Kullanıcı verilerinin korunması kapsamında finansal işlemler kapsamında pek çok kurum ve kuruluşu yakından ilgilendiren uzaktan kimlik tespiti sistemine ilişkin yeni bir yönetmelik Resmi Gazete'de yayınlanarak resmen yürürlüğe girdi.
Emlak Pencerem / Emlak Haberleri Merkezi - 11 Ocak 2022 - İstanbul
Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) uzaktan kimlik tespitine ilişkin kritik yönetmeliği duyurdu.
BİRİNCİ BÖLÜM
Amaç ve Kapsam, Dayanak ve Tanımlar
Amaç ve kapsam
MADDE 1 – (1) Bu Yönetmeliğin amacı, finansal kiralama, faktoring, finansman ve tasarruf finansman şirketleri tarafından yeni müşteri kazanımında kullanılabilecek uzaktan kimlik tespiti yöntemlerine ve müşteri kimliğinin tespit edilmesini müteakip sunulacak hizmetlere yönelik olarak mesafeli olsun olmasın bir bilişim veya elektronik haberleşme cihazı üzerinden yazılı şeklin yerine geçecek şekilde ya da mesafeli olarak sözleşme ilişkisinin kurulmasına yönelik usul ve esasları düzenlemektir.
(2) Uzaktan kimlik tespiti yöntemi, 11/10/2006 tarihli ve 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ile 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu ve bu Kanunlarla ilgili mevzuatta yer alan yükümlülükler saklı kalmak kaydıyla uygulanır.
Dayanak
MADDE 2 – (1) Bu Yönetmelik, 21/11/2012 tarihli ve 6361 sayılı Finansal Kiralama, Faktoring, Finansman ve Tasarruf Finansman Şirketleri Kanununun 22 nci maddesinin birinci fıkrası, 38 inci maddesinin ikinci fıkrası, 39 uncu maddesinin üçüncü fıkrası ve 39/A maddesinin ikinci fıkrasına dayanılarak düzenlenmiştir.
Tanımlar ve kısaltmalar
MADDE 3 – (1) Bu Yönetmelikte yer alan;
a) Açık rıza: Kişisel Verilerin Korunması Kanununda tanımlanan açık rızayı,
b) Beyaz ışık: Gün ışığı gibi görünürde renksiz olan ışığı,
c) Bilgi Sistemleri Tebliği: 6/4/2019 tarihli ve 30737 sayılı Resmî Gazete’de yayımlanan Finansal Kiralama, Faktoring ve Finansman Şirketlerinin Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliği,
ç) Elektronik imza: 15/1/2004 tarihli ve 5070 sayılı Elektronik İmza Kanununda tanımlanan elektronik imzayı,
d) Güvenlik ögeleri: Kimlik belgesinde yer alan giyoş, gökkuşağı baskı, optik değişken mürekkep, gizli görüntü, hologram ve mikro yazıyı,
e) Kimlik belgesi: 3/12/2019 tarihli ve 30967 sayılı Resmî Gazete’de yayımlanan Türkiye Cumhuriyeti Kimlik Kartı Yönetmeliğinde tanımlanan kimlik kartını,
f) Kimlik Paylaşımı Sistemi: 20/8/2020 tarihli ve 2837 sayılı Cumhurbaşkanı Kararıyla yürürlüğe konulan Kimlik Paylaşımı Sistemi Yönetmeliğinde tanımlanan Kimlik Paylaşımı Sistemini,
g) Kişi: Uzaktan kimlik tespiti yapılacak gerçek kişiyi veya gerçek kişi taciri,
ğ) Kurul: Bankacılık Düzenleme ve Denetleme Kurulunu,
h) Kurum: Bankacılık Düzenleme ve Denetleme Kurumunu,
ı) MRZ: Optik karakter okuma yöntemlerini kullanarak makine okuması için biçimlendirilmiş, zorunlu ve isteğe bağlı verileri kapsayan, kimlik belgesi üzerinde yer alan sabit boyutlu alanı,
i) Müşteri temsilcisi: Kişinin uzaktan kimlik tespitini yapacak şirket personelini ya da dış hizmet alımı yoluyla istihdam edilen personeli,
j) SMS OTP: Elektronik haberleşme işletmecilerinin sunduğu kısa mesaj servisi aracılığıyla iletilen tek kullanımlık parolayı,
k) Şirket: 6361 sayılı Kanunun 3 üncü maddesinde tanımlanan şirketi,
l) Yakın alan iletişimi: Elektronik cihazların güvenilir, temassız işlem yapabilmesini ve sayısal içeriğe ve/veya elektronik cihazlara erişimini mümkün kılan, veri okuma ve yazmakta kullanılan kısa menzilli kablosuz teknolojiyi,
ifade eder.
İKİNCİ BÖLÜM
Uzaktan Kimlik Tespiti Sürecine İlişkin Şartlar
Süreç başlatılmadan önce uyulması gereken genel ilkeler
MADDE 4 – (1) Uzaktan kimlik tespiti, müşteri temsilcisi ile kişinin; fiziksel olarak aynı ortamda bulunmasına gerek olmadan, çevrim içi olarak görüntülü görüşmesi ve birbiriyle iletişim kurması ile yapılır.
(2) Uzaktan kimlik tespiti yöntemi bu Yönetmelikte belirtilen şartlar dâhilinde uygulanır. Uygulanacak yöntem, yüz yüze yapılan kimlik tespiti yöntemine benzer ve asgari seviyede risk ihtiva edecek şekilde tasarlanır.
(3) Uzaktan kimlik tespitinde kullanılacak görüntülü görüşme yönteminde olası teknolojik, operasyonel ve benzeri riskler dikkate alınarak yeterli seviyede güvenlik önlemleri alınır.
(4) Uzaktan kimlik tespiti işlemi, kritik bir işlem olarak değerlendirilir ve işlemin bilgi teknolojileri veya müşteri temsilcisi tarafından tek başına başlatılması, onaylanması ve tamamlanmasına imkân vermeyecek şekilde tasarlanır ve işletilir. Sürecin kişi tarafından başlatılması, bilgi teknolojileri tarafından uygulanan kontroller ile devam ettirilmesi ve müşteri temsilcisi tarafından yapılacak onaylama ve ek kontroller ile tamamlanması sağlanır. Müşteri temsilcisi tarafından yapılan kontrollerde işlemin riskli bulunması halinde işlem ikinci bir onaya gönderilir veya sonlandırılır.
(5) Uzaktan kimlik tespitine ilişkin kullanılacak süreç, sistem, ürün ve hizmetlerin Türkiye’de üretilmesi veya üreticilerinin ar-ge merkezlerinin Türkiye’de bulunması için azami özen gösterilir ve dış hizmet alımında önemli bir kriter olarak değerlendirilir. Bu tür sağlayıcıların ve üreticilerin Türkiye’de müdahale ekiplerinin bulunması şarttır.
(6) Kimlik tespiti sırasında kullanılacak belgelere, bu belgelerde var olan doğrulanabilir özelliklere ve doğrulamanın yapılması sırasında kullanılacak kriterlere ilişkin detaylı dokümanlar oluşturulur.
(7) Şirketin belirlediği uzaktan kimlik tespiti sürecinin uygulanmasından önce, süreç dokümanları oluşturulur ve sürecin etkinliği test edilerek sonuçları yazılı hale getirilir. Test sonuçlarının başarılı bulunmaması durumunda süreçte gerekli güncellemeler yapılır ve sürecin etkinliği ve yeterliliği sağlanmadıkça süreç uygulanmaz.
(8) Uzaktan kimlik tespiti süreci yılda en az bir defa gözden geçirilir. Güvenlik ihlallerinin tespit edilmesi veya gerçekleşmesi, ilgili mevzuatta değişiklik yapılması, şirketin muhtemel dolandırıcılık veya sahtecilik teşkil edebilecek eylemlerden haberdar olması ve kullanılan uzaktan kimlik tespiti yöntemine ilişkin zayıflıkların ortaya çıkması gibi durumlarda teknolojik gelişmeler ve uygulamada kazanılan deneyimler dikkate alınarak sürecin ayrıca gözden geçirilmesi sağlanır ve gerekli güncellemeler yapılır.
Uzaktan kimlik tespitini yapacak müşteri temsilcisi ve çalışma ortamı
MADDE 5 – (1) Uzaktan kimlik tespitinin görüntülü görüşme aşaması, bu konuda eğitim almış müşteri temsilcisi tarafından gerçekleştirilir.
(2) Müşteri temsilcisinin, kimlik tespitinde kullanılabilecek belgelerin özelliklerini ve bu belgeler için uygulanan geçerli doğrulama yöntemlerini öğrenmesi ve dolandırıcılık veya sahtecilik teşkil edebilecek eylemlere, bu Yönetmelikte ve ilgili diğer mevzuatta yer alan yükümlülüklere ilişkin bilgi sahibi olması sağlanır.
(3) Müşteri temsilcisinin, uzaktan kimlik tespiti sürecine ilişkin yılda en az bir defa ve her bir güncelleme sonrasında kişisel verilerin korunması mevzuatı da dâhil olmak üzere eğitim alması sağlanır.
(4) Müşteri temsilcisinin, kişinin şirket müşterisi olma veya şirketin sunduğu hizmetlerden yararlanma isteğini kendi iradesiyle şirketten talep ettiğine dair karar verebilmesi konusunda eğitim alması sağlanır.
(5) Uzaktan kimlik tespiti sürecinde müşteri temsilcisinin, yaşanılabilecek güvenlik zafiyetlerinin ya da suistimallerin engellenmesine yönelik gerekli tedbirlerin alındığı, erişimi sınırlandırılmış ayrı alanlarda çalışması sağlanır.
(6) Kişiye güven vermesi açısından müşteri temsilcisinin şirket adına çalıştığını yansıtacak şekilde uygun bir ortam oluşturulması veya yöntemler kullanılması sağlanır.
(7) Engelli kişilere hizmet verebilmek amacıyla en az bir müşteri temsilcisine gerekli eğitimlerin verilmesi sağlanır.
(8) Dış hizmet alımıyla müşteri temsilcisi istihdam edilmesi durumunda söz konusu müşteri temsilcisinin şirkete özel erişimi sınırlandırılmış ayrı bir alanda çalışması Kurum iznine tabidir.
Sürecin başlatılması ile uyulması gereken genel ilkeler
MADDE 6 – (1) Uzaktan kimlik tespiti sürecinde görüntülü görüşme başlamadan önce kişinin başvurusu uzaktan kimlik tespiti sürecinin işletildiği şirket uygulaması üzerinden elektronik ortamda doldurulan bir form ile alınır, alınan veriler kullanılarak kişi hakkında risk değerlendirmesi gerçekleştirilir. Risk değerlendirmesi sonucunda gerekiyorsa görüntülü görüşme başlatılmadan süreç sonlandırılır.
(2) Bu Yönetmelik kapsamında uygulanacak uzaktan kimlik tespiti sürecinde, kişinin uzaktan kimlik tespitinin yapılması amacıyla özel nitelikli kişisel verilerden sadece biyometrik verisi kullanılabilir ve kişinin buna dair açık rızası elektronik ortamda kayıt altına alınır.
(3) Müşteri temsilcisine uzaktan kimlik tespiti işlemleri atanırken önceden tahmin edilebilir durumlardan kaynaklı suistimal olasılığını azaltmak için gerekli mekanizmalar tesis edilir.
(4) Kişi ile yapılacak görüntülü görüşmeden önce müşteri temsilcisinin soracağı asgari sorular belirlenir ve sorulan soruların sırası ve/veya türü değişkenlik arz eder.
(5) Uzaktan kimlik tespitinin görüntülü görüşme aşaması gerçek zamanlı ve kesintisiz şekilde yapılır. Müşteri temsilcisi ile kişi arasındaki görsel-işitsel iletişimin bütünlüğünün ve gizliliğinin yeterli seviyede olması sağlanır. Bu amaçla, yapılan görüntülü görüşme uçtan uca güvenli iletişim ile gerçekleştirilir.
(6) Gerçekleşen iletişimin görüntü ve ses kalitesinin, bu Yönetmelikte yer alan hükümler ve kontroller çerçevesinde şüpheye yer bırakmayacak ve kimlik tespitinde herhangi bir kısıtlamaya imkân vermeyecek şekilde tüm görüşme esnasında yeterli seviyede olması sağlanır. Görüntü kalitesi, sunulan belgeyi beyaz ışık altında görsel olarak doğrulayabilmeye ve sunulan belgenin yıpranmamış ya da tahrif edilmemiş olduğunu kontrol edebilmeye yönelik güvenlik ögelerinin incelenmesine olanak tanır.
(7) Uzaktan kimlik tespiti sürecinde kişiye yalnızca yapılan kimlik tespiti işlemi için geçerli, merkezi olarak üretilen SMS OTP iletilir. İletilen SMS OTP’nin kişi tarafından çevrim içi olarak uygulama ara yüzü üzerinden geri gönderilmesi sağlanır. Sistemde bu SMS OTP’nin başarılı şekilde onaylanması durumunda kişinin cep telefonu numarası doğrulanmış olur.
Kullanılabilecek kimlik belgesi ve doğrulanması
MADDE 7 – (1) Uzaktan kimlik tespiti sürecinde beyaz ışık altında görsel olarak ayırt edilebilen güvenlik ögelerine, fotoğraf ve ıslak imzaya sahip olan kimlik belgesi kullanılır.
(2) Yakın alan iletişimi kullanılarak kimlik belgesinin yongası üzerinde yer alan kimlik bilgilerinin doğrulanması, kimlik belgesinden kişinin kimliğinin tespit edilmesi için gereken eşleşmenin sağlandığı anlamına gelir. Söz konusu doğrulama;
a) Kullanılan kimlik belgesinin, belgeyi çıkaran yetkili makam tarafından verildiği ve belgenin temassız yongası üzerindeki bilgilerin değiştirilmediği,
b) Kimlik belgesinin temassız yongası üzerindeki anahtarların kopyalanarak oluşturulmadığı,
kontrol edilerek yapılır.
(3) Yakın alan iletişimi kullanılarak ikinci fıkrada geçen doğrulamanın herhangi bir nedenle yapılamaması halinde kimlik belgesinin sahip olduğu bu maddenin birinci fıkrasında ifade edilen görsel güvenlik unsurlarından en az dört adedinin şekil ve içerik bakımından doğrulanması sağlanır. Sadece görsel güvenlik unsurlarının doğrulanması hallerinde şirket ilave olarak kişi ile sürekli iş ilişkisi tesisi öncesinde risk temelli yaklaşım çerçevesinde ilgili mevzuatta geçen sıkılaştırılmış tedbirlerden bir veya birden fazlasını ya da tamamını uygular. Yürütülen işlemlerde 11 inci maddenin birinci fıkrası gereği ispat yükümlülüğü şirkettedir.
(4) Görsel kimlik tespiti esnasında kişinin, kimlik belgesini kameranın önünde yatay veya dikey olarak eğmesi ve müşteri temsilcisinin vereceği talimata göre ilave hareketler yapması sağlanır. Bu amaçla kişiden, kimlik belgesinin güvenlikle ilgili kısımlarından sistem tarafından değişken ve rastgele şekilde belirlenen kısımlarına parmağını koyması istenir.
(5) Müşteri temsilcisi, görüntülü görüşme sürecinde kişiyi ve kişi tarafından sunulan kimlik belgesinin ön ve arka yüzü ile birlikte belgenin üzerindeki bilgileri gösteren fotoğraflar ve/veya ekran görüntüleri oluşturur.
(6) Müşteri temsilcisi, kişinin hareketlerinden alınan, kesilen ve büyütülen tekil görselleri kullanarak, beyaz ışık altında görsel olarak ayırt edilebilen tüm güvenlik ögeleri ile birlikte kimlik belgesinin doğru açıyla tam olarak kapsandığından ve kimlik belgesinin üzerindeki kısımlar arasındaki geçiş noktalarında tahrifatı ve sahteliği gösteren hiçbir yapaylık bulunmadığından emin olur.
(7) Sunulan kimlik belgesinde bulunan veri ve bilgilerin geçerliliği ve gerçekliğine ilişkin doğrulama, uzaktan kimlik tespiti sürecinin bir parçası olarak gerçekleştirilir. Bu kapsamda asgari olarak;
a) Kimlik belgesinde bulunması gereken karakterlerin yazı tipi, düzeni, sayısı, büyüklüğü, aralığı ve tipografisi gibi belgeyi çıkaran yetkili makamca tanımlanan özelliklere sahip olduğu,
b) Kimlik belgesinin zarar görmemiş, tahrif edilmemiş, değiştirilmemiş ve özellikle üzerine sonradan fotoğraf yapıştırılmamış olduğu,
c) Kimlik belgesi geçerlilik süresinin söz konusu kimlik belgesinin sahip olduğu standartlara aykırı olmadığı,
ç) Kimlik belgesinin MRZ’sinde yer alan bilgiler ile kimlik belgesine ait bilgilerin uyuştuğu,
d) Kişiye ilişkin kimlik belgesinde yer alan bilgilerin şirket tarafından bilinen, Kimlik Paylaşımı Sisteminden alınan ve varsa kimlik tespiti yapmak amacıyla şirketin erişimine açık olan diğer bilgiler ile eşleştiği,
e) Kimlik belgesinde yer alan seri numarasının görüntülü görüşme sırasında kimlik belgesi üzerinden kişiye okutulması suretiyle seri numarası,
doğrulanır.
Kimliği tespit edilecek kişinin doğrulanması
MADDE 8 – (1) Uzaktan kimlik tespitinin görüntülü görüşme aşamasında kişinin canlılığını tespit edici yöntemler kullanılır. Şirket sahte yüz teknolojisine dair riskleri önlemeye yönelik ilave tedbirler alır.
(2) Uzaktan kimlik tespiti sürecinde kişinin yüzü ile kimlik belgesinden yakın alan iletişimi kullanılarak alınabilmesi halinde temassız yongadaki fotoğrafın, alınamaması halinde ise kimlik belgesi üzerinde yer alan fotoğrafın biyometrik karşılaştırması yapılır.
(3) Müşteri temsilcisi, kullanılan kimlik belgesindeki fotoğrafın ve kişisel bilgilerin kişi ile uyuştuğundan emin olur.
(4) Müşteri temsilcisi, kimlik tespiti sürecinde kişi ile kuracağı diyalog ve yapacağı gözlemler neticesinde kimlik belgesindeki bilgilerin, görüşme esnasında kişi tarafından sağlanan bilgilerin ve belirtilen niyetin inandırıcı ve yeterli olduğuna kanaat getirir. Bu kapsamda kimlik avına, sosyal mühendisliğe, başka bir tarafın zorlamasıyla baskı altında gerçekleşen hareketlere ve benzeri dolandırıcılık yöntemlerine ilişkin riskler göz önünde bulundurulur.
(5) Uzaktan kimlik tespitinin görüntülü görüşme aşamasının sonunda kişinin şirket tarafından verilecek hizmetler hakkında bilgilendirilmesi ve şirket müşterisi olacağını kabul ettiğine ilişkin sözlü onay alınması ile süreç tamamlanmış olur.
Görüntülü görüşmede sürecin sonlandırılması
MADDE 9 – (1) Zayıf ışık koşulları, düşük görüntü kalitesi ya da iletimi ve benzeri durumlar nedeniyle bu Yönetmelikte belirtildiği şekilde görsel doğrulama yapılmasının ve/veya kişi ile sözlü iletişim kurmanın mümkün olmadığı hallerde uzaktan kimlik tespitinin görüntülü görüşme aşaması sonlandırılır. Süreçte başkaca bir tutarsızlık veya belirsizlik bulunması durumunda da bu hüküm uygulanır.
(2) Uzaktan kimlik tespitinin görüntülü görüşme aşamasında kişi tarafından sunulan belgenin geçerliliği hususunda ya da dolandırıcılık veya sahtecilik teşkil edebilecek eylemlerden şüphe edilmesi durumunda, uzaktan kimlik tespiti süreci sonlandırılır.
Verilerin kaydedilmesi ve saklanması
MADDE 10 – (1) Uzaktan kimlik tespiti sürecinin tamamı, sürecin tüm adımlarını içerecek ve denetlenebilir olmasını sağlayacak şekilde kayıt altına alınır ve saklanır. Bilgi ve belge saklama gerekliliklerine ilişkin ilgili mevzuat hükümleri saklıdır.
Uzaktan kimlik tespitinde sorumluluk
MADDE 11 – (1) Uzaktan kimlik tespiti için kullanılan çözümlerin kişiyi yanlış tespit riskini en aza indirecek şekilde kullanılmasını sağlamak şirketin sorumluluğundadır. Şirket uzaktan kimlik tespiti ile kimlik tespiti yaptığı kişileri farklı bir risk profilinde izler. Bu kişilerce yapılan işlemin türüne ve tutarına bağlı olarak ilave güvenlik ve kontrol yöntemleri uygulanır. Kişilere ya da üçüncü bir tarafa yükümlülük doğuran işlemlerde itiraz halinde ispat yükümlülüğü şirkettedir.
(2) Şirketin Bilgi Sistemleri Tebliğinde ve bu Yönetmelikte yer alan hükümlere uyum durumunun, şikâyetler ile sahtecilik veya dolandırıcılık teşkil edebilecek eylemlerin değerlendirilmesi neticesinde ve gerekli görülen diğer hallerde uzaktan kimlik tespiti kullanımını kısıtlamaya veya durdurmaya Kurul yetkilidir.
ÜÇÜNCÜ BÖLÜM
Elektronik Ortamda Sözleşme İlişkisinin Kurulması
Kimlik doğrulama ve işlem güvenliği
MADDE 12 – (1) Bu Yönetmelikte aksi belirtilmedikçe, müşteri bilgilerinin görüntülenmesi gibi finansal sonuç veya yükümlülük doğurmayan işlemler hariç olmak üzere elektronik ortamda sunulan hizmetler için şirketin müşterilerine birbirinden bağımsız en az iki bileşenden oluşan bir kimlik doğrulama mekanizması uygulaması ve bu bileşenlerin kimlik doğrulama sürecinde kullanılmaları esnasında barındırdıkları kimlik doğrulama verilerinin gizliliğini sağlayacak önlemleri alması esastır. Bu iki bileşen; müşterinin “bildiği”, “sahip olduğu” veya “biyometrik bir karakteristiği olan” unsur sınıflarından farklı ikisine ait olmak üzere seçilir. Bileşenlerin bağımsız olması, bir bileşenin ele geçirilmesinin diğer bileşenin güvenliğini tehlikeye atmamasını ifade eder. Müşterinin sahip olduğu bileşenin müşteriye özgü olması ve taklit edilememesi esastır.
(2) Kimlik doğrulamada T.C. Kimlik Kartının kart PIN’i veya biyometrik veri ile birlikte kullanılması veya elektronik imzanın kullanılması hallerinde birinci fıkranın gerekleri yerine getirilmiş sayılır.
(3) Kurum, birinci fıkranın uygulanmasına ilişkin istisna veya ilave güvenlik önlemleri tanımlamaya veya ilave usul ve esaslar belirlemeye yetkilidir. Birinci fıkraya uygun olmayacak şekilde iki bileşenli kimlik doğrulama kullanılmaksızın gerçekleştirilen her türlü işlem için, gerçekleştirilen işlemlerin müşteri tarafından yapıldığını ispat etme yükümlülüğü şirkete aittir.
(4) Kullanıcılara uygulanacak kimlik doğrulama mekanizmasında kullanılacak bileşenlerin üretim aşamalarından başlayarak kullanıcıya ulaştırılmasına kadar geçen sürecin tamamı boyunca güvenliği sağlanır.
(5) Kimlik doğrulamada kullanılacak şifreleme anahtarları; bu anahtarların ele geçirilme ihtimallerini en aza indiren, gizliliğini sağlayan, değiştirilmesini ve bozulmasını önleyen yöntemler barındıracak şekilde müşteri kullanımına sunulur.
(6) Kullanıcılara uygulanacak kimlik doğrulama mekanizmasının, başarısız kimlik doğrulama teşebbüsleri hakkında ilgili kullanıcıya sisteme ilk girdiği anda bilgi vermesi sağlanır. Başarısız teşebbüslerin belirli bir sayıyı aşması halinde müşterinin erişimi için ilave güvenlik önlemleri alınır, başarısız kimlik doğrulama teşebbüslerinin devam etmesi halinde ise ilgili kullanıcının erişimi engellenir.
(7) Şirket, mobil uygulamasını yükleyerek aktifleştirmiş olan müşterilerine, oturum açma ya da oturumun devamında herhangi bir işlemin doğrulanması için hiçbir şekilde SMS ile OTP ya da doğrulama kodu gönderemez ve bunu bir kimlik doğrulama unsuru olarak kullanamaz. Mobil uygulamanın ilk kurulumu, aktifleştirilmesi, yeniden aktifleştirilmesi aşamalarında ya da uygulamanın kullanılamaz olması durumunda SMS ile OTP ya da doğrulama kodu gönderilmesi bu fıkra hükmüne aykırılık teşkil etmez.
(8) Şirket, SIM kart değişikliği gerçekleştirmiş veya numara taşıma yoluyla elektronik haberleşme işletmecisini değiştirmiş müşterilerini Türkiye’de yerleşik mobil haberleşme işletmeleriyle gerekli entegrasyonu sağlayarak SMS OTP göndermeden önce belirler ve ilgili müşterilere, değişiklikler teyit edilmediği müddetçe, değişikliğin yapıldığı tarihten itibaren 90 gün boyunca elektronik ortamdaki hizmetler sunulurken SIM karta dayalı unsur kimlik doğrulama unsuru olarak kullanılamaz. Değişiklikler teyit edilirken iki bileşenli kimlik doğrulama kullanılmaksızın gerçekleştirilen her türlü işlem için, gerçekleştirilen işlemlerin müşteri tarafından yapıldığını ispat etme yükümlülüğü şirkete aittir.
(9) Müşterilere kimlik ya da işlem doğrulama amacıyla kullandırılacak tek kullanımlık parolaların, tahmin edilmesi zor olacak şekilde yeterli uzunlukta, rastgele, değişken ve eşsiz olarak üretilmesi ve belirli bir süre için geçerli olması sağlanır.
(10) Müşterinin kimliğini tespit etmeye yarayan ve resmî kimlik belgesi yerine geçen belgeler üzerinde yer alan bilgiler ile anne kızlık soyadı, elektronik ortamdaki hizmetlerin sunulması esnasında hiçbir aşamada kimlik doğrulama amacıyla kullanılamaz. Şirketin kimlik doğrulamada müşterinin bildiği unsur olarak bir güvenlik sorusu kullanmak istemesi durumunda, bu güvenlik sorusunun resmî kimlik belgesi yerine geçen belgeler üzerinde yer alan bilgilerden birine ilişkin olmaması ve cevabının müşterinin kendisi tarafından belirleniyor olması gerekir.
(11) Şirketin elektronik ortamda sunulan hizmetlerinde kullanmak üzere müşterilerine sunduğu her türlü yazılım ya da mobil uygulamanın kaynağının, ilgili şirket olduğunun doğrulanabiliyor olması sağlanır. Şirket bu yazılım ya da mobil uygulamaların, müşteri güvenliğini tehlikeye sokacak herhangi bir kod içermemesini sağlamakla, güvenlik açıklarını giderecek gerekli yamaları ve güncellemeleri müşteri kullanımına sunmakla yükümlüdür.
(12) Şirket, akıllı telefonlar gibi birden fazla kimlik doğrulama bileşeninin şirkete iletilmesinde kullanılan mobil cihazlar üzerindeki uygulamaların kullandığı hassas verilerin, aynı mobil cihaz üzerindeki diğer uygulamalar ve çalışmakta olan işlemler tarafından erişilemez olmasını sağlayacak önlemler alır. Şirket, söz konusu mobil cihazların kaybolması ya da çalınması halinde bunlar üzerindeki hassas verilerin yetkisiz kişilerce erişilemez olmasını sağlamak ve mobil cihazların ele geçirilmesi, güvenilirliğinin bozulması, işletim sistemi yazılımının kırılması veya değiştirilmesi gibi hallerden kaynaklanacak risklerin azaltılması amacıyla günün teknolojisine uygun kontroller tesis etmekle yükümlüdür.
(13) Elektronik ortamda sunulan hizmetlerde birinci fıkraya göre gerçekleştirilecek kimlik doğrulama işlemi için müşteriye atanmış bir şifreleme gizli anahtarı ile imzalanacak şekilde tek kullanımlık bir doğrulama kodu üretilir. Doğrulama kodu aracılığıyla birinci fıkrada belirtilen kimlik doğrulama unsurlarından hiçbiri hakkında bilgi edinilememesi, bilinen bir doğrulama kodu ile geçerli başka doğrulama kodlarının türetilememesi, doğrulama kodlarının taklit edilememesi sağlanır. Müşteriye atanmış bir şifreleme gizli anahtarı ile doğrulama kodunun imzalanmasının mümkün olmadığı hallerde, yedinci fıkra hükmü saklı kalmak kaydıyla SMS yoluyla müşteriye doğrulama kodu iletilebilir.
(14) Elektronik ortamda sunulan hizmetin mobil uygulama vasıtasıyla verilmesi durumunda, uygulama PIN’inin veya müşteriye ait bir biyometrik kimlik doğrulama bileşeninin müşteriye özgü bir şifreleme anahtarına erişmek üzere kullanılması ve bu şifreleme anahtarı yoluyla müşteriyle ilintili eşsiz bir bilginin şirket nezdinde çevrimiçi olarak doğrulanması halinde, birinci fıkrada belirtilen iki bileşenli kimlik doğrulama yerine getirilmiş kabul edilir.
Kimlik tespitini müteakip sözleşme ilişkisinin kurulması
MADDE 13 – (1) Bu Yönetmelikte yer alan şartlar dâhilinde uzaktan kimlik tespitinin yapılmasını ya da müşteri kimliğinin yüz yüze tespit edilmesini müteakiben, müşterilerce gerçekleştirilmek istenen işlemlere yönelik sözleşme ilişkisinin internet veya mobil hizmet kanalları üzerinden mesafeli olarak kurulması durumunda, müşterinin sözleşmeyi kuran irade beyanının aynı kanallar üzerinden 12 nci maddenin birinci fıkrasına uygun olarak gerçekleştirilmiş bir kimlik doğrulama sonrasında alınması şarttır.
(2) Bu Yönetmelikte yer alan şartlar dâhilinde uzaktan kimlik tespitinin yapılmasını ya da müşteri kimliğinin yüz yüze tespit edilmesini müteakiben, mesafeli olsun olmasın, müşterilerce gerçekleştirilmek istenen işlemlere yönelik olarak bir bilişim veya haberleşme cihazı üzerinden yazılı şeklin yerine geçecek nitelikte bir sözleşme ilişkisi kurulabilmesi için;
a) Söz konusu sözleşmenin bütün şartlarının, müşterinin okuyabileceği şekilde internet veya mobil hizmet kanalları üzerinden müşteriye iletilmesi,
b) (a) bendine göre müşteriye iletilen sözleşme ve bu sözleşme ile birlikte müşterinin sözleşmeyi kuran irade beyanının, 12 nci maddenin on üçüncü fıkrası ile on dördüncü fıkrasında belirtilen müşteriye özgü şifreleme gizli anahtarı ile imzalanarak şirkete iletilmesi,
c) (a) bendine göre iletilen sözleşmede müşteriye sözleşme içeriği olarak hangi bilgiler gösterilmiş ise (b) bendine göre müşteri tarafından yalnızca o bilgilerin imzalanmasının sağlanması,
şarttır.
(3) Müşteriye sunulacak hizmetlere yönelik olarak şirket ile müşteri arasındaki ilişkileri düzenleyen ve resmî şekle veya özel bir merasime tabi olmayan her türlü sözleşme ilişkisinin;
a) İkinci fıkraya uygun olarak elektronik ortamda kurulması ya da
b) Müşterinin sözleşmeyi kuran irade beyanının uzaktan kimlik tespitinin görüntülü görüşme aşamasında kimlik tespitini müteakip alınması suretiyle mesafeli olarak kurulması,
hallerinde bu sözleşmeler için yazılı şekil şartı gerçekleşmiş sayılır.
DÖRDÜNCÜ BÖLÜM
Çeşitli ve Son Hükümler
Yapay zekâ temelli uygulamalar
MADDE 14 – (1) 7.500 TL tutarını aşmayan işlemlerde bu Yönetmelikte ifade edilen müşteri temsilcisinin yapacağı işlemlerin yapay zekâ temelli yöntemler ile yapılabilmesine ilişkin esasları belirlemeye Kurul yetkilidir.
Yürürlük
MADDE 15 – (1) Bu Yönetmelik yayımı tarihinden bir ay sonra yürürlüğe girer.
Yürütme
MADDE 16 – (1) Bu Yönetmelik hükümlerini Bankacılık Düzenleme ve Denetleme Kurumu Başkanı yürütür.
Emlak Pencerem / Emlak Haberleri Merkezi - 11 Ocak 2022 - İstanbul
Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) uzaktan kimlik tespitine ilişkin kritik yönetmeliği duyurdu.
FİNANSAL KİRALAMA, FAKTORİNG, FİNANSMAN VE TASARRUF FİNANSMAN ŞİRKETLERİNCE KULLANILACAK UZAKTAN KİMLİK TESPİTİ YÖNTEMLERİNE VE ELEKTRONİK ORTAMDA SÖZLEŞME İLİŞKİSİNİN KURULMASINA İLİŞKİN YÖNETMELİK
BİRİNCİ BÖLÜM
Amaç ve Kapsam, Dayanak ve Tanımlar
Amaç ve kapsam
MADDE 1 – (1) Bu Yönetmeliğin amacı, finansal kiralama, faktoring, finansman ve tasarruf finansman şirketleri tarafından yeni müşteri kazanımında kullanılabilecek uzaktan kimlik tespiti yöntemlerine ve müşteri kimliğinin tespit edilmesini müteakip sunulacak hizmetlere yönelik olarak mesafeli olsun olmasın bir bilişim veya elektronik haberleşme cihazı üzerinden yazılı şeklin yerine geçecek şekilde ya da mesafeli olarak sözleşme ilişkisinin kurulmasına yönelik usul ve esasları düzenlemektir.
(2) Uzaktan kimlik tespiti yöntemi, 11/10/2006 tarihli ve 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ile 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu ve bu Kanunlarla ilgili mevzuatta yer alan yükümlülükler saklı kalmak kaydıyla uygulanır.
Dayanak
MADDE 2 – (1) Bu Yönetmelik, 21/11/2012 tarihli ve 6361 sayılı Finansal Kiralama, Faktoring, Finansman ve Tasarruf Finansman Şirketleri Kanununun 22 nci maddesinin birinci fıkrası, 38 inci maddesinin ikinci fıkrası, 39 uncu maddesinin üçüncü fıkrası ve 39/A maddesinin ikinci fıkrasına dayanılarak düzenlenmiştir.
Tanımlar ve kısaltmalar
MADDE 3 – (1) Bu Yönetmelikte yer alan;
a) Açık rıza: Kişisel Verilerin Korunması Kanununda tanımlanan açık rızayı,
b) Beyaz ışık: Gün ışığı gibi görünürde renksiz olan ışığı,
c) Bilgi Sistemleri Tebliği: 6/4/2019 tarihli ve 30737 sayılı Resmî Gazete’de yayımlanan Finansal Kiralama, Faktoring ve Finansman Şirketlerinin Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliği,
ç) Elektronik imza: 15/1/2004 tarihli ve 5070 sayılı Elektronik İmza Kanununda tanımlanan elektronik imzayı,
d) Güvenlik ögeleri: Kimlik belgesinde yer alan giyoş, gökkuşağı baskı, optik değişken mürekkep, gizli görüntü, hologram ve mikro yazıyı,
e) Kimlik belgesi: 3/12/2019 tarihli ve 30967 sayılı Resmî Gazete’de yayımlanan Türkiye Cumhuriyeti Kimlik Kartı Yönetmeliğinde tanımlanan kimlik kartını,
f) Kimlik Paylaşımı Sistemi: 20/8/2020 tarihli ve 2837 sayılı Cumhurbaşkanı Kararıyla yürürlüğe konulan Kimlik Paylaşımı Sistemi Yönetmeliğinde tanımlanan Kimlik Paylaşımı Sistemini,
g) Kişi: Uzaktan kimlik tespiti yapılacak gerçek kişiyi veya gerçek kişi taciri,
ğ) Kurul: Bankacılık Düzenleme ve Denetleme Kurulunu,
h) Kurum: Bankacılık Düzenleme ve Denetleme Kurumunu,
ı) MRZ: Optik karakter okuma yöntemlerini kullanarak makine okuması için biçimlendirilmiş, zorunlu ve isteğe bağlı verileri kapsayan, kimlik belgesi üzerinde yer alan sabit boyutlu alanı,
i) Müşteri temsilcisi: Kişinin uzaktan kimlik tespitini yapacak şirket personelini ya da dış hizmet alımı yoluyla istihdam edilen personeli,
j) SMS OTP: Elektronik haberleşme işletmecilerinin sunduğu kısa mesaj servisi aracılığıyla iletilen tek kullanımlık parolayı,
k) Şirket: 6361 sayılı Kanunun 3 üncü maddesinde tanımlanan şirketi,
l) Yakın alan iletişimi: Elektronik cihazların güvenilir, temassız işlem yapabilmesini ve sayısal içeriğe ve/veya elektronik cihazlara erişimini mümkün kılan, veri okuma ve yazmakta kullanılan kısa menzilli kablosuz teknolojiyi,
ifade eder.
İKİNCİ BÖLÜM
Uzaktan Kimlik Tespiti Sürecine İlişkin Şartlar
Süreç başlatılmadan önce uyulması gereken genel ilkeler
MADDE 4 – (1) Uzaktan kimlik tespiti, müşteri temsilcisi ile kişinin; fiziksel olarak aynı ortamda bulunmasına gerek olmadan, çevrim içi olarak görüntülü görüşmesi ve birbiriyle iletişim kurması ile yapılır.
(2) Uzaktan kimlik tespiti yöntemi bu Yönetmelikte belirtilen şartlar dâhilinde uygulanır. Uygulanacak yöntem, yüz yüze yapılan kimlik tespiti yöntemine benzer ve asgari seviyede risk ihtiva edecek şekilde tasarlanır.
(3) Uzaktan kimlik tespitinde kullanılacak görüntülü görüşme yönteminde olası teknolojik, operasyonel ve benzeri riskler dikkate alınarak yeterli seviyede güvenlik önlemleri alınır.
(4) Uzaktan kimlik tespiti işlemi, kritik bir işlem olarak değerlendirilir ve işlemin bilgi teknolojileri veya müşteri temsilcisi tarafından tek başına başlatılması, onaylanması ve tamamlanmasına imkân vermeyecek şekilde tasarlanır ve işletilir. Sürecin kişi tarafından başlatılması, bilgi teknolojileri tarafından uygulanan kontroller ile devam ettirilmesi ve müşteri temsilcisi tarafından yapılacak onaylama ve ek kontroller ile tamamlanması sağlanır. Müşteri temsilcisi tarafından yapılan kontrollerde işlemin riskli bulunması halinde işlem ikinci bir onaya gönderilir veya sonlandırılır.
(5) Uzaktan kimlik tespitine ilişkin kullanılacak süreç, sistem, ürün ve hizmetlerin Türkiye’de üretilmesi veya üreticilerinin ar-ge merkezlerinin Türkiye’de bulunması için azami özen gösterilir ve dış hizmet alımında önemli bir kriter olarak değerlendirilir. Bu tür sağlayıcıların ve üreticilerin Türkiye’de müdahale ekiplerinin bulunması şarttır.
(6) Kimlik tespiti sırasında kullanılacak belgelere, bu belgelerde var olan doğrulanabilir özelliklere ve doğrulamanın yapılması sırasında kullanılacak kriterlere ilişkin detaylı dokümanlar oluşturulur.
(7) Şirketin belirlediği uzaktan kimlik tespiti sürecinin uygulanmasından önce, süreç dokümanları oluşturulur ve sürecin etkinliği test edilerek sonuçları yazılı hale getirilir. Test sonuçlarının başarılı bulunmaması durumunda süreçte gerekli güncellemeler yapılır ve sürecin etkinliği ve yeterliliği sağlanmadıkça süreç uygulanmaz.
(8) Uzaktan kimlik tespiti süreci yılda en az bir defa gözden geçirilir. Güvenlik ihlallerinin tespit edilmesi veya gerçekleşmesi, ilgili mevzuatta değişiklik yapılması, şirketin muhtemel dolandırıcılık veya sahtecilik teşkil edebilecek eylemlerden haberdar olması ve kullanılan uzaktan kimlik tespiti yöntemine ilişkin zayıflıkların ortaya çıkması gibi durumlarda teknolojik gelişmeler ve uygulamada kazanılan deneyimler dikkate alınarak sürecin ayrıca gözden geçirilmesi sağlanır ve gerekli güncellemeler yapılır.
Uzaktan kimlik tespitini yapacak müşteri temsilcisi ve çalışma ortamı
MADDE 5 – (1) Uzaktan kimlik tespitinin görüntülü görüşme aşaması, bu konuda eğitim almış müşteri temsilcisi tarafından gerçekleştirilir.
(2) Müşteri temsilcisinin, kimlik tespitinde kullanılabilecek belgelerin özelliklerini ve bu belgeler için uygulanan geçerli doğrulama yöntemlerini öğrenmesi ve dolandırıcılık veya sahtecilik teşkil edebilecek eylemlere, bu Yönetmelikte ve ilgili diğer mevzuatta yer alan yükümlülüklere ilişkin bilgi sahibi olması sağlanır.
(3) Müşteri temsilcisinin, uzaktan kimlik tespiti sürecine ilişkin yılda en az bir defa ve her bir güncelleme sonrasında kişisel verilerin korunması mevzuatı da dâhil olmak üzere eğitim alması sağlanır.
(4) Müşteri temsilcisinin, kişinin şirket müşterisi olma veya şirketin sunduğu hizmetlerden yararlanma isteğini kendi iradesiyle şirketten talep ettiğine dair karar verebilmesi konusunda eğitim alması sağlanır.
(5) Uzaktan kimlik tespiti sürecinde müşteri temsilcisinin, yaşanılabilecek güvenlik zafiyetlerinin ya da suistimallerin engellenmesine yönelik gerekli tedbirlerin alındığı, erişimi sınırlandırılmış ayrı alanlarda çalışması sağlanır.
(6) Kişiye güven vermesi açısından müşteri temsilcisinin şirket adına çalıştığını yansıtacak şekilde uygun bir ortam oluşturulması veya yöntemler kullanılması sağlanır.
(7) Engelli kişilere hizmet verebilmek amacıyla en az bir müşteri temsilcisine gerekli eğitimlerin verilmesi sağlanır.
(8) Dış hizmet alımıyla müşteri temsilcisi istihdam edilmesi durumunda söz konusu müşteri temsilcisinin şirkete özel erişimi sınırlandırılmış ayrı bir alanda çalışması Kurum iznine tabidir.
Sürecin başlatılması ile uyulması gereken genel ilkeler
MADDE 6 – (1) Uzaktan kimlik tespiti sürecinde görüntülü görüşme başlamadan önce kişinin başvurusu uzaktan kimlik tespiti sürecinin işletildiği şirket uygulaması üzerinden elektronik ortamda doldurulan bir form ile alınır, alınan veriler kullanılarak kişi hakkında risk değerlendirmesi gerçekleştirilir. Risk değerlendirmesi sonucunda gerekiyorsa görüntülü görüşme başlatılmadan süreç sonlandırılır.
(2) Bu Yönetmelik kapsamında uygulanacak uzaktan kimlik tespiti sürecinde, kişinin uzaktan kimlik tespitinin yapılması amacıyla özel nitelikli kişisel verilerden sadece biyometrik verisi kullanılabilir ve kişinin buna dair açık rızası elektronik ortamda kayıt altına alınır.
(3) Müşteri temsilcisine uzaktan kimlik tespiti işlemleri atanırken önceden tahmin edilebilir durumlardan kaynaklı suistimal olasılığını azaltmak için gerekli mekanizmalar tesis edilir.
(4) Kişi ile yapılacak görüntülü görüşmeden önce müşteri temsilcisinin soracağı asgari sorular belirlenir ve sorulan soruların sırası ve/veya türü değişkenlik arz eder.
(5) Uzaktan kimlik tespitinin görüntülü görüşme aşaması gerçek zamanlı ve kesintisiz şekilde yapılır. Müşteri temsilcisi ile kişi arasındaki görsel-işitsel iletişimin bütünlüğünün ve gizliliğinin yeterli seviyede olması sağlanır. Bu amaçla, yapılan görüntülü görüşme uçtan uca güvenli iletişim ile gerçekleştirilir.
(6) Gerçekleşen iletişimin görüntü ve ses kalitesinin, bu Yönetmelikte yer alan hükümler ve kontroller çerçevesinde şüpheye yer bırakmayacak ve kimlik tespitinde herhangi bir kısıtlamaya imkân vermeyecek şekilde tüm görüşme esnasında yeterli seviyede olması sağlanır. Görüntü kalitesi, sunulan belgeyi beyaz ışık altında görsel olarak doğrulayabilmeye ve sunulan belgenin yıpranmamış ya da tahrif edilmemiş olduğunu kontrol edebilmeye yönelik güvenlik ögelerinin incelenmesine olanak tanır.
(7) Uzaktan kimlik tespiti sürecinde kişiye yalnızca yapılan kimlik tespiti işlemi için geçerli, merkezi olarak üretilen SMS OTP iletilir. İletilen SMS OTP’nin kişi tarafından çevrim içi olarak uygulama ara yüzü üzerinden geri gönderilmesi sağlanır. Sistemde bu SMS OTP’nin başarılı şekilde onaylanması durumunda kişinin cep telefonu numarası doğrulanmış olur.
Kullanılabilecek kimlik belgesi ve doğrulanması
MADDE 7 – (1) Uzaktan kimlik tespiti sürecinde beyaz ışık altında görsel olarak ayırt edilebilen güvenlik ögelerine, fotoğraf ve ıslak imzaya sahip olan kimlik belgesi kullanılır.
(2) Yakın alan iletişimi kullanılarak kimlik belgesinin yongası üzerinde yer alan kimlik bilgilerinin doğrulanması, kimlik belgesinden kişinin kimliğinin tespit edilmesi için gereken eşleşmenin sağlandığı anlamına gelir. Söz konusu doğrulama;
a) Kullanılan kimlik belgesinin, belgeyi çıkaran yetkili makam tarafından verildiği ve belgenin temassız yongası üzerindeki bilgilerin değiştirilmediği,
b) Kimlik belgesinin temassız yongası üzerindeki anahtarların kopyalanarak oluşturulmadığı,
kontrol edilerek yapılır.
(3) Yakın alan iletişimi kullanılarak ikinci fıkrada geçen doğrulamanın herhangi bir nedenle yapılamaması halinde kimlik belgesinin sahip olduğu bu maddenin birinci fıkrasında ifade edilen görsel güvenlik unsurlarından en az dört adedinin şekil ve içerik bakımından doğrulanması sağlanır. Sadece görsel güvenlik unsurlarının doğrulanması hallerinde şirket ilave olarak kişi ile sürekli iş ilişkisi tesisi öncesinde risk temelli yaklaşım çerçevesinde ilgili mevzuatta geçen sıkılaştırılmış tedbirlerden bir veya birden fazlasını ya da tamamını uygular. Yürütülen işlemlerde 11 inci maddenin birinci fıkrası gereği ispat yükümlülüğü şirkettedir.
(4) Görsel kimlik tespiti esnasında kişinin, kimlik belgesini kameranın önünde yatay veya dikey olarak eğmesi ve müşteri temsilcisinin vereceği talimata göre ilave hareketler yapması sağlanır. Bu amaçla kişiden, kimlik belgesinin güvenlikle ilgili kısımlarından sistem tarafından değişken ve rastgele şekilde belirlenen kısımlarına parmağını koyması istenir.
(5) Müşteri temsilcisi, görüntülü görüşme sürecinde kişiyi ve kişi tarafından sunulan kimlik belgesinin ön ve arka yüzü ile birlikte belgenin üzerindeki bilgileri gösteren fotoğraflar ve/veya ekran görüntüleri oluşturur.
(6) Müşteri temsilcisi, kişinin hareketlerinden alınan, kesilen ve büyütülen tekil görselleri kullanarak, beyaz ışık altında görsel olarak ayırt edilebilen tüm güvenlik ögeleri ile birlikte kimlik belgesinin doğru açıyla tam olarak kapsandığından ve kimlik belgesinin üzerindeki kısımlar arasındaki geçiş noktalarında tahrifatı ve sahteliği gösteren hiçbir yapaylık bulunmadığından emin olur.
(7) Sunulan kimlik belgesinde bulunan veri ve bilgilerin geçerliliği ve gerçekliğine ilişkin doğrulama, uzaktan kimlik tespiti sürecinin bir parçası olarak gerçekleştirilir. Bu kapsamda asgari olarak;
a) Kimlik belgesinde bulunması gereken karakterlerin yazı tipi, düzeni, sayısı, büyüklüğü, aralığı ve tipografisi gibi belgeyi çıkaran yetkili makamca tanımlanan özelliklere sahip olduğu,
b) Kimlik belgesinin zarar görmemiş, tahrif edilmemiş, değiştirilmemiş ve özellikle üzerine sonradan fotoğraf yapıştırılmamış olduğu,
c) Kimlik belgesi geçerlilik süresinin söz konusu kimlik belgesinin sahip olduğu standartlara aykırı olmadığı,
ç) Kimlik belgesinin MRZ’sinde yer alan bilgiler ile kimlik belgesine ait bilgilerin uyuştuğu,
d) Kişiye ilişkin kimlik belgesinde yer alan bilgilerin şirket tarafından bilinen, Kimlik Paylaşımı Sisteminden alınan ve varsa kimlik tespiti yapmak amacıyla şirketin erişimine açık olan diğer bilgiler ile eşleştiği,
e) Kimlik belgesinde yer alan seri numarasının görüntülü görüşme sırasında kimlik belgesi üzerinden kişiye okutulması suretiyle seri numarası,
doğrulanır.
Kimliği tespit edilecek kişinin doğrulanması
MADDE 8 – (1) Uzaktan kimlik tespitinin görüntülü görüşme aşamasında kişinin canlılığını tespit edici yöntemler kullanılır. Şirket sahte yüz teknolojisine dair riskleri önlemeye yönelik ilave tedbirler alır.
(2) Uzaktan kimlik tespiti sürecinde kişinin yüzü ile kimlik belgesinden yakın alan iletişimi kullanılarak alınabilmesi halinde temassız yongadaki fotoğrafın, alınamaması halinde ise kimlik belgesi üzerinde yer alan fotoğrafın biyometrik karşılaştırması yapılır.
(3) Müşteri temsilcisi, kullanılan kimlik belgesindeki fotoğrafın ve kişisel bilgilerin kişi ile uyuştuğundan emin olur.
(4) Müşteri temsilcisi, kimlik tespiti sürecinde kişi ile kuracağı diyalog ve yapacağı gözlemler neticesinde kimlik belgesindeki bilgilerin, görüşme esnasında kişi tarafından sağlanan bilgilerin ve belirtilen niyetin inandırıcı ve yeterli olduğuna kanaat getirir. Bu kapsamda kimlik avına, sosyal mühendisliğe, başka bir tarafın zorlamasıyla baskı altında gerçekleşen hareketlere ve benzeri dolandırıcılık yöntemlerine ilişkin riskler göz önünde bulundurulur.
(5) Uzaktan kimlik tespitinin görüntülü görüşme aşamasının sonunda kişinin şirket tarafından verilecek hizmetler hakkında bilgilendirilmesi ve şirket müşterisi olacağını kabul ettiğine ilişkin sözlü onay alınması ile süreç tamamlanmış olur.
Görüntülü görüşmede sürecin sonlandırılması
MADDE 9 – (1) Zayıf ışık koşulları, düşük görüntü kalitesi ya da iletimi ve benzeri durumlar nedeniyle bu Yönetmelikte belirtildiği şekilde görsel doğrulama yapılmasının ve/veya kişi ile sözlü iletişim kurmanın mümkün olmadığı hallerde uzaktan kimlik tespitinin görüntülü görüşme aşaması sonlandırılır. Süreçte başkaca bir tutarsızlık veya belirsizlik bulunması durumunda da bu hüküm uygulanır.
(2) Uzaktan kimlik tespitinin görüntülü görüşme aşamasında kişi tarafından sunulan belgenin geçerliliği hususunda ya da dolandırıcılık veya sahtecilik teşkil edebilecek eylemlerden şüphe edilmesi durumunda, uzaktan kimlik tespiti süreci sonlandırılır.
Verilerin kaydedilmesi ve saklanması
MADDE 10 – (1) Uzaktan kimlik tespiti sürecinin tamamı, sürecin tüm adımlarını içerecek ve denetlenebilir olmasını sağlayacak şekilde kayıt altına alınır ve saklanır. Bilgi ve belge saklama gerekliliklerine ilişkin ilgili mevzuat hükümleri saklıdır.
Uzaktan kimlik tespitinde sorumluluk
MADDE 11 – (1) Uzaktan kimlik tespiti için kullanılan çözümlerin kişiyi yanlış tespit riskini en aza indirecek şekilde kullanılmasını sağlamak şirketin sorumluluğundadır. Şirket uzaktan kimlik tespiti ile kimlik tespiti yaptığı kişileri farklı bir risk profilinde izler. Bu kişilerce yapılan işlemin türüne ve tutarına bağlı olarak ilave güvenlik ve kontrol yöntemleri uygulanır. Kişilere ya da üçüncü bir tarafa yükümlülük doğuran işlemlerde itiraz halinde ispat yükümlülüğü şirkettedir.
(2) Şirketin Bilgi Sistemleri Tebliğinde ve bu Yönetmelikte yer alan hükümlere uyum durumunun, şikâyetler ile sahtecilik veya dolandırıcılık teşkil edebilecek eylemlerin değerlendirilmesi neticesinde ve gerekli görülen diğer hallerde uzaktan kimlik tespiti kullanımını kısıtlamaya veya durdurmaya Kurul yetkilidir.
ÜÇÜNCÜ BÖLÜM
Elektronik Ortamda Sözleşme İlişkisinin Kurulması
Kimlik doğrulama ve işlem güvenliği
MADDE 12 – (1) Bu Yönetmelikte aksi belirtilmedikçe, müşteri bilgilerinin görüntülenmesi gibi finansal sonuç veya yükümlülük doğurmayan işlemler hariç olmak üzere elektronik ortamda sunulan hizmetler için şirketin müşterilerine birbirinden bağımsız en az iki bileşenden oluşan bir kimlik doğrulama mekanizması uygulaması ve bu bileşenlerin kimlik doğrulama sürecinde kullanılmaları esnasında barındırdıkları kimlik doğrulama verilerinin gizliliğini sağlayacak önlemleri alması esastır. Bu iki bileşen; müşterinin “bildiği”, “sahip olduğu” veya “biyometrik bir karakteristiği olan” unsur sınıflarından farklı ikisine ait olmak üzere seçilir. Bileşenlerin bağımsız olması, bir bileşenin ele geçirilmesinin diğer bileşenin güvenliğini tehlikeye atmamasını ifade eder. Müşterinin sahip olduğu bileşenin müşteriye özgü olması ve taklit edilememesi esastır.
(2) Kimlik doğrulamada T.C. Kimlik Kartının kart PIN’i veya biyometrik veri ile birlikte kullanılması veya elektronik imzanın kullanılması hallerinde birinci fıkranın gerekleri yerine getirilmiş sayılır.
(3) Kurum, birinci fıkranın uygulanmasına ilişkin istisna veya ilave güvenlik önlemleri tanımlamaya veya ilave usul ve esaslar belirlemeye yetkilidir. Birinci fıkraya uygun olmayacak şekilde iki bileşenli kimlik doğrulama kullanılmaksızın gerçekleştirilen her türlü işlem için, gerçekleştirilen işlemlerin müşteri tarafından yapıldığını ispat etme yükümlülüğü şirkete aittir.
(4) Kullanıcılara uygulanacak kimlik doğrulama mekanizmasında kullanılacak bileşenlerin üretim aşamalarından başlayarak kullanıcıya ulaştırılmasına kadar geçen sürecin tamamı boyunca güvenliği sağlanır.
(5) Kimlik doğrulamada kullanılacak şifreleme anahtarları; bu anahtarların ele geçirilme ihtimallerini en aza indiren, gizliliğini sağlayan, değiştirilmesini ve bozulmasını önleyen yöntemler barındıracak şekilde müşteri kullanımına sunulur.
(6) Kullanıcılara uygulanacak kimlik doğrulama mekanizmasının, başarısız kimlik doğrulama teşebbüsleri hakkında ilgili kullanıcıya sisteme ilk girdiği anda bilgi vermesi sağlanır. Başarısız teşebbüslerin belirli bir sayıyı aşması halinde müşterinin erişimi için ilave güvenlik önlemleri alınır, başarısız kimlik doğrulama teşebbüslerinin devam etmesi halinde ise ilgili kullanıcının erişimi engellenir.
(7) Şirket, mobil uygulamasını yükleyerek aktifleştirmiş olan müşterilerine, oturum açma ya da oturumun devamında herhangi bir işlemin doğrulanması için hiçbir şekilde SMS ile OTP ya da doğrulama kodu gönderemez ve bunu bir kimlik doğrulama unsuru olarak kullanamaz. Mobil uygulamanın ilk kurulumu, aktifleştirilmesi, yeniden aktifleştirilmesi aşamalarında ya da uygulamanın kullanılamaz olması durumunda SMS ile OTP ya da doğrulama kodu gönderilmesi bu fıkra hükmüne aykırılık teşkil etmez.
(8) Şirket, SIM kart değişikliği gerçekleştirmiş veya numara taşıma yoluyla elektronik haberleşme işletmecisini değiştirmiş müşterilerini Türkiye’de yerleşik mobil haberleşme işletmeleriyle gerekli entegrasyonu sağlayarak SMS OTP göndermeden önce belirler ve ilgili müşterilere, değişiklikler teyit edilmediği müddetçe, değişikliğin yapıldığı tarihten itibaren 90 gün boyunca elektronik ortamdaki hizmetler sunulurken SIM karta dayalı unsur kimlik doğrulama unsuru olarak kullanılamaz. Değişiklikler teyit edilirken iki bileşenli kimlik doğrulama kullanılmaksızın gerçekleştirilen her türlü işlem için, gerçekleştirilen işlemlerin müşteri tarafından yapıldığını ispat etme yükümlülüğü şirkete aittir.
(9) Müşterilere kimlik ya da işlem doğrulama amacıyla kullandırılacak tek kullanımlık parolaların, tahmin edilmesi zor olacak şekilde yeterli uzunlukta, rastgele, değişken ve eşsiz olarak üretilmesi ve belirli bir süre için geçerli olması sağlanır.
(10) Müşterinin kimliğini tespit etmeye yarayan ve resmî kimlik belgesi yerine geçen belgeler üzerinde yer alan bilgiler ile anne kızlık soyadı, elektronik ortamdaki hizmetlerin sunulması esnasında hiçbir aşamada kimlik doğrulama amacıyla kullanılamaz. Şirketin kimlik doğrulamada müşterinin bildiği unsur olarak bir güvenlik sorusu kullanmak istemesi durumunda, bu güvenlik sorusunun resmî kimlik belgesi yerine geçen belgeler üzerinde yer alan bilgilerden birine ilişkin olmaması ve cevabının müşterinin kendisi tarafından belirleniyor olması gerekir.
(11) Şirketin elektronik ortamda sunulan hizmetlerinde kullanmak üzere müşterilerine sunduğu her türlü yazılım ya da mobil uygulamanın kaynağının, ilgili şirket olduğunun doğrulanabiliyor olması sağlanır. Şirket bu yazılım ya da mobil uygulamaların, müşteri güvenliğini tehlikeye sokacak herhangi bir kod içermemesini sağlamakla, güvenlik açıklarını giderecek gerekli yamaları ve güncellemeleri müşteri kullanımına sunmakla yükümlüdür.
(12) Şirket, akıllı telefonlar gibi birden fazla kimlik doğrulama bileşeninin şirkete iletilmesinde kullanılan mobil cihazlar üzerindeki uygulamaların kullandığı hassas verilerin, aynı mobil cihaz üzerindeki diğer uygulamalar ve çalışmakta olan işlemler tarafından erişilemez olmasını sağlayacak önlemler alır. Şirket, söz konusu mobil cihazların kaybolması ya da çalınması halinde bunlar üzerindeki hassas verilerin yetkisiz kişilerce erişilemez olmasını sağlamak ve mobil cihazların ele geçirilmesi, güvenilirliğinin bozulması, işletim sistemi yazılımının kırılması veya değiştirilmesi gibi hallerden kaynaklanacak risklerin azaltılması amacıyla günün teknolojisine uygun kontroller tesis etmekle yükümlüdür.
(13) Elektronik ortamda sunulan hizmetlerde birinci fıkraya göre gerçekleştirilecek kimlik doğrulama işlemi için müşteriye atanmış bir şifreleme gizli anahtarı ile imzalanacak şekilde tek kullanımlık bir doğrulama kodu üretilir. Doğrulama kodu aracılığıyla birinci fıkrada belirtilen kimlik doğrulama unsurlarından hiçbiri hakkında bilgi edinilememesi, bilinen bir doğrulama kodu ile geçerli başka doğrulama kodlarının türetilememesi, doğrulama kodlarının taklit edilememesi sağlanır. Müşteriye atanmış bir şifreleme gizli anahtarı ile doğrulama kodunun imzalanmasının mümkün olmadığı hallerde, yedinci fıkra hükmü saklı kalmak kaydıyla SMS yoluyla müşteriye doğrulama kodu iletilebilir.
(14) Elektronik ortamda sunulan hizmetin mobil uygulama vasıtasıyla verilmesi durumunda, uygulama PIN’inin veya müşteriye ait bir biyometrik kimlik doğrulama bileşeninin müşteriye özgü bir şifreleme anahtarına erişmek üzere kullanılması ve bu şifreleme anahtarı yoluyla müşteriyle ilintili eşsiz bir bilginin şirket nezdinde çevrimiçi olarak doğrulanması halinde, birinci fıkrada belirtilen iki bileşenli kimlik doğrulama yerine getirilmiş kabul edilir.
Kimlik tespitini müteakip sözleşme ilişkisinin kurulması
MADDE 13 – (1) Bu Yönetmelikte yer alan şartlar dâhilinde uzaktan kimlik tespitinin yapılmasını ya da müşteri kimliğinin yüz yüze tespit edilmesini müteakiben, müşterilerce gerçekleştirilmek istenen işlemlere yönelik sözleşme ilişkisinin internet veya mobil hizmet kanalları üzerinden mesafeli olarak kurulması durumunda, müşterinin sözleşmeyi kuran irade beyanının aynı kanallar üzerinden 12 nci maddenin birinci fıkrasına uygun olarak gerçekleştirilmiş bir kimlik doğrulama sonrasında alınması şarttır.
(2) Bu Yönetmelikte yer alan şartlar dâhilinde uzaktan kimlik tespitinin yapılmasını ya da müşteri kimliğinin yüz yüze tespit edilmesini müteakiben, mesafeli olsun olmasın, müşterilerce gerçekleştirilmek istenen işlemlere yönelik olarak bir bilişim veya haberleşme cihazı üzerinden yazılı şeklin yerine geçecek nitelikte bir sözleşme ilişkisi kurulabilmesi için;
a) Söz konusu sözleşmenin bütün şartlarının, müşterinin okuyabileceği şekilde internet veya mobil hizmet kanalları üzerinden müşteriye iletilmesi,
b) (a) bendine göre müşteriye iletilen sözleşme ve bu sözleşme ile birlikte müşterinin sözleşmeyi kuran irade beyanının, 12 nci maddenin on üçüncü fıkrası ile on dördüncü fıkrasında belirtilen müşteriye özgü şifreleme gizli anahtarı ile imzalanarak şirkete iletilmesi,
c) (a) bendine göre iletilen sözleşmede müşteriye sözleşme içeriği olarak hangi bilgiler gösterilmiş ise (b) bendine göre müşteri tarafından yalnızca o bilgilerin imzalanmasının sağlanması,
şarttır.
(3) Müşteriye sunulacak hizmetlere yönelik olarak şirket ile müşteri arasındaki ilişkileri düzenleyen ve resmî şekle veya özel bir merasime tabi olmayan her türlü sözleşme ilişkisinin;
a) İkinci fıkraya uygun olarak elektronik ortamda kurulması ya da
b) Müşterinin sözleşmeyi kuran irade beyanının uzaktan kimlik tespitinin görüntülü görüşme aşamasında kimlik tespitini müteakip alınması suretiyle mesafeli olarak kurulması,
hallerinde bu sözleşmeler için yazılı şekil şartı gerçekleşmiş sayılır.
DÖRDÜNCÜ BÖLÜM
Çeşitli ve Son Hükümler
Yapay zekâ temelli uygulamalar
MADDE 14 – (1) 7.500 TL tutarını aşmayan işlemlerde bu Yönetmelikte ifade edilen müşteri temsilcisinin yapacağı işlemlerin yapay zekâ temelli yöntemler ile yapılabilmesine ilişkin esasları belirlemeye Kurul yetkilidir.
Yürürlük
MADDE 15 – (1) Bu Yönetmelik yayımı tarihinden bir ay sonra yürürlüğe girer.
Yürütme
MADDE 16 – (1) Bu Yönetmelik hükümlerini Bankacılık Düzenleme ve Denetleme Kurumu Başkanı yürütür.