Yeni Gelişmeler
Bankacılık Düzenleme ve Denetleme Kurumu (“BDDK“) tarafından hazırlanan ve 15 Mart 2020 tarihli ve 31069 sayılı Resmi Gazete’de yayımlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik (”Yönetmelik”) 1 Temmuz 2020’de yürürlüğe girecek. Yönetmelik’in yürürlüğe girmesiyle Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ (”Tebliğ”) yürürlükten kalkacak.
Yönetmelik Ne Getiriyor?
1. BİLGİ SİSTEMLERİNE İLİŞKİN RİSK YÖNETİMİ VE KONTROL MEKANİZMALARI
Yönetmelik uyarınca, banka yönetim kurulu bilgi sistemlerinin kullanımından kaynaklanan risklerin yönetilmesi için etkin bir gözetim yürütmekle sorumlu olacak. Bu amaçla, yönetim kurulu tarafından onaylanmış bir bilgi sistemleri strateji planı, bilgi sistemleri strateji komitesi ve bilgi sistemleri yönlendirme komitesi oluşturulması öngörüldü.
Yönetmelik bilgi sistemlerine ilişkin kontrollerin sağlanması kapsamında aşağıdaki konulara ilişkin standartları da belirledi:
- Kimlik doğrulama mekanizmalarının oluşturulması
- Bilgi sistemleri dâhilinde gerçekleşen işlemlere ilişkin iz kayıt mekanizması tesis edilmesi
- Ağ güvenliği kontrol sistemlerinin oluşturulması
- Güvenlik konfigürasyonu yönetimi
- Güvenlik açıkları yönetimi
- Siber olay yönetimi ve siber istihbarat paylaşımı
- Bilgi güvenliği farkındalığı eğitim programı oluşturulması
Bilgi Varlık Envanteri
Yönetmelik uyarınca, bankaların bilgi varlıklarının güvenlik gereksinimlerine uygun kontroller tesis etmek için bu varlıkları sınıflandırarak detaylı bir varlık envanteri hazırlaması gerekecek. Hazırlanacak veri envanterine ayrıca varlıklar arasında kişisel veri olup olmadığı bilgisi de eklenecek.
Bilgi Güvenliği Yönetimi
Banka bünyesinde bilgi güvenliğinin sağlanmasında nihai sorumluluk yönetim kuruluna ait olacak. Bu sorumluluk kapsamında yönetim kurulu, banka genelinde uygulanmasını gözetmekle yükümlü olduğu bir bilgi güvenliği yönetim sistemi tesis edecek. Bu düzenlemeler ile Tebliğ’de öngörülen bilgi güvenliği hükümleri tekrar formüle edilmiş ve detaylandırılmış oldu.
Müşteri Bilgilerinin Paylaşılması ve Aktarılması
Yönetmelik ayrıca müşteri bilgilerinin üçüncü taraflarla paylaşılması ve yurt dışına aktarılması konularına da açıklık getiriyor. Bankalar, müşterilerinin kendilerinden gelen ve yazılı şekilde ya da kalıcı veri saklayıcısı yoluyla kanıtlanabilir nitelikte bir talebi olmaksızın, faaliyetlerinin ifası sırasında ve her türlü dış hizmet alımlarında bilgi sistemleri aracılığıyla edindikleri, sakladıkları veya işledikleri müşteri sırrı niteliğindeki bilgileri, Bankacılık Kanunu’nda yer alan istisnai haller haricinde yurt içi ve yurt dışındaki üçüncü kişilerle paylaşamayacak veya bunlara aktaramayacak. Önemli bir husus olarak, müşterilerin bilgilerini paylaşmaya dair açık rıza göstermesi, verilecek hizmet için bir ön şart haline getirilemeyecek.
Bankacılık faaliyetleri kapsamındaki veri koruma uygulamalarıyla ilgili olarak Bankacılık Kanunu’nda yakın zamanda yapılan değişikliklere ilişkin Mevzuat Bültenimize buradan ulaşabilirsiniz.
Erişim Sınırlaması
Bankaların, dış hizmet alımlarında kendilerine ve kullanıcılarına ait gizli bilgilerin güvenliğinin sağlanması için gerekli tedbirleri alması gerekecek ve dış hizmet sağlayıcılara verilecek sisteme erişim, veriye erişim veya veriyi görme yetkisini, işin gerektirdiği bilgiyi kapsayacak şekilde sınırlandırılacak. Söz konusu gizli bilgilerin korunmasına yönelik tedbirlerin alınması, bankaların sorumluluğunda olacak.
Siber Olay Yönetimi
Yönetmelik uyarınca, bankaların siber olay yönetimi ve siber olaylara müdahale süreci oluşturması gerekecek. Bankalar ayrıca yeterli teknik ve operasyonel becerilere sahip bir Kurumsal Siber Olaylara Müdahale Ekibi (”KSOME”) kuracak ve bu KSOME’ye ilişkin güncel iletişim bilgilerinin BDDK’ya iletilmesi ve siber olayların BDDK’ya ve ilgili yönetim birimlerine raporlanmasını sağlayacaktır.
Bankaların, hassas verilerin ya da kişisel verilerin sızmasına ya da ifşasına yol açan bir siber olayla karşılaşması halinde yapacakları değerlendirmeyi takiben müşterilerini bilgilendirmesi gerekecek. Önemli bir not olarak, Yönetmelik’teki “hassas veri” tanımı, Kişisel Verilerin Korunması Kanunu kapsamındaki “özel nitelikli kişisel veri”ye tekabül etmemektedir. Yönetmelik’e göre hassas veri “kimlik doğrulamada kullanılan veriler başta olmak üzere; müşteriye ait olan, çeşitli sebeplerle bankaca muhafaza edilen ve üçüncü kişilerce ele geçirilmesi halinde, bu kişilerin müşteri olan kişilerle ayırt edilebilme mekanizmalarının zarar göreceği ve dolandırıcılık ya da müşteriler adına sahte işlem yapılmasına imkân verebilecek nitelikteki veriler”dir.
2. BİLGİ SİSTEMLERİ SÜREKLİLİĞİ VE ERİŞİLEBİLİRLİK YÖNETİMİ
Birincil ve İkincil Sistemleri Yurt İçinde Bulundurma
Yönetmelik bankaların birincil ve ikincil sistemlerini yurt içinde bulundurmalarını şart koşarak; birincil ve ikincil sistemlerin kapsamlarını netleştiriyor. Bu doğrultuda, Yönetmelik işlemlerin doğası gereği yurt dışı ile etkileşimin gerekli olduğu ödeme veya mesajlaşma sistemleri gibi bankacılık işlemlerini hariç tutarak, bankanın yurt dışında kurulu bir sistemden herhangi bir onay sürecine tabi olmaksızın bankacılık işlemlerini gerçekleştirebilmesi ve yurt dışı iletişim ağlarıyla bağlantılarının kesildiği durumlarda dahi yurt içinde kurulu bulunan birincil ve ikincil sistemleri aracılığıyla ülke içerisinde bankacılık faaliyetlerini sunmaya devam edebilmesini öngörüyor.
Bulut Bilişim Hizmeti
Yönetmelik bankaların bir dış hizmet olarak bulut bilişim hizmetlerini kullanmasına imkân tanıyor. Birincil veya ikincil sistemler için bulut hizmeti, tek bir bankaya tahsis edilmiş donanım ve yazılım kaynakları üzerinden özel bulut hizmet modeliyle alınabilecek. Bunun yanında, sadece BDDK denetimine tabi kuruluşlara tahsis edilmiş donanım ve yazılım kaynaklarının fiziksel olarak paylaşıldığı ancak mantıksal olarak her bankaya özgü ayrı kaynağın atandığı topluluk bulutu hizmet modeliyle dış hizmet alınması BDDK iznine tabi olacak. BDDK, gerekli gördüğü hallerde topluluk bulutu hizmeti kapsamına dâhil olabilecek kuruluşları değiştirmeye yetkili olacak.
Buna ek olarak Yönetmelik, birincil veya ikincil sistemler kapsamında olan bir faaliyet için dış hizmet ya da bulut bilişim hizmeti alınması halinde, dış hizmet sağlayıcının sunduğu hizmete ilişkin faaliyetleri yürütmede kullandığı bilgi sistemlerinin ve bunların yedeklerinin de birincil ve ikincil sistemler kapsamında alınacağını ve bunların yurt içinde bulundurulacağını belirtiyor.
Dış Hizmet Alımı
Banka üst yönetiminin dış hizmet olarak alınacak hizmetlere ilişkin risklerin değerlendirilmesi, yönetilmesi ve dış hizmet sağlayıcı ile ilişkilerin yürütülebilmesine olanak sağlayan bir gözetim mekanizması kurması gerekecek.
Dış hizmet alımına ilişkin dış hizmet sağlayıcı ile imzalanacak sözleşmenin asgari unsurları Yönetmelik’te belirleniyor. Bu kapsamda Banka, Yönetmelik uyarınca sözleşmede bulunması gereken yükümlülükleri uygulatma imkânının bulunmadığı standart sözleşmeler çerçevesinde yürütülen dış hizmet modelleri ile kritik servis ve hizmetleri edinemeyecek.
Çevrimiçi Reklamlar
Bankalar ayrıca, sunmakta oldukları bankacılık hizmetlerine yönelik reklam hizmeti almak istedikleri arama motoru, sosyal medya platformu gibi sağlayıcıların banka adına verilen sahte reklamları engellemeye yönelik tedbirleri alıp almadığını kontrol etmekle ve uygun tedbirleri almayan sağlayıcılardan reklam hizmeti almamakla yükümlü hale geldi. Bankaların, bu gibi sağlayıcılarla yapacakları sözleşmelerde, sahte reklam yayımlanması durumunda, müşterileri korumak adına, olaya özel gerekli bilgiyi alabileceklerine dair hükümleri ekletmesi gerekecek. Bankaların bu kapsamda reklam hizmeti almak üzere anlaştığı aracı firmalar ile yaptığı sözleşmeler de bu kapsama dahil.
Buna paralel olarak, bankacılık faaliyetleri kapsamındaki çevrimiçi reklamlarla ilgili olarak Bankacılık Kanunu’nda yakın zamanda yapılan değişikliklere ilişkin Mevzuat Bültenimize buradan ulaşabilirsiniz.
Bilgi Sistemlerinin Sürekliliği
Bankaların kritik donanım ve sistemler için yedekli çalışma ya da hazırda bekleme düzenleri kurması gerekecek.
Bunun yanında bankalar, ağ ve iletişim altyapısından kaynaklanabilecek kesintilere karşı uygun alternatif iletişim kanalları oluşturmakla yükümlü olacak.
Bankaların yedekleme sıklığı ve yöntemi ile yedeklemenin hangi konumda tutulduğuna ilişkin kayıt tutma yükümlülüğü olacak.
Bunun dışında, soruşturma veya kovuşturma yürüten adli mercilerin veya BDDK’nın bankalardan talep ettiği verilerin temin edilmesi, asıllarının saklanması ve yedeklenmeleri gerekecek.
3. ELEKTRONİK BANKACILIK HİZMETLERİ
Yönetmelik uyarınca, elektronik bankacılık hizmetleri için bankaların müşterilerine birbirinden bağımsız en az iki bileşenden oluşan bir kimlik doğrulama mekanizmasının uygulaması ve kimlik doğrulama verilerinin gizliliğini sağlayacak önlemleri alması gerekecek.
Ayrıca, bankalar, elektronik bankacılık hizmetleri kapsamında gerçekleşen olağan dışı, sahtekârlık amaçlı veya dolandırıcılık riski bulunan işlemleri tespit etmeye ve bunları önlemeye yönelik işlem takip mekanizmalarını kuracaklar. Banka tarafından sunulan elektronik bankacılık hizmetlerinden yararlanacak müşteriler; hizmetlere ilişkin şartlar, riskler ve istisnaî durumlarla ilgili olarak açık bir şekilde bilgilendirilecek.
Ek olarak, Yönetmelik’te, internet bankacılığı, mobil bankacılık, telefon bankacılığı, açık bankacılık hizmetleri ve ATM bankacılığına ilişkin kimlik doğrulama ve işlem güvenliği hükümlerine yer verildi.
Yönetmelik’te bankaların suç gelirlerinin aklanması mevzuatı saklı kalmak kaydıyla müşterinin kimliğini tespit etmek için uzaktan kimlik tespit etme yöntemlerini kullanması da mümkün kılındı.
Sonuç
Yönetmelik ile (i) internet bankacılığı, mobil bankacılık, bulut hizmetleri gibi yeni bankacılık trendlerine ilişkin mevzuat boşluklarının giderilmesi, (ii) Tebliğ kapsamında düzenlenen konuların daha detaylı şekilde hüküm altına alınması ve (iii) bilgi sistemleri yönetimine ilişkin politikalar, prosedürler ve organizasyonel yapıların teknolojik gelişmelere uyum sağlayacak şekilde güncellenmesi amaçlanıyor. Bankaların ve onlara Yönetmelik’te belirtilen hizmetleri sunan hizmet sağlayıcıların 1 Temmuz 2020 tarihine kadar gerekli adımları atıp Yönetmelik’e uyumu sağlamaları gerekecek.