที่มีมาตรฐาน
5. มีการคัดกรองคำสั่งซื้อขายที่ไม่เหมาะสมตามที่ตลาดหลักทรัพย์กำหนด
การส่งคำสั่งซื้อขายด้วยเครื่องโทรศัพท์เคลื่อนที่หรือ PDA จัดเป็นประเภท การซื้อขายหลักทรัพย์ผ่านระบบอินเทอร์เน็ต (Internet Trading) เช่นกัน จึงมีโครงสร้างระบบเช่นเดียวกับที่กล่าวมาข้างต้น
ตัวอย่างการเชื่อมต่อระบบ
ลักษณะการเชื่อมต่อระบบ เพื่อการทำ Internet Trading แสดงดังตัวอย่างรูปที่ 1 และ 2 โดย
* Internet Trading Terminal หมายถึง เครื่อง Computer, PDA หรือ เครื่องโทรศัพท์
เคลื่อนที่ ซึ่งลูกค้าใช้ทำการส่งคำสั่งซื้อขาย โดยผ่าน Web Browser ที่เป็น Global
Standard เช่น Internet Explorer,Netscape CommunicatorหรือFirefox เป็นต้น
* Web Server หมายถึง เครื่อง Computer ที่มีการจดทะเบียนเป็น Public Domain และ
ผ่าน ISP ทีเป็น Public Internet
* Order Management Server หมายถึง เครื่อง Computer ที่ทำหน้าที่ในการ Validate,
Logging ชุดคำสั่งซื้อขาย (Order) และสร้างคำสั่งซื้อขาย โดย Order ต่างๆ จะถูกส่งผ่าน
มาทาง Web Server
* Broker Front-Office หมายถึง เครื่อง Computer ที่ทำหน้าที่ในการเชื่อมต่อกับระบบซื้อ
การบริหารและควบคุมระบบรักษาความปลอดภัย (Security Management) การดำเนินการบริหารและควบคุมระบบรักษาความปลอดภัยและคอมพิวเตอร์ที่ได้มาตรฐาน เพื่อให้เกิดความมั่นใจว่าการปฏิบัติงานทั่วไปมีมาตรฐานที่เหมาะสมในการรักษาความปลอดภัยรวมถึงการปฏิบัติงานที่จัดให้เพิ่มขึ้นเป็นพิเศษสำหรับการรักษาความปลอดภัยโดยให้ครอบคลุมในเรื่องของ Confidentiality Integrity และ Availability เช่น User Administration และ Security Alert เป็นต้น ระบบที่เป็นมาตรฐาน ได้แก่
Physical Security มีระบบรักษาความปลอดภัยในสถานที่ตั้งเครื่องสำหรับการให้บริการ
ห้องคอมพิวเตอร์ควรทำการแบ่งแยกเป็นสัดส่วนโดยเฉพาะ
ห้องคอมพิวเตอร์ควรติดตั้งระบบการรักษาความปลอดภัยที่ได้มาตรฐานเช่นการเข้า/
ออก
ห้องคอมพิวเตอร์ต้องมีการใช้บัตรผ่าน (Access Control) และมีเจ้าหน้าที่ควบคุมการเข้าออก
สถานที่ตลอด 24 ชั่วโมง
มีการบันทึกข้อมูลบุคคลเข้า/ออกห้องคอมพิวเตอร์ และเหตุผลในการเข้าใช้งาน
Network Security มีระบบการป้องกันไม่ให้บุคคลอื่นที่ไม่ได้รับอนุญาตเข้าสู่ระบบแล้วก่อให้เกิด
ความเสียหาย เช่น ขโมยข้อมูล เปลี่ยนแปลงข้อมูล หรือทำให้ระบบขัดข้อง เป็นต้น ซึ่งอาจทำให้
สามารถรับรู้หรือเปลี่ยนแปลงข้อมูลที่ได้จากการซื้อขาย
ต้องมีอุปกรณ์รักษาความปลอดภัยเบื้องต้น เช่น Firewall เป็นต้น ใน ระหว่าง Web
Server, Order Management กับระบบเครือข่าย Internet
ต้องมีการบันทึกการใช้งาน และ Event log ของ Network Equipment ต่างๆ ไว้เพื่อ
การตรวจสอบหรือแก้ไขปัญหา อย่างน้อย 1 เดือน โดยสามารถนำมาตรวจสอบได้ทันทีเมื่อ
ตลาดหลักทรัพย์ร้องขอ
กำหนดประเภทบริการ (Service) ของอุปกรณ์รักษาความปลอดภัยและอุปกรณ์ Network ทุก
ชนิดที่เชื่อมต่อระหว่าง Network ตามการใช้งานจริง
ข้อเสนอแนะ
ควรมีอุปกรณ์รักษาความปลอดภัยเบื้องต้น ระหว่าง Order Management กับ Broker
Front Office ของสมาชิก
ควรมีการกำหนด Service level ของ Network Equipment ต่างๆ เช่น ความพร้อมใน
การใช้งานอุปกรณ์,ระยะเวลาในการ ซ่อมแซม หรือ เปลี่ยนอุปกรณ์ เป็นต้น
User Authentication and Privacy มีการตรวจยืนยันตัวผู้ใช้ระบบว่าเป็นบุคคลที่ได้รับอนุญาต
จริง ไม่ใช่เป็นผู้อื่นปลอมแปลงมา รวมถึงการป้องกันการแสดงและส่งผ่านข้อมูลว่าจะส่งไปเฉพาะ
ข้อมูลของบุคคลนั้นเท่านั้นและไม่อนุญาตให้ผู้ซึ่งไม่ใช่เจ้าของข้อมูลเห็นข้อมูลนั้นได้
System Security
ก่อนเข้าใช้งาน Server ต้องผ่านการตรวจยืนยันตัวผู้ใช้ระบบว่าเป็นบุคคลที่ได้รับ
อนุญาตจริง ไม่ใช่เป็นผู้อื่นปลอมแปลงมา โดยสามารถจัดหาวิธีการ หรือเทคโนโลยี
ใดๆ เช่น การระบุ User และ Password โดย Password ให้เป็นไปตามคำแนะนำ
ขั้นต่ำดังนี้
- Password ควรมีความยาวอย่างน้อย 8 ตัวอักษร และมีการใช้อักขระพิเศษและตัว
เลข
- ควรกำหนดนโยบายการเปลี่ยน password ในช่วงเวลาที่เหมาะสม เช่น ทุก ๆ
3 เดือน
- ไม่แสดงผล Password ในลักษณะ Clear Text
- ไม่มีการใช้ Software หรือเทคนิควิธีการในการให้เครื่องคอมพิวเตอร์หรืออุปกรณ์
ใดๆ ที่เกี่ยวกับระบบซื้อขายบันทึก Password เพื่อที่จะเรียกในครั้งต่อไปได้โดย
อัตโนมัติ
เมื่อมีการ Login ผิดเกินกว่า 5 ครั้งติดต่อกัน ควร lock การ login ของ
Account นั้น
Application security
ก่อนลูกค้าใช้งานระบบซื้อขายหลักทรัพย์ผ่านระบบอินเทอร์เน็ต (Internet Trading) ต้อง
ผ่านการตรวจยืนยันตัวผู้ใช้ระบบว่าเป็นบุคคลที่ได้รับอนุญาตจริง ไม่ใช่เป็นผู้อื่นปลอมแปลงมา
โดยสามารถจัดหาวิธีการ หรือเทคโนโลยีใดๆ เช่น การระบุ User และ Password โดย
Password ให้เป็นไปตามคำแนะนำขั้นต่ำดังนี้
- Password ควรมีความยาวอย่างน้อย 6 ตัวอักษร และมีการใช้อักขระพิเศษและตัวเลข
- ไม่แสดงผล Password ในลักษณะ Clear Text
- ไม่มีการใช้ Software หรือเทคนิควิธีการในการให้เครื่องคอมพิวเตอร์หรืออุปกรณ์ใดๆ ที่
เกี่ยวกับระบบซื้อขายบันทึก Password เพื่อที่จะเรียกในครั้งต่อไปได้โดยอัตโนมัติ
- ขั้นตอนการกำหนดและส่งมอบ Username และ Password ให้กับลูกค้าต้องมีความปลอดภัย
เพียงพอ
เมื่อมีการ Login ผิดเกินกว่า 5 ครั้งติดต่อกัน ควร lock การ login ของ Account นั้น
ลูกค้าสามารถใช้ user login เพียง 1 ชื่อ เพื่อ login ในเวลาใด เวลาหนึ่ง เท่านั้น
ณ ขณะใดขณะหนึ่ง หน้าจอสำหรับส่งคำสั่งของลูกค้าที่ซื้อขายด้วยตนเอง ต้องใช้ส่งคำสั่งสำหรับลูกค้า
1 ราย 1 บัญชี และ 1 คำสั่งที่ระบุการซื้อหรือขายหลักทรัพย์เพียงหนึ่งหลักทรัพย์เท่านั้น โดยการ
ส่งคำสั่งแต่ละครั้ง ลูกค้าต้องดำเนินการส่งคำสั่งด้วยตนเองตั้งแต่เริ่มกระบวนการส่งคำสั่ง จนคำสั่ง
นั้นถูกส่งไปอย่างสมบูรณ์ ลูกค้าจึงสามารถเริ่มส่งคำสั่งในลำดับถัดไปได้ โดยการส่งคำสั่งลูกค้าต้อง
ยืนยันเป็นลูกค้ารายนั้นจริง(Confirmation) เป็นรายคำสั่ง โดยสมาชิกสามารถจัดหาวิธีการ หรือ
เทคโนโลยีใดๆ เช่น การระบุ Pin ID เป็นต้น
มีการกำหนด PIN ID โดยมีรายละเอียด ดังนี้
- กำหนด PIN ID ให้กับลูกค้าโดยมีความยาวอย่างน้อย 4 หลัก
- เมื่อมีการใส่ PIN ID ผิดเกินกว่า 5 ครั้งติดต่อกัน ควรlockการส่งคำสั่งของ Account นั้น
- การเก็บ PIN ID ต้องผ่านการเข้ารหัส (Encryption)
- มีการ Key PIN ID ทุกครั้งที่มีการส่งคำสั่งซื้อขายต่อ 1 คำสั่ง (Order) รวมถึงการแก้ไข
และยกเลิกคำสั่งซื้อขาย ซึ่งหนึ่งคำสั่งซื้อขาย หมายถึงการเสนอซื้อหรือเสนอขายหนึ่งหลักทรัพย์ที่
ระบุจำนวน ราคา (Confirm Order by Order) อย่างไรก็ตามในการยกเลิกคำสั่งซื้อขาย
ลูกค้าสามารถยกเลิกได้ครั้งละมากกว่า 1 คำสั่ง โดยการระบุ PIN ID เพียงครั้งเดียว
- ไม่มีการใช้ Software หรือเทคนิควิธีการในการให้เครื่องคอมพิวเตอร์หรืออุปกรณ์ใดๆ ที่เกี่ยว
กับระบบซื้อขายบันทึก PIN เพื่อที่จะเรียกในครั้งต่อไปได้โดยอัตโนมัติ
ข้อเสนอแนะ
ควรกำหนดTime Outไม่เกิน 60 นาที ในการบังคับให้ผู้ใช้Logoutโดยอัตโนมัติเมื่อไม่มีการใช้งาน
Information Security Standard มีมาตรฐานรักษาความปลอดภัยของข้อมูล
System Security
การเก็บ password ที่ server ต้องมีการเข้ารหัส (encryption)
ทุก Server จะต้องมี Service เท่าที่จำเป็นต่อการใช้งานกับระบบซื้อขายหลักทรัพย์ผ่าน
ระบบอินเทอร์เน็ต (Internet Trading) เท่านั้น
การรักษาความปลอดภัยสำหรับการส่งคำสั่งซื้อขายด้วยเครื่องโทรศัพท์เคลื่อนที่หรือ PDA
(Mobile Trading) คือต้องมีการเข้ารหัสข้อมูล (Encryption) จากตัวเครื่องโทรศัพท์
เคลื่อนที่หรือ PDA ไปยัง Web Server โดยไม่มีจุดที่สามารถถอดรหัสได้ตลอดเส้นทางเชื่อม
ต่อ ดังตัวอย่างในรูปที่ 2 ข้างต้น
ต้องมีการบันทึกการใช้งาน และ Event log ต่างๆ ของทุก Server ไว้ เช่น บันทึกการเข้า
ออกของผู้ใช้ระบบ,บันทึกการใช้งานของweb server,บันทึกการใช้งานของdatabase
เพื่อการตรวจสอบ อย่างน้อย 1 เดือน โดยสามารถนำมาตรวจสอบได้ทันทีเมื่อตลาดหลักทรัพย์
ร้องขอ
ข้อเสนอแนะ
ควรมีการรักษาความปลอดภัยระหว่าง Web Server และ Order Management เช่นการเข้า
รหัสข้อมูล(Encryption) หรือ การติดตั้ง Firewall
Application security
การเก็บ password ต้องมีการเข้ารหัส (encryption)
ต้องมีการเข้ารหัสข้อมูลที่ส่งจาก Internet Trading Terminal ไปยังWeb Server ดังนี้
- ต้องมี Key เข้ารหัสอย่างน้อย 128 bits สำหรับเครื่อง computer และ
- ต้องมี Key เข้ารหัสอย่างน้อย 40 bits สำหรับ PDA หรือเครื่องโทรศัพท์เคลื่อนที่
ต้องมีการบันทึก order log ของ Application ไว้เพื่อตรวจสอบอย่างน้อย 2 ปี โดยข้อมูล
ที่เก็บใน Log ระบุรายละเอียดของ order ดังนี้ ข้อมูลที่ระบุว่าส่งจากที่ทำการของสมาชิก
หรือสถานที่ของลูกค้า, วันที่, เวลา, IP, Client ID, Designated Trader ID, ข้อมูล
กรณีที่เจ้าหน้าที่รับอนุญาตเป็นผู้ส่งคำสั่งแทนลูกค้า และข้อมูลการซื้อขาย โดยสามารถนำมาตรวจ
สอบได้ทันทีเมื่อตลาดหลักทรัพย์ร้องขอ
II. ระบบคัดกรองคำสั่งซื้อขาย (Order Screening System)
ในการส่งคำสั่งซื้อขายของลูกค้าผ่านระบบอินเทอร์เน็ต ตลาดหลักทรัพย์ได้จัดทำระบบคัดกรองคำสั่งซื้อขายโดยระบบดังกล่าวทำหน้าที่คัดกรองคำสั่งซื้อขายที่ไม่เหมาะสมบางประเภทที่สามารถกำหนดรูปแบบในเบื้องต้น อย่างไรก็ตามสำหรับการส่งคำสั่งในลักษณะหลบเลี่ยงการตรวจสอบของระบบคัดกรองคำสั่งซื้อขาย และลักษณะคำสั่งไม่เหมาะสมบางประเภทที่ไม่สามารถจัดทำระบบคัดกรองนั้น ตลาดหลักทรัพย์จะติดตามการซื้อขายของลูกค้าโดยพิจารณาจากพฤติกรรมการซื้อขาย เจตนา และสภาพตลาดในขณะนั้นตามขั้นตอนการดำเนินงานปกติ
สำหรับลักษณะคำสั่งซื้อขายไม่เหมาะสมที่จะจัดทำระบบคัดกรองมีดังนี้
1. คำสั่งในลักษณะลัดคิวและปิดบังคำสั่งของผู้อื่น
2. คำสั่งในลักษณะใส่-ถอน
3. คำสั่งจับคู่กันเอง (Wash Sale)
4. คำสั่งในลักษณะชี้นำราคา
1 คำสั่งในลักษณะลัดคิวและปิดบังคำสั่งของผู้อื่น
หมายถึง การส่งคำสั่งซื้อหรือขายในราคาที่สูงหรือต่ำกว่าราคาที่ควรจะเป็นมาก ซึ่งโดยปกติไม่น่าจะเกิดการจับคู่ซื้อขาย หรือผู้ส่งคำสั่งไม่ได้ประสงค์จะทำให้เกิดการซื้อขายตามราคานั้น ไม่ว่าจะมีการยกเลิกคำสั่งดังกล่าวในภายหลังหรือไม่ก็ตาม เพื่อให้คำสั่งตนเองลัดคิว และปิดบังคำสั่งของผู้อื่น ทั้งนี้คำสั่งในลักษณะนี้จะเกิดในหลักทรัพย์ที่ไม่มี Ceiling และ Floor ซึ่งได้แก่ หลักทรัพย์ที่เปิดให้ซื้อขายในวันแรก และหลักทรัพย์ที่เปิดให้ซื้อขายหลังจากขึ้นเครื่องหมาย SP เป็นเวลานาน ทั้งนี้ระบบจะตรวจสอบทั้งคำสั่งที่ลูกค้าส่งเองและคำสั่งปกติที่ส่งโดยเจ้าหน้าที่รับอนุญาต
ช่วงเวลาตรวจสอบ : ช่วงก่อนเปิดตลาด (Pre-open) และก่อนปิดตลาด (Pre-close)
วิธีการตรวจสอบ : ระบบซื้อขายจะไม่รับคำสั่งซื้อขายของนักลงทุน ที่ส่งมาในราคาที่สูงกว่า + 50% หรือต่ำกว่า--50% ของราคาต่อไปนี้
1. ราคาที่คาดว่าจะเปิด (Projected Open Price) หรือราคาที่คาดว่าจะปิด (Projected Close Price)
2. หากในช่วงเวลานั้น ไม่มีราคาที่คาดว่าจะเปิดหรือปิด ให้ใช้ราคาซื้อขายครั้งสุดท้าย (Last Sale)
3. หากไม่มีราคาซื้อขายครั้งสุดท้าย (Last Sale) :
ให้ใช้ราคาเสนอขายครั้งแรกต่อประชาชน (IPO Price) สำหรับกรณีหลักทรัพย์ที่เปิดให้
ซื้อขายวันแรก
ระบบจะไม่ตรวจสอบสำหรับกรณีหลักทรัพย์ที่เปิดให้ซื้อขายหลังจากขึ้นเครื่องหมาย SP เป็น
เวลานาน
2 คำสั่งในลักษณะใส่-ถอน
คือการส่งคำสั่งซื้อหรือขายหลักทรัพย์และยกเลิกคำสั่งดังกล่าวในภายหลัง และส่งคำสั่งกลับเข้ามาใหม่ในจำนวน ราคา และเวลาใกล้เคียงกัน โดยกระทำหลายครั้ง โดยไม่มีความประสงค์จะซื้อขายหลักทรัพย์นั้นจริง เพื่อลวงให้ผู้อื่นสำคัญผิดว่าในขณะใดขณะหนึ่ง มีความต้องการซื้อหรือขายหลักทรัพย์นั้นๆ ในปริมาณมาก โดยเมื่อมีการจับคู่ไปแล้วบางส่วน หรือไม่มีการจับคู่ซื้อขายก็ตาม จะยกเลิกคำสั่งนั้นทันที แล้วส่งคำสั่งเข้ามาใหม่ในระยะเวลาใกล้เคียงกัน ในจำนวนเดียวกัน หรือใกล้เคียงกับรายการที่เพิ่งยกเลิกไป
ช่วงเวลาตรวจสอบ : ช่วงเปิดตลาด (Open)
วิธีการตรวจสอบ : ระบบจะไม่รับคำสั่งที่มีมูลค่า 3 ล้านบาทขึ้นไป ที่ส่งเข้ามาใหม่ภายใน 1 นาที หลังจากเวลาที่ยกเลิกคำสั่งเดิม โดยส่งคำสั่งเข้ามาที่ราคาเดิม ในจำนวนมากกว่าหรือเท่ากับ 50% ของปริมาณที่มีการยกเลิก (Cancel Volume)
3 คำสั่งจับคู่กันเอง (Wash Sale)
คือการส่งคำสั่งซื้อหรือขายหลักทรัพย์ในราคาและปริมาณที่อาจจับคู่ซื้อขายระหว่างกันเองของลูกค้ารายเดียวกัน เพื่ออำพรางให้บุคคลทั่วไปหลงผิดในราคาหรือปริมาณการซื้อขายหลักทรัพย์
ช่วงเวลาตรวจสอบ : ทุกช่วงเวลา
วิธีการตรวจสอบ : ระบบจะไม่รับคำสั่งซื้อในราคาสูงกว่าหรือเท่ากับราคาที่ตนเองได้เสนอขาย และไม่รับคำสั่งขายในราคาที่ต่ำกว่าหรือเท่ากับราคาที่ตนเองได้เสนอซื้อ โดยที่คำสั่งก่อนหน้ายังไม่ได้รับการจับคู่
4 คำสั่งในลักษณะชี้นำราคา
คือการส่งคำสั่งซื้อหรือขายในราคาที่สูงกว่าหรือต่ำกว่าราคาที่ควรจะเป็นมาก เพื่อให้คำสั่งตนเองลัดคิวและปิดบังคำสั่งผู้อื่นในช่วงก่อนเปิดตลาด (Pre-open) และช่วงก่อนปิดตลาด (Pre-close)
หลักเกณฑ์การตรวจสอบ
ช่วงเวลาตรวจสอบ : ช่วงก่อนเปิดตลาด (Pre-open) และก่อนปิดตลาด (Pre-close)
วิธีการตรวจสอบ : ตลาดหลักทรัพย์จะนำหลักการตรวจสอบกรณีหุ้น IPO มาปรับใช้ในกรณีนี้ คือให้สมาชิกจัดทำข้อความเตือน (Warning Message) สำหรับคำสั่งซื้อขายของนักลงทุนที่ส่งในราคาสูงกว่า +10 Spread หรือต่ำกว่า-10 Spread ของราคาต่อไปนี้
1. ราคาที่คาดว่าจะเปิด (Projected Open Price) หรือราคาที่คาดว่าจะปิด (Projected
Close Price)
2. หากในช่วงเวลานั้นไม่มีราคาที่คาดว่าจะเปิดหรือราคาที่คาดว่าจะปิด ให้ใช้ราคาซื้อขายครั้งสุด
ท้าย (Last Sale)
3. หากไม่มีราคาซื้อขายครั้งสุดท้าย (Last Sale) ให้ใช้ราคาปิดก่อนหน้า (Prior Close)
...........................
ฝ่ายกำกับการซื้อขายหลักทรัพย์
ตลาดหลักทรัพย์แห่งประเทศไทย
15 มีนาคม 2548
เรื่อง มาตรฐานเกี่ยวกับการซื้อขายหลักทรัพย์ผ่านอินเทอร์เน็ต พ.ศ. 2548
อาศัยอำนาจตามความในข้อ 14 ของข้อบังคับตลาดหลักทรัพย์แห่งประเทศไทย เรื่องการซื้อขายหลักทรัพย์ผ่านอินเทอร์เน็ต พ.ศ. 2548 ลงวันที่ 22 มีนาคม 2548 ตลาดหลักทรัพย์แห่งประเทศไทยออกข้อกำหนดไว้ดังต่อไปนี้
ข้อ 1 ประกาศนี้ให้ใช้บังคับตั้งแต่วันที่ 3 พฤษภาคม 2548 เป็นต้นไป
ข้อ 2 ให้สมาชิกปฏิบัติงานตามมาตรฐานที่เกี่ยวกับการซื้อขายหลักทรัพย์ผ่านอินเทอร์เน็ตตามเอกสารแนบท้ายประกาศนี้
ประกาศ ณ วันที่ 22 มีนาคม 2548
ลงนาม (กิตติรัตน์ ณ ระนอง)
(นายกิตติรัตน์ ณ ระนอง)
กรรมการและผู้จัดการ
เหตุผลในการประกาศใช้ : โดยที่ตลาดหลักทรัพย์เห็นควรกำหนดมาตรฐานการทำงานและการรักษา
ความปลอดภัยของระบบคอมพิวเตอร์สำหรับการซื้อขายหลักทรัพย์ผ่านอินเทอร์เน็ต ระบบการบันทึกคำสั่ง
ซื้อขายผ่านอินเทอร์เน็ต การจัดเก็บข้อมูลเกี่ยวกับการบันทึกคำสั่งซื้อขายผ่านอินเทอร์เน็ต รวมทั้งระบบคัดกรอง
คำสั่งซื้อขายเพื่อรองรับการซื้อขายหลักทรัพย์ดังกล่าว จึงสมควรออกประกาศนี้ใช้บังคับ
มาตรฐานคอมพิวเตอร์สำหรับการซื้อขายหลักทรัพย์ผ่านอินเทอร์เน็ต (Internet Trading)
และระบบคัดกรองคำสั่งซื้อขาย (Order Screening System)
ตลาดหลักทรัพย์ได้ตระหนักถึงความสำคัญของการซื้อขายหลักทรัพย์ผ่านอินเทอร์เน็ตที่ต่อเชื่อมกับระบบการซื้อขาย ซึ่งอาจส่งผลต่อความปลอดภัยของระบบการซื้อขาย รวมถึงการส่งคำสั่งซื้อขายของลูกค้าผ่านระบบอินเทอร์เน็ตที่อาจมีลักษณะที่เข้าข่ายเป็นคำสั่งไม่เหมาะสม ตลาดหลักทรัพย์จึงได้จัดทำมาตรฐานในเรื่องดังกล่าวเพื่อให้สมาชิกใช้เป็นข้อปฏิบัติในการดำเนินการ ได้แก่
I. มาตรฐานคอมพิวเตอร์สำหรับการซื้อขายหลักทรัพย์ผ่านอินเทอร์เน็ต
* รูปแบบการซื้อขายหลักทรัพย์ผ่านระบบอินเทอร์เน็ต
* การบริหารและควบคุมระบบรักษาความปลอดภัย (Security Management)
- Physical Security
- Network Security
- User Authentication and Privacy
- Information Security Standard
II. ระบบคัดกรองคำสั่งซื้อขาย (Order Screening System)
* คำสั่งในลักษณะลัดคิวและปิดบังคำสั่งของผู้อื่น
* คำสั่งในลักษณะใส่-ถอน
* คำสั่งจับคู่กันเอง (Wash Sale)
* คำสั่งในลักษณะชี้นำราคา
โดยมีรายละเอียดดังนี้
I. มาตรฐานคอมพิวเตอร์สำหรับการซื้อขายหลักทรัพย์ผ่านอินเทอร์เน็ต (Internet Trading)
รูปแบบการซื้อขายหลักทรัพย์ผ่านระบบอินเทอร์เน็ต (Internet Trading)
1. เป็นการซื้อขายหลักทรัพย์ผ่านเครื่องคอมพิวเตอร์ Web Server มีการต่อเชื่อมผ่านระบบเครือ
ข่าย Internet (Public Network) และผ่านผู้ให้บริการอินเทอร์เน็ต (Internet
Service Provider (ISP)) ที่ให้บริการเป็นการทั่วไป (Public Service)
2. เครื่อง Web Server และ Order Management ต้องแยกฟังก์ชันพร้อมทั้งบันทึกการทำงาน
สำหรับตรวจสอบ โดยต้องแยกออกจากเครื่อง Broker Front-Office
3. ไม่ใช้ Application หรือ วิธีการที่ตลาดหลักทรัพย์พิจารณาว่าเข้าข่ายเป็น Terminal
Emulator
4. มีระบบรักษาความปลอดภัยเป็นระบบที่มีมาตรฐาน
5. มีการคัดกรองคำสั่งซื้อขายที่ไม่เหมาะสมตามที่ตลาดหลักทรัพย์กำหนด
การส่งคำสั่งซื้อขายด้วยเครื่องโทรศัพท์เคลื่อนที่หรือ PDA จัดเป็นประเภท การซื้อขายหลักทรัพย์ผ่านระบบอินเทอร์เน็ต (Internet Trading) เช่นกัน จึงมีโครงสร้างระบบเช่นเดียวกับที่กล่าวมาข้างต้น
ตัวอย่างการเชื่อมต่อระบบ
ลักษณะการเชื่อมต่อระบบ เพื่อการทำ Internet Trading แสดงดังตัวอย่างรูปที่ 1 และ 2 โดย
* Internet Trading Terminal หมายถึง เครื่อง Computer, PDA หรือ เครื่องโทรศัพท์
เคลื่อนที่ ซึ่งลูกค้าใช้ทำการส่งคำสั่งซื้อขาย โดยผ่าน Web Browser ที่เป็น Global
Standard เช่น Internet Explorer,Netscape CommunicatorหรือFirefox เป็นต้น
* Web Server หมายถึง เครื่อง Computer ที่มีการจดทะเบียนเป็น Public Domain และ
ผ่าน ISP ทีเป็น Public Internet
* Order Management Server หมายถึง เครื่อง Computer ที่ทำหน้าที่ในการ Validate,
Logging ชุดคำสั่งซื้อขาย (Order) และสร้างคำสั่งซื้อขาย โดย Order ต่างๆ จะถูกส่งผ่าน
มาทาง Web Server
* Broker Front-Office หมายถึง เครื่อง Computer ที่ทำหน้าที่ในการเชื่อมต่อกับระบบซื้อ
การบริหารและควบคุมระบบรักษาความปลอดภัย (Security Management) การดำเนินการบริหารและควบคุมระบบรักษาความปลอดภัยและคอมพิวเตอร์ที่ได้มาตรฐาน เพื่อให้เกิดความมั่นใจว่าการปฏิบัติงานทั่วไปมีมาตรฐานที่เหมาะสมในการรักษาความปลอดภัยรวมถึงการปฏิบัติงานที่จัดให้เพิ่มขึ้นเป็นพิเศษสำหรับการรักษาความปลอดภัยโดยให้ครอบคลุมในเรื่องของ Confidentiality Integrity และ Availability เช่น User Administration และ Security Alert เป็นต้น ระบบที่เป็นมาตรฐาน ได้แก่
Physical Security มีระบบรักษาความปลอดภัยในสถานที่ตั้งเครื่องสำหรับการให้บริการ
ห้องคอมพิวเตอร์ควรทำการแบ่งแยกเป็นสัดส่วนโดยเฉพาะ
ห้องคอมพิวเตอร์ควรติดตั้งระบบการรักษาความปลอดภัยที่ได้มาตรฐานเช่นการเข้า/
ออก
ห้องคอมพิวเตอร์ต้องมีการใช้บัตรผ่าน (Access Control) และมีเจ้าหน้าที่ควบคุมการเข้าออก
สถานที่ตลอด 24 ชั่วโมง
มีการบันทึกข้อมูลบุคคลเข้า/ออกห้องคอมพิวเตอร์ และเหตุผลในการเข้าใช้งาน
Network Security มีระบบการป้องกันไม่ให้บุคคลอื่นที่ไม่ได้รับอนุญาตเข้าสู่ระบบแล้วก่อให้เกิด
ความเสียหาย เช่น ขโมยข้อมูล เปลี่ยนแปลงข้อมูล หรือทำให้ระบบขัดข้อง เป็นต้น ซึ่งอาจทำให้
สามารถรับรู้หรือเปลี่ยนแปลงข้อมูลที่ได้จากการซื้อขาย
ต้องมีอุปกรณ์รักษาความปลอดภัยเบื้องต้น เช่น Firewall เป็นต้น ใน ระหว่าง Web
Server, Order Management กับระบบเครือข่าย Internet
ต้องมีการบันทึกการใช้งาน และ Event log ของ Network Equipment ต่างๆ ไว้เพื่อ
การตรวจสอบหรือแก้ไขปัญหา อย่างน้อย 1 เดือน โดยสามารถนำมาตรวจสอบได้ทันทีเมื่อ
ตลาดหลักทรัพย์ร้องขอ
กำหนดประเภทบริการ (Service) ของอุปกรณ์รักษาความปลอดภัยและอุปกรณ์ Network ทุก
ชนิดที่เชื่อมต่อระหว่าง Network ตามการใช้งานจริง
ข้อเสนอแนะ
ควรมีอุปกรณ์รักษาความปลอดภัยเบื้องต้น ระหว่าง Order Management กับ Broker
Front Office ของสมาชิก
ควรมีการกำหนด Service level ของ Network Equipment ต่างๆ เช่น ความพร้อมใน
การใช้งานอุปกรณ์,ระยะเวลาในการ ซ่อมแซม หรือ เปลี่ยนอุปกรณ์ เป็นต้น
User Authentication and Privacy มีการตรวจยืนยันตัวผู้ใช้ระบบว่าเป็นบุคคลที่ได้รับอนุญาต
จริง ไม่ใช่เป็นผู้อื่นปลอมแปลงมา รวมถึงการป้องกันการแสดงและส่งผ่านข้อมูลว่าจะส่งไปเฉพาะ
ข้อมูลของบุคคลนั้นเท่านั้นและไม่อนุญาตให้ผู้ซึ่งไม่ใช่เจ้าของข้อมูลเห็นข้อมูลนั้นได้
System Security
ก่อนเข้าใช้งาน Server ต้องผ่านการตรวจยืนยันตัวผู้ใช้ระบบว่าเป็นบุคคลที่ได้รับ
อนุญาตจริง ไม่ใช่เป็นผู้อื่นปลอมแปลงมา โดยสามารถจัดหาวิธีการ หรือเทคโนโลยี
ใดๆ เช่น การระบุ User และ Password โดย Password ให้เป็นไปตามคำแนะนำ
ขั้นต่ำดังนี้
- Password ควรมีความยาวอย่างน้อย 8 ตัวอักษร และมีการใช้อักขระพิเศษและตัว
เลข
- ควรกำหนดนโยบายการเปลี่ยน password ในช่วงเวลาที่เหมาะสม เช่น ทุก ๆ
3 เดือน
- ไม่แสดงผล Password ในลักษณะ Clear Text
- ไม่มีการใช้ Software หรือเทคนิควิธีการในการให้เครื่องคอมพิวเตอร์หรืออุปกรณ์
ใดๆ ที่เกี่ยวกับระบบซื้อขายบันทึก Password เพื่อที่จะเรียกในครั้งต่อไปได้โดย
อัตโนมัติ
เมื่อมีการ Login ผิดเกินกว่า 5 ครั้งติดต่อกัน ควร lock การ login ของ
Account นั้น
Application security
ก่อนลูกค้าใช้งานระบบซื้อขายหลักทรัพย์ผ่านระบบอินเทอร์เน็ต (Internet Trading) ต้อง
ผ่านการตรวจยืนยันตัวผู้ใช้ระบบว่าเป็นบุคคลที่ได้รับอนุญาตจริง ไม่ใช่เป็นผู้อื่นปลอมแปลงมา
โดยสามารถจัดหาวิธีการ หรือเทคโนโลยีใดๆ เช่น การระบุ User และ Password โดย
Password ให้เป็นไปตามคำแนะนำขั้นต่ำดังนี้
- Password ควรมีความยาวอย่างน้อย 6 ตัวอักษร และมีการใช้อักขระพิเศษและตัวเลข
- ไม่แสดงผล Password ในลักษณะ Clear Text
- ไม่มีการใช้ Software หรือเทคนิควิธีการในการให้เครื่องคอมพิวเตอร์หรืออุปกรณ์ใดๆ ที่
เกี่ยวกับระบบซื้อขายบันทึก Password เพื่อที่จะเรียกในครั้งต่อไปได้โดยอัตโนมัติ
- ขั้นตอนการกำหนดและส่งมอบ Username และ Password ให้กับลูกค้าต้องมีความปลอดภัย
เพียงพอ
เมื่อมีการ Login ผิดเกินกว่า 5 ครั้งติดต่อกัน ควร lock การ login ของ Account นั้น
ลูกค้าสามารถใช้ user login เพียง 1 ชื่อ เพื่อ login ในเวลาใด เวลาหนึ่ง เท่านั้น
ณ ขณะใดขณะหนึ่ง หน้าจอสำหรับส่งคำสั่งของลูกค้าที่ซื้อขายด้วยตนเอง ต้องใช้ส่งคำสั่งสำหรับลูกค้า
1 ราย 1 บัญชี และ 1 คำสั่งที่ระบุการซื้อหรือขายหลักทรัพย์เพียงหนึ่งหลักทรัพย์เท่านั้น โดยการ
ส่งคำสั่งแต่ละครั้ง ลูกค้าต้องดำเนินการส่งคำสั่งด้วยตนเองตั้งแต่เริ่มกระบวนการส่งคำสั่ง จนคำสั่ง
นั้นถูกส่งไปอย่างสมบูรณ์ ลูกค้าจึงสามารถเริ่มส่งคำสั่งในลำดับถัดไปได้ โดยการส่งคำสั่งลูกค้าต้อง
ยืนยันเป็นลูกค้ารายนั้นจริง(Confirmation) เป็นรายคำสั่ง โดยสมาชิกสามารถจัดหาวิธีการ หรือ
เทคโนโลยีใดๆ เช่น การระบุ Pin ID เป็นต้น
มีการกำหนด PIN ID โดยมีรายละเอียด ดังนี้
- กำหนด PIN ID ให้กับลูกค้าโดยมีความยาวอย่างน้อย 4 หลัก
- เมื่อมีการใส่ PIN ID ผิดเกินกว่า 5 ครั้งติดต่อกัน ควรlockการส่งคำสั่งของ Account นั้น
- การเก็บ PIN ID ต้องผ่านการเข้ารหัส (Encryption)
- มีการ Key PIN ID ทุกครั้งที่มีการส่งคำสั่งซื้อขายต่อ 1 คำสั่ง (Order) รวมถึงการแก้ไข
และยกเลิกคำสั่งซื้อขาย ซึ่งหนึ่งคำสั่งซื้อขาย หมายถึงการเสนอซื้อหรือเสนอขายหนึ่งหลักทรัพย์ที่
ระบุจำนวน ราคา (Confirm Order by Order) อย่างไรก็ตามในการยกเลิกคำสั่งซื้อขาย
ลูกค้าสามารถยกเลิกได้ครั้งละมากกว่า 1 คำสั่ง โดยการระบุ PIN ID เพียงครั้งเดียว
- ไม่มีการใช้ Software หรือเทคนิควิธีการในการให้เครื่องคอมพิวเตอร์หรืออุปกรณ์ใดๆ ที่เกี่ยว
กับระบบซื้อขายบันทึก PIN เพื่อที่จะเรียกในครั้งต่อไปได้โดยอัตโนมัติ
ข้อเสนอแนะ
ควรกำหนดTime Outไม่เกิน 60 นาที ในการบังคับให้ผู้ใช้Logoutโดยอัตโนมัติเมื่อไม่มีการใช้งาน
Information Security Standard มีมาตรฐานรักษาความปลอดภัยของข้อมูล
System Security
การเก็บ password ที่ server ต้องมีการเข้ารหัส (encryption)
ทุก Server จะต้องมี Service เท่าที่จำเป็นต่อการใช้งานกับระบบซื้อขายหลักทรัพย์ผ่าน
ระบบอินเทอร์เน็ต (Internet Trading) เท่านั้น
การรักษาความปลอดภัยสำหรับการส่งคำสั่งซื้อขายด้วยเครื่องโทรศัพท์เคลื่อนที่หรือ PDA
(Mobile Trading) คือต้องมีการเข้ารหัสข้อมูล (Encryption) จากตัวเครื่องโทรศัพท์
เคลื่อนที่หรือ PDA ไปยัง Web Server โดยไม่มีจุดที่สามารถถอดรหัสได้ตลอดเส้นทางเชื่อม
ต่อ ดังตัวอย่างในรูปที่ 2 ข้างต้น
ต้องมีการบันทึกการใช้งาน และ Event log ต่างๆ ของทุก Server ไว้ เช่น บันทึกการเข้า
ออกของผู้ใช้ระบบ,บันทึกการใช้งานของweb server,บันทึกการใช้งานของdatabase
เพื่อการตรวจสอบ อย่างน้อย 1 เดือน โดยสามารถนำมาตรวจสอบได้ทันทีเมื่อตลาดหลักทรัพย์
ร้องขอ
ข้อเสนอแนะ
ควรมีการรักษาความปลอดภัยระหว่าง Web Server และ Order Management เช่นการเข้า
รหัสข้อมูล(Encryption) หรือ การติดตั้ง Firewall
Application security
การเก็บ password ต้องมีการเข้ารหัส (encryption)
ต้องมีการเข้ารหัสข้อมูลที่ส่งจาก Internet Trading Terminal ไปยังWeb Server ดังนี้
- ต้องมี Key เข้ารหัสอย่างน้อย 128 bits สำหรับเครื่อง computer และ
- ต้องมี Key เข้ารหัสอย่างน้อย 40 bits สำหรับ PDA หรือเครื่องโทรศัพท์เคลื่อนที่
ต้องมีการบันทึก order log ของ Application ไว้เพื่อตรวจสอบอย่างน้อย 2 ปี โดยข้อมูล
ที่เก็บใน Log ระบุรายละเอียดของ order ดังนี้ ข้อมูลที่ระบุว่าส่งจากที่ทำการของสมาชิก
หรือสถานที่ของลูกค้า, วันที่, เวลา, IP, Client ID, Designated Trader ID, ข้อมูล
กรณีที่เจ้าหน้าที่รับอนุญาตเป็นผู้ส่งคำสั่งแทนลูกค้า และข้อมูลการซื้อขาย โดยสามารถนำมาตรวจ
สอบได้ทันทีเมื่อตลาดหลักทรัพย์ร้องขอ
II. ระบบคัดกรองคำสั่งซื้อขาย (Order Screening System)
ในการส่งคำสั่งซื้อขายของลูกค้าผ่านระบบอินเทอร์เน็ต ตลาดหลักทรัพย์ได้จัดทำระบบคัดกรองคำสั่งซื้อขายโดยระบบดังกล่าวทำหน้าที่คัดกรองคำสั่งซื้อขายที่ไม่เหมาะสมบางประเภทที่สามารถกำหนดรูปแบบในเบื้องต้น อย่างไรก็ตามสำหรับการส่งคำสั่งในลักษณะหลบเลี่ยงการตรวจสอบของระบบคัดกรองคำสั่งซื้อขาย และลักษณะคำสั่งไม่เหมาะสมบางประเภทที่ไม่สามารถจัดทำระบบคัดกรองนั้น ตลาดหลักทรัพย์จะติดตามการซื้อขายของลูกค้าโดยพิจารณาจากพฤติกรรมการซื้อขาย เจตนา และสภาพตลาดในขณะนั้นตามขั้นตอนการดำเนินงานปกติ
สำหรับลักษณะคำสั่งซื้อขายไม่เหมาะสมที่จะจัดทำระบบคัดกรองมีดังนี้
1. คำสั่งในลักษณะลัดคิวและปิดบังคำสั่งของผู้อื่น
2. คำสั่งในลักษณะใส่-ถอน
3. คำสั่งจับคู่กันเอง (Wash Sale)
4. คำสั่งในลักษณะชี้นำราคา
1 คำสั่งในลักษณะลัดคิวและปิดบังคำสั่งของผู้อื่น
หมายถึง การส่งคำสั่งซื้อหรือขายในราคาที่สูงหรือต่ำกว่าราคาที่ควรจะเป็นมาก ซึ่งโดยปกติไม่น่าจะเกิดการจับคู่ซื้อขาย หรือผู้ส่งคำสั่งไม่ได้ประสงค์จะทำให้เกิดการซื้อขายตามราคานั้น ไม่ว่าจะมีการยกเลิกคำสั่งดังกล่าวในภายหลังหรือไม่ก็ตาม เพื่อให้คำสั่งตนเองลัดคิว และปิดบังคำสั่งของผู้อื่น ทั้งนี้คำสั่งในลักษณะนี้จะเกิดในหลักทรัพย์ที่ไม่มี Ceiling และ Floor ซึ่งได้แก่ หลักทรัพย์ที่เปิดให้ซื้อขายในวันแรก และหลักทรัพย์ที่เปิดให้ซื้อขายหลังจากขึ้นเครื่องหมาย SP เป็นเวลานาน ทั้งนี้ระบบจะตรวจสอบทั้งคำสั่งที่ลูกค้าส่งเองและคำสั่งปกติที่ส่งโดยเจ้าหน้าที่รับอนุญาต
ช่วงเวลาตรวจสอบ : ช่วงก่อนเปิดตลาด (Pre-open) และก่อนปิดตลาด (Pre-close)
วิธีการตรวจสอบ : ระบบซื้อขายจะไม่รับคำสั่งซื้อขายของนักลงทุน ที่ส่งมาในราคาที่สูงกว่า + 50% หรือต่ำกว่า--50% ของราคาต่อไปนี้
1. ราคาที่คาดว่าจะเปิด (Projected Open Price) หรือราคาที่คาดว่าจะปิด (Projected Close Price)
2. หากในช่วงเวลานั้น ไม่มีราคาที่คาดว่าจะเปิดหรือปิด ให้ใช้ราคาซื้อขายครั้งสุดท้าย (Last Sale)
3. หากไม่มีราคาซื้อขายครั้งสุดท้าย (Last Sale) :
ให้ใช้ราคาเสนอขายครั้งแรกต่อประชาชน (IPO Price) สำหรับกรณีหลักทรัพย์ที่เปิดให้
ซื้อขายวันแรก
ระบบจะไม่ตรวจสอบสำหรับกรณีหลักทรัพย์ที่เปิดให้ซื้อขายหลังจากขึ้นเครื่องหมาย SP เป็น
เวลานาน
2 คำสั่งในลักษณะใส่-ถอน
คือการส่งคำสั่งซื้อหรือขายหลักทรัพย์และยกเลิกคำสั่งดังกล่าวในภายหลัง และส่งคำสั่งกลับเข้ามาใหม่ในจำนวน ราคา และเวลาใกล้เคียงกัน โดยกระทำหลายครั้ง โดยไม่มีความประสงค์จะซื้อขายหลักทรัพย์นั้นจริง เพื่อลวงให้ผู้อื่นสำคัญผิดว่าในขณะใดขณะหนึ่ง มีความต้องการซื้อหรือขายหลักทรัพย์นั้นๆ ในปริมาณมาก โดยเมื่อมีการจับคู่ไปแล้วบางส่วน หรือไม่มีการจับคู่ซื้อขายก็ตาม จะยกเลิกคำสั่งนั้นทันที แล้วส่งคำสั่งเข้ามาใหม่ในระยะเวลาใกล้เคียงกัน ในจำนวนเดียวกัน หรือใกล้เคียงกับรายการที่เพิ่งยกเลิกไป
ช่วงเวลาตรวจสอบ : ช่วงเปิดตลาด (Open)
วิธีการตรวจสอบ : ระบบจะไม่รับคำสั่งที่มีมูลค่า 3 ล้านบาทขึ้นไป ที่ส่งเข้ามาใหม่ภายใน 1 นาที หลังจากเวลาที่ยกเลิกคำสั่งเดิม โดยส่งคำสั่งเข้ามาที่ราคาเดิม ในจำนวนมากกว่าหรือเท่ากับ 50% ของปริมาณที่มีการยกเลิก (Cancel Volume)
3 คำสั่งจับคู่กันเอง (Wash Sale)
คือการส่งคำสั่งซื้อหรือขายหลักทรัพย์ในราคาและปริมาณที่อาจจับคู่ซื้อขายระหว่างกันเองของลูกค้ารายเดียวกัน เพื่ออำพรางให้บุคคลทั่วไปหลงผิดในราคาหรือปริมาณการซื้อขายหลักทรัพย์
ช่วงเวลาตรวจสอบ : ทุกช่วงเวลา
วิธีการตรวจสอบ : ระบบจะไม่รับคำสั่งซื้อในราคาสูงกว่าหรือเท่ากับราคาที่ตนเองได้เสนอขาย และไม่รับคำสั่งขายในราคาที่ต่ำกว่าหรือเท่ากับราคาที่ตนเองได้เสนอซื้อ โดยที่คำสั่งก่อนหน้ายังไม่ได้รับการจับคู่
4 คำสั่งในลักษณะชี้นำราคา
คือการส่งคำสั่งซื้อหรือขายในราคาที่สูงกว่าหรือต่ำกว่าราคาที่ควรจะเป็นมาก เพื่อให้คำสั่งตนเองลัดคิวและปิดบังคำสั่งผู้อื่นในช่วงก่อนเปิดตลาด (Pre-open) และช่วงก่อนปิดตลาด (Pre-close)
หลักเกณฑ์การตรวจสอบ
ช่วงเวลาตรวจสอบ : ช่วงก่อนเปิดตลาด (Pre-open) และก่อนปิดตลาด (Pre-close)
วิธีการตรวจสอบ : ตลาดหลักทรัพย์จะนำหลักการตรวจสอบกรณีหุ้น IPO มาปรับใช้ในกรณีนี้ คือให้สมาชิกจัดทำข้อความเตือน (Warning Message) สำหรับคำสั่งซื้อขายของนักลงทุนที่ส่งในราคาสูงกว่า +10 Spread หรือต่ำกว่า-10 Spread ของราคาต่อไปนี้
1. ราคาที่คาดว่าจะเปิด (Projected Open Price) หรือราคาที่คาดว่าจะปิด (Projected
Close Price)
2. หากในช่วงเวลานั้นไม่มีราคาที่คาดว่าจะเปิดหรือราคาที่คาดว่าจะปิด ให้ใช้ราคาซื้อขายครั้งสุด
ท้าย (Last Sale)
3. หากไม่มีราคาซื้อขายครั้งสุดท้าย (Last Sale) ให้ใช้ราคาปิดก่อนหน้า (Prior Close)
...........................
ฝ่ายกำกับการซื้อขายหลักทรัพย์
ตลาดหลักทรัพย์แห่งประเทศไทย
15 มีนาคม 2548