Yeni Gelişmeler
Bankacılık Düzenleme ve Denetleme Kurumu (“BDDK“) elektronik bankacılık hizmetlerinde ve elektronik ortamda sözleşme ilişkisinin kurulmasında kimlik doğrulama ve işlem güvenliği ile ilgili olarak farklı yönetmeliklerdeki hükümlerin yeknesak bir şekilde nasıl uygulanacağını açıklığa kavuşturmak için hazırladığı 2022/2 sayılı Elektronik Bankacılık Hizmetlerinde ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasında Kimlik Doğrulama ve İşlem Güvenliği için Sağlanması Gereken Kriterler Hakkında Genelge Taslağı’nı (“Taslak Genelge“) görüşe açtı. Taslak Genelge hakkında görüşler bsmevzuat@bddk.org.tr adresine e-posta ile iletilebilecek.
Taslak Genelge’ye buraya tıklayarak ulaşabilirsiniz.
Taslak ne getiriyor?
Taslak Genelge ile aşağıda yer alan konu başlıkları özelinde Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik (“BSEBY“), Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik (“UKTY“) ve Dijital Bankaların Faaliyet Esasları ile Servis Modeli Bankacılığı Hakkında Yönetmelik’in (“DBY“) uygulamasına ilişkin hususlara açıklık getiriliyor.
- Müşteriye özgü şifreleme gizli anahtarının kullanılması ve işlem imzalama
İnternet bankacılığı ve bunun özelleşmiş bir hali olan mobil bankacılık işlemleri bakımından müşteriye atanmış ve özgülenmiş bir şifreleme gizli anahtarının kullanım alanları olan kimlik doğrulama ve yetkilendirme (işlem doğrulama) için “doğrulama kodu” üretilmesi ve bunun müşteriye özgü gizli şifreleme anahtarı ile imzalanması gerektiği vurgulanıyor.
Şifreleme gizli anahtarının içerik imzalama öncesi aktifleştirilmesi için kullanılacak “PIN” gibi “müşterinin bildiği unsurun” mobil uygulamanın yüklü olduğu cihaz üzerinde lokalde değil, banka nezdinde çevrimiçi doğrulanması gerekecek.
Ayrıca, mobil bankacılık uygulamasının ilk kurulumu, aktifleştirilmesi, yeniden aktifleştirilmesi ya da uygulamanın kullanılamaz olması durumları hariç tutulmak kaydıyla, mobil bankacılık uygulamasını yükleyip aktifleştiren müşterilere, oturum açma ve devamındaki işlemlerin doğrulanması için SMS ile tek seferlik şifre (one-time password, OTP) ya da “doğrulama kodu” gönderilemeyeceği vurgulanıyor.
- Müşteri onayına sunulan bilgilere göre işlem imzalamanın/onayının gerçekleştirilmesinin sağlanması
Taslak Genelge’de kimlik veya işlem doğrulama ve elektronik yolla yazılı şeklin yerine geçecek nitelikte bir sözleşme ilişkisi kurulabilmesi için müşteriye özgü şifreleme gizli anahtarı ile doğrulama kodlarının imzalanmasının tek başına yeterli olmadığı belirtiliyor.
Bu doğrultuda, şifreleme gizli anahtarının güvenli bir şekilde müşteriye atanması, yetkisiz kişilerde kullanılmasını engelleyecek önlemler alınması ve müşteri onayına hangi bilgiler sunulmuş ise o bilgilere göre işlem imzalamanın/onayının gerçekleştirilmesi sayesinde bu işlemlerin inkar edilemezliğinin ve sorumluluk atamanın mümkün kılınması gerektiği vurgulanıyor. Taslak Genelge, bu kapsamda uyulması gereken metodolojiyi detaylı bir şekilde açıklıyor.
- Arayüz sağlayıcının mobil uygulaması ya da internet tarayıcısı temelli arayüzünün, kimlik doğrulama ve işlem güvenliği yükümlülüklerine uygun olmasının sağlanması
DBY ve BSEBY ile, arayüz faaliyetinde bulunacakların mobil uygulaması ya da internet tarayıcısı temelli arayüzünün yukarıda belirtilen kimlik doğrulama ve işlem güvenliğine ilişkin yükümlülükler ile işlem imzalamanın/onayının müşteri onayına sunulan bilgiler doğrultusunda gerçekleştirilmesinden arayüz sağlayıcı ve servis bankasının müteselsilen sorumlu olduğu düzenleniyor. Bu kapsamda, Taslak Genelge’de, arayüz sağlayıcıların faaliyetlerini Genelge’de açıklanan metodolojiye uygun şekilde yürütmesi gerektiği belirtiliyor.
- Kimlik doğrulama ve işlem imzalama amacıyla kullanılan, geliştirilen ve satın alınan ürünlerin Taslak Genelge’ye intibakı
Taslak Genelge’de kimlik doğrulama ve işlem imzalama amacıyla kullanılan kurum içi geliştirilen ya da satın alınan ürünlerin Taslak Genelge’ye uygunluğunun BDDK’nın Bilgi Sistemleri ve İş Süreçleri Bağımsız Denetimi Hakkında Yönetmelik kapsamında gerçekleştirilecek bilgi sistemleri denetimi uyarınca değerlendirileceği açıklanıyor.
Ek olarak, Taslak Genelge ile söz konusu ürünleri satan ya da dış hizmet sağlayan kuruluşlara kimlik doğrulama ve işlem imzalama kapsamında bankalara, BDDK gözetimi ve denetimi altındaki diğer kuruluşlara ve arayüz sağlayıcılara ürün ve hizmet sunabilmek için BDDK’ya başvurarak izin alma yükümlülüğü getiriliyor.
Sonuç
Taslak Genelge ile BDDK’nın kimlik doğrulama ve işlem imzalamaya yönelik düzenlemeler içeren çeşitli yönetmeliklerinin uygulamasına dair tereddütlerin giderilmesi ve bütüncül bir yaklaşım sağlanması amaçlanıyor. İlgililer, Taslak Genelge hakkında görüşlerini bsmevzuat@bddk.org.tr adresine e-posta ile iletebilecek.