Türkiye Cumhuriyet Merkez Bankası (TCMB) ödeme ve elektronik para kuruluşlarına yönelik yeni bir düzenlemeyi bu sabah Resmi Gazete'de yayınladı.
Emlak Pencerem / Ekonomi Haberleri - 1 Aralık 2021 - İstanbul
Türkiye Cumhuriyet Merkez Bankasından:
ÖDEME VE ELEKTRONİK PARA KURULUŞLARININ BİLGİ SİSTEMLERİ İLE ÖDEME HİZMETİ SAĞLAYICILARININ ÖDEME HİZMETLERİ ALANINDAKİ VERİ PAYLAŞIM SERVİSLERİNE İLİŞKİN TEBLİĞ
BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak ve Tanımlar
Amaç ve kapsam
MADDE 1 – (1) Bu Tebliğin amacı, ödeme kuruluşları ve elektronik para kuruluşlarının faaliyetlerinin yürütülmesinde kullandıkları bilgi sistemlerinin yönetimi ve yetkilendirilmiş bağımsız denetim kuruluşları tarafından denetlenmesi ile ödeme hizmeti sağlayıcılarının ödeme hizmetleri alanındaki veri paylaşım servislerine ilişkin usul ve esasları düzenlemektir.
Dayanak
MADDE 2 – (1) Bu Tebliğ, 20/6/2013 tarihli ve 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanunun 12 nci, 14 üncü, 14/A, 18 inci ve 21 inci maddelerine dayanılarak hazırlanmıştır.
Tanımlar ve kısaltmalar
MADDE 3 – (1) Bu Tebliğde yer alan;
a) Açık rıza: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 3 üncü maddesinin birinci fıkrasının (a) bendinde tanımlanan açık rızayı,
b) Alıcı: Ödeme işlemine konu fonun ulaşması istenen gerçek veya tüzel kişiyi,
c) Anonim ön ödemeli araç: Herhangi bir şekilde ödeme hesabına bağlı olmayan ve kimlik tespiti veya doğrulaması yapılmamış, önceden ödeme ya da yükleme yapılması suretiyle kullanılabilir hale gelen, tekrar yükleme yapılma imkanı bulunan veya bulunmayan şekilde ihraç edilebilen ve yüklenen bakiye kadar kullanıma izin verilen ön ödemeli aracı,
ç) API: Farklı yazılımların birbirleri üzerinde tanımlanmış servisleri kullanabilmesi ve aralarında veri alışverişi yapabilmesi için belirli koşul ve kurallar çerçevesinde oluşturulmuş arayüzleri,
d) Aydınlatma: 6698 sayılı Kanunun 10 uncu maddesi kapsamında yapılacak bilgilendirmeyi,
e) Bağımsız denetim kuruluşu: Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumu tarafından yetkilendirilmiş bağımsız denetim kuruluşlarından Bankacılık Düzenleme ve Denetleme Kurumu tarafından yayımlanan Bankalarda Bilgi Sistemleri Denetimi Yapmaya Yetkili Bağımsız Denetim Kuruluşları listesinde yer alan bağımsız denetim kuruluşunu,
f) Banka: Türkiye Cumhuriyet Merkez Bankası Anonim Şirketini,
g) Banka ödeme sistemi: Banka tarafından işletilen ödeme sistemlerini,
ğ) Bilgi sistemleri: Ödeme hizmetine ilişkin faaliyetlerin yürütülmesi amacıyla ödeme hizmeti sağlayıcısının bilgi ve verilerle ilgili olarak mevzuatla belirlenmiş sorumluluklarının yerine getirilmesini sağlayan donanım, yazılım, veri, süreç ve insan kaynağından oluşan yapının tamamını,
h) Bilgi varlığı: Kurumsal bilgiye erişimde ve bu bilginin işlenmesinde, iletilmesinde, saklanmasında, korunmasında ve imhasında kullanılan donanım, yazılım, belge, veri ve insan gibi her türlü kaynağı,
ı) Birincil merkez: Birincil sistemlerin tesis edildiği yapıyı,
i) Birincil sistemler: Kanun, Yönetmelik, bu Tebliğ ve Bankaca Kanun kapsamında çıkarılacak ilgili diğer düzenlemelerde yer alan hususlarla ilgili bütün bilgilerin, elektronik ortamda güvenli ve istenildiği an erişime imkân sağlayacak şekilde saklanıldığı sistemler ile faaliyetlerin yürütülmesinde kullanılan altyapı, donanım, yazılım ve veriden oluşan sistemin tamamını,
j) Biyometrik veri: Kimlik doğrulama işlemlerinin gerçekleştirilmesi esnasında kullanılan retina, iris, yüze ait karakteristik özellikler, ses ve parmak izi benzeri kişiye özgü ölçülebilir biyolojik veya davranışsal karakteristiği,
k) BKM: Bankalararası Kart Merkezi Anonim Şirketini,
l) BKM-API Geçidi: Kanunun 12 nci maddesinin birinci fıkrasının (f) ve (g) bentlerinde yer alan ödeme hizmetlerinin sunulması için Yönetmeliğin 59 uncu maddesinin beşinci fıkrası uyarınca BKM tarafından kurulacak yapıyı,
m) BSDHY: 13/1/2010 tarihli ve 27461 sayılı Resmî Gazete’de yayımlanan Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmeliği,
n) Değişiklik yönetimi: Önceden belirlenmiş prosedürlerin kullanımı yoluyla bilgi sistemleri ile ilgili tüm değişikliklerin etkin ve güvenli bir şekilde ve zamanında gerçekleştirilmesini sağlamayı ve bu değişikliklerden kaynaklanabilecek olayların sayısı ile bu olayların sunulan hizmetler üzerindeki etkisini asgari düzeye indirmeyi amaçlayan bilgi sistemleri hizmet yönetimi disiplinini,
o) Denetim izleri: Bir finansal ya da operasyonel işlemin başlangıcından bitimine kadar adım adım takip edilmesini sağlayacak kayıtlar ile bilgi varlıklarına kimin eriştiğini veya erişmeye çalıştığını ve kullanıcının hangi işlemleri gerçekleştirdiğini gösteren kayıtları,
ö) Dış hizmet sağlayıcı: Kuruluşun, Yönetmeliğin 21 inci maddesi çerçevesinde münhasıran kendisi tarafından yapılması gerekenler dışında kalan faaliyetlerini kuruluş adına gerçekleştiren ya da gerçekleştirilmesinde kuruluşa yardımcı nitelikte hizmet veren tüzel kişiyi,
p) Elektronik kanal: Müşterilerin ödeme hizmeti sağlayıcısının fiziksel şube ve temsilcilerine gitmeden uzaktan ödeme hizmeti alabildikleri mobil uygulama, internet şubesi, telefon hizmetleri, ATM, kiosk cihazı, API ve benzeri her türlü elektronik hizmet yöntemini,
r) Elektronik para: Elektronik para ihraç eden kuruluş tarafından kabul edilen fon karşılığı ihraç edilen, elektronik olarak saklanan, Kanunda tanımlanan ödeme işlemlerini gerçekleştirmek için kullanılan ve elektronik para ihraç eden kuruluş dışındaki gerçek ve tüzel kişiler tarafından da ödeme aracı olarak kabul edilen parasal değeri,
s) Elektronik para ihraç eden kuruluş: Elektronik para kuruluşlarını, 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanunu kapsamındaki bankaları ve Posta ve Telgraf Teşkilatı Anonim Şirketini,
ş) Elektronik para kullanıcısı: Gönderen, alıcı veya her ikisi sıfatıyla elektronik para ihraç eden kuruluşların sunduğu elektronik para ihracı ve fona çevirme hizmetlerinden faydalanan gerçek veya tüzel kişiyi,
t) Elektronik para kuruluşu: Kanun kapsamında elektronik para ihraç etme yetkisi verilen tüzel kişiyi,
u) Fon: Banknot, madeni para, kaydi para veya elektronik parayı,
ü) Gönderen: Kendi ödeme hesabından veya ödeme hesabı bulunmaksızın ödeme emri veren gerçek veya tüzel kişiyi,
v) Güçlü kimlik doğrulama: Kimlik doğrulamada kullanılan ve bir bileşenin ele geçirilmesinin diğer bileşenin güvenliğini tehlikeye atmayacağı en az iki bileşenden oluşan, bu iki bileşenin de müşterinin bildiği, sahip olduğu veya biyometrik bir karakteristiği olan bileşen sınıflarından farklı ikisine ait olacak şekilde seçildiği yöntemi,
y) Güvenli bileşen: İçinde barındırdığı gizli verilerin yetkisiz kişilerce erişilmesine, kopyalanmasına ve kendi dışına çıkarılmasına imkân vermeyen SIM kart, akıllı kart gibi bileşeni,
z) Hassas müşteri verisi: Ödeme emrinin verilmesinde veya müşterinin kimliğinin doğrulanmasında kullanılan ve üçüncü kişilerce ele geçirilmesi veya değiştirilmesi halinde dolandırıcılık ya da müşteri adına sahte işlem yapılmasına imkân verebilecek kişisel veriler ile müşteri güvenlik bilgilerini,
aa) Hesap bilgisi hizmeti: Kanunun 12 nci maddesinin birinci fıkrasının (g) bendinde tanımlanan hizmeti,
bb) Hesap bilgisi hizmeti sağlayıcısı - HBHS: Kanunun 12 nci maddesinin birinci fıkrasının (g) bendinde tanımlanan ödeme hizmetini sunan tüzel kişiyi,
cc) Hesap hizmeti sağlayıcısı (HHS): Nezdinde ödeme hesabı bulunan ödeme hizmeti sağlayıcısı,
çç) Hizmet seviyesi: Hizmetlerin maliyeti ile söz konusu hizmetleri alanların gereksinim ve beklentilerinin göz önünde bulundurulması suretiyle, hizmeti sunan tarafından hizmetin içeriği ile kalitesine ilişkin yazılı olarak önceden belirlenen ve ilgili taraflarla paylaşılan seviyeyi,
dd) İkincil merkez: Birincil merkezin kullanılamadığı durumlarda, birincil ve ikincil sistemlere kullanıma hazır olacak şekilde erişilebildiği, personelin çalışmasına imkân tanıyacak ve birincil merkezin tesis edildiği yapı ile aynı riskleri taşımayacak şekilde oluşturulmuş yapıyı,
ee) İkincil sistemler: Birincil sistemler aracılığı ile yürütülen faaliyetlerde bir kesinti olması halinde, bu faaliyetlerin iş sürekliliği planında belirlenen kabul edilebilir kesinti süreleri içerisinde sürdürülür hale getirilmesini ve Kanun, Yönetmelik, bu Tebliğ ve Bankaca Kanun kapsamında çıkarılacak ilgili diğer düzenlemelerde yer alan hususlarla ilgili bütün bilgilere erişilmesini sağlayan birincil sistem yedeklerini,
ff) İnsansız hizmet noktası: Müşterilerin, ödeme işlemi ya da elektronik para ile ilgili işlemleri kendi kendine yapabildiği, sahipliği bir veya birden fazla kuruluşa ait olan ve fiziki bir lokasyonu bulunan ATM, kiosk gibi cihazları,
gg) İnternet şubesi: Müşterilerin, ödeme hizmeti sağlayıcılarının Kanun kapsamında sundukları hizmetlere, kullandıkları cihaz ya da platformdan bağımsız olarak, internet yoluyla ulaşabildiği ve kendilerine ait finansal veya kişisel verileri görüntüleyebildiği, değiştirebildiği ya da finansal sorumluluk yaratacak işlemler gerçekleştirebildiği ve hizmetlerin internet sitesi üzerinden sunulduğu elektronik kanalları,
ğğ) İşlem bilgisi: Gerçekleştirilen işleme ilişkin işlem zamanını, işlemin niteliğini ve ödeme işlemi için ödeme emrinin masraf, komisyon ve ücretler de dahil hesabın borçlandırılacağı toplam tutarını ve ödemenin göndereni ile alıcısını veya toplu ödeme emrinin masraf, komisyon ve ücretler de dahil hesabın borçlandırılacağı toplam tutarını ve göndereni ile alıcılarını içeren bilgiyi,
hh) İşlem doğrulama kodu: Kimlik doğrulama yöntemlerinden biriyle kendisini sisteme tanıtan bir müşterinin gerçekleştirmek istediği işleme özgü olmak ve belirli bir geçerlilik süresi içinde işlem onayında kullanılmak üzere oluşturulan, finansal sonuç doğuran işlemlerde kişiye onay anında ilgili işlem bilgisi ile birlikte gösterilen ve alıcı veya tutarın değişmesiyle geçersiz hale gelen bilgiyi,
ıı) İşyeri: Ödeme hizmeti sağlayıcısı ile yaptığı sözleşme çerçevesinde ödeme hizmeti kapsamına giren bir ödeme yöntemi ile mal ve hizmet satmayı kabul eden gerçek veya tüzel kişiyi,
ii) Kanun: 20/6/2013 tarihli ve 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanunu,
jj) Karşılıklı doğrulama: İletişimde bulunan bilgi sistemlerinin birbirlerinin kimliklerinden emin olmalarını sağlamak amacıyla kullanılan, iki tarafın da kendi kimliğini diğer tarafa doğruladığı kimlik doğrulama yöntemini,
kk) Kesinti: Planlı olanlar dışında, ödeme hizmeti sağlayıcısının Kanun kapsamındaki faaliyetlerine ilişkin operasyonel iş ve süreçlerinin sekteye uğramasını,
ll) Kimlik doğrulama: Bildirilen bir kimliğin gerçekten bildiren kişiye ait olduğuna dair güvence sağlayan mekanizmayı,
mm) Kimlik tanımlayıcı: Ödeme hizmeti sağlayıcısı tarafından kimliğinin belirlenmesi ve diğer kullanıcılardan ayırt edilmesi amacıyla müşteriye özgülenen sayı, harf veya sembollerden oluşan kombinasyonu,
nn) Kişisel veri: 6698 sayılı Kanunun 3 üncü maddesinin birinci fıkrasının (d) bendinde tanımlanan bilgiyi,
oo) Kullanıcı: Personel veya müşteri gibi ödeme hizmeti sağlayıcısının bilgi sistemleri üzerinde işlem gerçekleştirmek üzere kendilerine hesap tanımlanmış olan her türlü kullanıcıyı,
öö) Kuruluş: Ödeme kuruluşları ve elektronik para kuruluşlarını,
pp) Mobil uygulama: Akıllı telefon veya tablet gibi mobil bir cihazda bulunan ödeme hizmeti sağlayıcısına ait uygulama üzerinden müşterilerin Kanun kapsamına giren işlemlerini gerçekleştirebildikleri özelleşmiş elektronik kanalı,
rr) Mobil uygulama etkinleştirme: Mobil uygulama için müşterinin mobil cihazının müşteri ile eşleştirilmesini,
ss) Müşteri: Ödeme hizmeti kullanıcısı ile elektronik para kullanıcısını,
şş) Müşteri bilgisi: Müşterilere ait, işlem bilgisi, bakiye bilgisi, kişisel veri, kimlik tanımlayıcısı, unvan dahil olmak üzere müşterinin kişisel ve finansal durumuna ilişkin doğrudan veya dolaylı yoldan edinilen her türlü bilgiyi,
tt) Müşteri güvenlik bilgileri: Kimlik doğrulama işleminin yapılması amacıyla ödeme hizmeti sağlayıcısı tarafından müşterisine verilen veya müşteri tarafından belirlenerek ödeme hizmeti sağlayıcısı ile mutabık kalınan özelleştirilmiş bilgiyi,
uu) Olay: Bilgi sistemlerinin işleyişinde bir kesintiye ya da siber olay dâhil hizmet kalitesinde düşüşe neden olan her türlü gelişmeyi,
üü) Oturum: Kullanıcıların elektronik kanallar üzerinden kimlik doğrulama mekanizması ile bilgi sistemlerine dâhil olmalarından işlemlerini tamamlayıp sistemden ayrılmalarına kadar geçecek tüm süreci kapsayacak şekilde tesis edilen, veri aktarımı, sunuşu veya gerçekleştirilecek finansal işlemler için taraflar arasında kurulan mantıksal bağı,
vv) Ödeme aracı: Ödeme hizmeti sağlayıcısı ile müşteri arasında belirlenen ve müşteri tarafından ödeme emrini vermek için kullanılan kart, cep telefonu, şifre ve benzeri kişiye özel aracı,
yy) Ödeme emri: Müşteri tarafından ödeme işleminin gerçekleşmesi amacıyla ödeme hizmeti sağlayıcısına verilen talimatı,
zz) Ödeme emri başlatma hizmeti: Kanunun 12 nci maddesinin birinci fıkrasının (f) bendinde tanımlanan hizmeti,
aaa) Ödeme emri başlatma hizmeti sağlayıcısı - ÖBHS: Kanunun 12 nci maddesinin birinci fıkrasının (f) bendinde belirtilen ödeme hizmetini sunan tüzel kişiyi,
bbb) Ödeme hesabı: Müşteri adına açılan ve ödeme işleminin yürütülmesinde kullanılan hesabı,
ccc) Ödeme hizmeti: Kanunun 12 nci maddesi çerçevesinde ödeme hizmeti olarak kabul edilen hizmetleri,
ççç) Ödeme hizmeti kullanıcısı: Gönderen, alıcı veya her ikisi sıfatıyla belirli bir ödeme hizmetinden faydalanan gerçek veya tüzel kişiyi,
ddd) Ödeme hizmeti sağlayıcısı: 5411 sayılı Kanun kapsamındaki bankalar, elektronik para kuruluşları, ödeme kuruluşları ve Posta ve Telgraf Teşkilatı Anonim Şirketini,
eee) Ödeme işlemi: Gönderen veya alıcının talimatı üzerine gerçekleştirilen fon yatırma, aktarma veya çekme faaliyetini,
fff) Ödeme kuruluşu: Ödeme hizmeti sağlamak ve gerçekleştirmek için Kanun kapsamında yetkilendirilmiş tüzel kişiyi,
ggg) Ön ödemeli araç: Müşterinin ödemelerde kullanılabilecek fonu ödeme aracını ihraç eden ödeme hizmeti sağlayıcısına harcama yapmadan önce ödediği ve ödenene eşdeğer tutarda fonun elektronik para olarak ödeme hizmetlerinde kullanılmasına imkân veren fizikî veya fizikî varlığı bulunmayan ödeme aracını,
ğğğ) Parola: Kimlik doğrulamada kullanılan, harf, rakam ve/veya özel işaretlerden oluşan ve gizli olan karakter dizisini,
hhh) Personel: Kuruluş personeli, temsilci personeli ve dış hizmet sağlayıcı çalışanı gibi kuruluşun bilgi sistemleri üzerinde işlem gerçekleştirmek üzere kendilerine yetki verilmiş olan her türlü kullanıcıyı,
ııı) Proje yönetimi: Önceden belirlenmiş metodolojilerin kullanımı yoluyla bilgi sistemleri projelerinin, öngörülen zaman planına, bütçeye ve kalite düzeyine uygun olarak tamamlanmasını temin edecek şekilde planlanmasını, organizasyonunu ve yürütülmesini sağlayan süreci,
iii) Rekabete duyarlı veri: Ücret, komisyon, faiz gibi fiyat ile ilişkilendirilebilir her türlü niceliksel veriyi,
jjj) Risk bazlı kimlik doğrulama: Çeşitli risk faktörlerinin dinamik bir şekilde değerlendirilmesi suretiyle kimlik doğrulama sürecinin düşük risk profili için kolaylaştırılması, yüksek risk profili için daha kapsamlı ve kısıtlayıcı hale getirilmesi yaklaşımını,
kkk) Sızma testi: Bilgi sistemlerinin güvenlik açıklarını istismar edilmeden önce tespit etmek ve düzeltmek amaçlı gerçekleştirilen testi,
lll) Siber olay: 11/11/2013 tarihli ve 28818 sayılı Resmî Gazete'de yayımlanan Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğin 3 üncü maddesinde tanımlanan siber olayı,
mmm) Siber olaya müdahale: Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğin 3 üncü maddesinde tanımlanan siber olaya müdahaleyi,
nnn) SMS OTP: Elektronik haberleşme işletmecilerinin sunduğu SMS servisi aracılığıyla iletilen tek kullanımlık parolayı,
ooo) Sorun: Bir veya daha fazla olayın kök nedenini,
ööö) Sürekli iş ilişkisi: 10/12/2007 tarihli ve 2007/13012 sayılı Bakanlar Kurulu Kararı ile yürürlüğe konulan Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelikte tanımlanan sürekli iş ilişkisini,
ppp) Tek kullanımlık parola: Kimlik doğrulamada sadece bir kez kullanılmak üzere rastgele oluşturulan harf, rakam ve/veya özel işaret dizisini,
rrr) Temsilci: Kuruluş adına ve hesabına hareket eden gerçek veya tüzel kişiyi,
sss) Terminal: Ödeme aracı üzerindeki bilgiler ile hassas müşteri verilerini esas alarak her türlü mal ve hizmet alımı veya nakit ödeme belgesi düzenlenmesi işlemleri ile ödeme işlemlerinin ve elektronik para ile ilgili işlemlerin gerçekleştirilmesinde kullanılan, ödeme hizmeti sağlayıcı tarafından temin edilen elektronik cihaz ya da yazılımı,
şşş) Uçtan uca güvenli iletişim: İletişime konu veriye sadece alıcısının erişebilmesi amacıyla, söz konusu verinin gönderen tarafından sadece alıcının çözebileceği şekilde şifrelenerek iletilmesini,
ttt) Uzaktan iletişim aracı: Mektup, katalog, telefon, faks, radyo, televizyon, elektronik posta mesajı, internet, SMS hizmetleri gibi fiziksel olarak karşı karşıya gelinmeksizin sözleşme kurulmasına imkan veren her türlü araç veya ortamı,
uuu) Üst yönetim: Kuruluşun yönetim kurulu üyeleri, genel müdür ve genel müdür yardımcıları, iç kontrol ve risk yönetimi birimlerinin yöneticileri ile başka unvanlarla istihdam edilseler dahi, danışmanlık birimleri dışındaki birimlerin, yetki ve görevleri itibarıyla genel müdür yardımcısına denk veya daha üst konumlarda görev yapan yöneticilerini,
üüü) Veri paylaşım servisleri: Müşteriler adına hareket eden tarafların API’ler vasıtasıyla HHS’nin sunduğu ödeme hizmetlerine uzaktan erişerek Kanun kapsamına giren işlemleri gerçekleştirebildikleri veya bu tür işlemlerin gerçekleştirilmesi için HHS’ye talimat verdikleri elektronik kanalı,
vvv) Yama: Programlarda tespit edilen güvenlik açıkları veya programın içeriğindeki hatalı bir fonksiyonu düzeltme amaçlı hazırlanan program eklentisini,
yyy) Yönetmelik: 1/12/2021 tarihli ve 31676 sayılı Resmî Gazete’de yayımlanan Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmeliği,
ifade eder.
İKİNCİ BÖLÜM
Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler
Bilgi sistemleri yönetimine ilişkin genel hükümler
MADDE 4 – (1) Kuruluş, bilgi sistemlerine ilişkin faaliyetlerini yürütürken işleyişinden sorumlu olduğu hizmetin kesintisiz, güvenli, etkin ve verimli bir şekilde çalışması amacını öncelikli olarak gözetir.
(2) Kuruluş, bilgi sistemlerini Kanun kapsamında yürütmekte olduğu faaliyetlerin konusu, hacmi, karmaşıklığı ve kapsamı ile uyumlu ve kişisel verilerin güvenliğine yönelik gerekli idari ve teknik tedbirlere uygun şekilde tesis eder ve teknolojik gelişmeleri de dikkate alarak günceller.
(3) Kuruluş, bilgi sistemleri yönetimine ilişkin politikaları, ana strateji ve hedefleri ile uyumlu şekilde yazılı olarak oluşturur, yılda en az bir defa olmak üzere düzenli olarak gözden geçirir ve gerekli durumlarda günceller. Bilgi sistemleri yönetimine ilişkin politikaların yönetim kurulu tarafından onaylanması zorunludur.
(4) Kuruluş, Kanun kapsamındaki faaliyetleri ile ilgili her türlü yönetim faaliyetlerini bilgi sistemleri yönetimini de kapsayacak şekilde, bütüncül bir yaklaşım içerisinde ve kurumsal yönetim uygulamaları çerçevesinde gerçekleştirir ve bilgi sistemleri yönetimine ilişkin unsurları organizasyon yapısı içerisinde, kuruluşun büyüklüğü ile faaliyetlerinin karmaşıklığını gözeterek uygun yere yerleştirir.
(5) Kuruluş, bilgi sistemleri ile ilgili olarak organizasyon yapısı içerisinde yer alan birimlerin görev ve sorumlulukları ile bu birimlerdeki personelin görev tanımlarını açık, anlaşılır ve yazılı olarak oluşturur. Bu fıkra uyarınca hazırlanan dokümanlar yönetim kurulunca onaylanır. Dokümanların uygunluğu yılda en az bir defa gözden geçirilir.
(6) Bilgi sistemlerinin yönetimi konusunda görev alan personelin kendilerine atanan görev ve sorumluluklarla ilgili farkındalıklarının oluşturulması ile görev ve sorumluluklarda meydana gelecek değişikliklerden haberdar olması sağlanır.
(7) Kuruluş, bilgi sistemleri yönetimine ilişkin görev, yetki ve sorumlulukları açıkça belirler ve bilgi sistemleri yönetimi için gerekli her türlü kaynağı sağlar.
(8) Kuruluş, bilgi sistemleri yönetimine ilişkin faaliyetlerin politika, düzenleme ve genel kabul görmüş ilgili uluslararası standartlara uyumlu olduğunu kontrol etmek üzere Yönetmeliğin 26 ncı maddesi uyarınca oluşturulan iç kontrol sisteminin içerisinde gerekli fonksiyonu oluşturur. Bu konularda çalışacak personelin gerekli deneyim ve bilgi birikimine sahip olması gerekir.
(9) Bilgi sistemleri yönetiminin bu Tebliğde yer alan hükümlere uygun şekilde yürütülmesinden kuruluşun yönetim kurulu sorumludur.
(10) Yönetmeliğin 11 inci maddesi uyarınca faaliyet izni başvurusunda bulunulduğunda, nihai onay aşamasından önce olmak üzere, bilgi sistemleri altyapısından sorumlu yöneticinin atamasının yapılmış olması gerekir. Ataması yapılacak yöneticinin bilgi sistemleri sektöründe benzer ölçekteki proje ekiplerinde yer almış olması gerekir.
(11) Yönetmeliğin 11 inci maddesi uyarınca faaliyet izni başvurusunda bulunulduğunda, nihai onay aşamasından önce olmak üzere, bir yıllık iş planının gerektirdiği bilgi sistemleri altyapısının üretim ortamının kurulmuş olması gerekir.
Bilgi sistemlerine ilişkin risk yönetimi
MADDE 5 – (1) Kuruluş, bilgi sistemlerinin sorunsuz şekilde işlemesini tehlikeye sokabilecek tüm risklerin tespit edilmesini, ölçülmesini, izlenmesini ve etkin bir şekilde yönetilmesini sağlamak amacıyla risk yönetim çerçevesi ve yeterli araç zenginliğine sahip bir yapıyı tesis eder. Kuruluş, risk yönetim çerçevesi kapsamında riskleri yönetmek amacıyla uygulanması gereken önlemlere ilişkin usul ve esaslar ile tesis edilmesi gereken kontrolleri içerir politika, prosedür ve süreç dokümanlarını yazılı olarak oluşturur. Bu fıkra uyarınca hazırlanan dokümanlar yönetim kurulunca onaylanır.
(2) Kuruluş, tesis edeceği risk yönetim çerçevesini oluştururken, bilgi sistemlerine ilişkin riskleri ve ilgili mevzuat ile ulusal ve uluslararası standartları göz önünde bulundurur.
(3) Birinci fıkra uyarınca bilgi sistemlerine ilişkin riskler değerlendirilirken, Kuruluşun ana faaliyetleri ile diğer faaliyetleri, varsa temsilci ve dış hizmet sağlayıcıların faaliyetleri, üçüncü taraflara olan bağımlılıkları ve Kuruluşun diğer ödeme hizmeti sağlayıcıları ve ödeme sistemleri ile olan bağlantıları da göz önünde bulundurulur.
(4) Kuruluş, bilgi sistemlerinde meydana gelecek önemli değişikliklerden önce ve yılda en az bir defa olmak üzere bilgi sistemlerine ilişkin kapsamlı bir risk değerlendirmesi yapar ve değerlendirme sonuçlarını ve bunlara ilişkin alınacak aksiyonları içerir raporu, herhangi bir değişikliğe bağlı olmadan ve her yıl Ocak ayı sonuna kadar bir önceki yıla ilişkin olacak şekilde hazırlar ve yönetim kurulu ile Bankaya sunar.
(5) Birinci fıkra uyarınca oluşturulacak dokümanlarda yer alan önlem ve kontrollerin etkin bir şekilde uygulanabilmesi için kuruluş, organizasyon yapısı, personel ve diğer kaynaklara ilişkin gerekli tedbirleri alır ve 4 üncü maddenin beşinci fıkrası çerçevesinde oluşturulacak görev tanımlarında birinci fıkra uyarınca oluşturulacak dokümanlarda yer alan önlem ve kontrollerin uygulanmasına ilişkin sorumlulukların açık bir şekilde belirlenmesini sağlar.
Bilgi sistemleri işletimi
MADDE 6 – (1) Kuruluş, tanımlanan hizmet seviyeleri çerçevesinde bilgi sistemlerinin işleyişinin güvenilirliğine, dayanıklılığına ve sürekliliğine ilişkin hedefleri yazılı olarak açıkça belirler ve bu hedefler doğrultusunda bilgi sistemlerinin işletiminin etkin ve verimli yapılabilmesi amacıyla sağlayıcı veya üretici firma desteği süren güncel yazılım sürümlerinin kullanılması da dahil olmak üzere gerekli tedbirleri alır.
(2) Kuruluş, birinci fıkra kapsamında belirlediği hedeflere uyum düzeyini yılda en az bir defa olmak üzere düzenli aralıklarla ölçer ve sonuçların yönetim kurulu tarafından değerlendirilmesini ve uyum sağlanamayan durumlarda konuyla ilgili alınacak aksiyonların belirlenmesini sağlar. Süreç sonucunda ortaya çıkan doküman her yıl için en geç takip eden yılın Ocak ayı sonuna kadar Bankaya raporlanır.
(3) Kuruluş, bilgi sistemlerini tanımlanan hizmet seviyeleri için yeterli kapasiteye sahip olacak şekilde tesis eder, kapasitenin ölçeklenebilir olmasını öncelikli olarak gözetir ve bilgi sistemlerine yönelik etkin bir kapasite yönetimi yapar.
(4) Kuruluş, bilgi sistemleri envanterinin ve konfigürasyon bilgisinin oluşturulmasını, güvenli bir şekilde saklanmasını, güncellenmesini ve üst yönetime raporlanmasını sağlar. Kuruluş, bu çalışmalar kapsamında;
a) Masaüstü, dizüstü, mobil cihazlar ve sunucular üzerindeki işletim sistemi, veritabanları ve uygulamalar ile güvenlik duvarları, yönlendirici ve anahtarlama cihazları gibi ağ cihazları için sıkılaştırılmış ve test edilmiş güvenli standart konfigürasyon bilgilerini oluşturur. Söz konusu standart konfigürasyon bilgilerini, standart konfigürasyondan sapmaları veya standart konfigürasyondaki güncellemeleri değişiklik yönetiminin bir parçası olarak kayıt altına alır ve onay mekanizmasına tabi tutar. Güvenli standart konfigürasyonun dışında kalan her türlü değişiklik isteği için iş gereksinimi, gereksinim süresi ve bu iş gereksinimine ihtiyaç duyan iş sorumlusunun kim olduğu gibi bilgileri kayıt altına alır.
b) Masaüstü, dizüstü, mobil cihazlar ve sunucular üzerindeki işletim sistemleri için bu işletim sistemlerinin tipi, sürüm numarası, yama seviyesi ve üzerinde yüklü olan veritabanları ve uygulamaların listesini gösterecek şekilde bir yazılım envanteri oluşturur.
c) (b) bendi uyarınca oluşturulan yazılım envanterinin aynı zamanda donanım envanteri ile de entegre olmasını ve tek bir noktadan hangi donanım üzerinde hangi yazılımların olduğu bilgisinin takip edilebilir olmasını sağlar.
(5) Kuruluş, bilgi sistemleri ile ilgili yapılacak her türlü değişikliği, süreci belirlenmiş ve üst yönetimce onaylanmış değişiklik yönetimi prosedürlerine uygun olarak gerçekleştirir.
(6) Kuruluş, kurum içi geliştirme veya dış alım yoluyla bilgi sistemlerinde gerçekleştirilecek her türlü projeyi, genel kabul görmüş ilgili uluslararası standartlara ve en iyi uygulama örneklerine uygun olarak belirlemiş olduğu proje yönetimi prosedürlerine uygun olarak yürütür. Yazılım geliştirme süreçlerinde geliştirme, test ve üretim ortamlarının birbirinden ayrı olması ve görevler ayrılığı prensibine uygun olarak geliştirme, test ve üretime geçiş süreçlerinin farklı kişiler tarafından yürütülmesi sağlanır.
(7) Kuruluş, Kanun kapsamındaki faaliyetleri ile ilgili süreç ve sistemleri, kritik bir işlemin tek bir kişi tarafından başlatılması, onaylanması ve tamamlanmasına imkân vermeyecek şekilde tasarlar ve işletir.
(8) Kuruluş, bilgi sistemleri unsurlarının sağlayıcı veya üretici firma desteği bittiğinde veya bu unsurların güncel durumları günün şartlarına göre gerekli güvenlik ve güvenilirlik seviyesini sağlayamadığında ilgili bilgi sistemleri unsurunu kullanımdan kaldırır.
Olay yönetimi ve siber olaylar
MADDE 7 – (1) Kuruluş, önceden belirlenmiş prosedürler çerçevesinde müşteri şikâyetlerini de kapsayacak şekilde olayların zamanında tespit edilmesini, makul bir süre içerisinde müdahale edilmesini, kayıt altına alınmasını, raporlanmasını, olayın potansiyel boyutunun, etkisinin, hasarının ve etkilenen müşterilerin tespit edilmesini içerecek şekilde analiz edilmesini, mümkün olan en kısa sürede ve en az hasarla bilgi sistemleri hizmetleri normal işleyişine döndürülecek şekilde çözülmesini ve olay hakkında ilgili tüm paydaşların zamanında bilgilendirilmesini sağlayacak şekilde olay yönetimi yapar.
(2) Kuruluşun müşterilerinin bir kısmının ya da tamamının olaydan etkilenmesi durumunda, müşterilerle iletişime geçilerek olay hakkında bilgi verilir ve varsa konuyla ilgili müşterilerin yapması gereken hususlar aktarılır.
(3) Kuruluş, müşterileri ve Kişisel Verileri Koruma Kurulunu, hassas müşteri verilerinin ya da kişisel verilerin sızmasına ya da ifşasına yol açan bir siber olayın yaşanması veya kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hallerinde mümkün olan en kısa süre içerisinde bilgilendirir.
(4) Kuruluş, her önemli olaydan sonra olayın ayrıntılı olarak incelenmesini, kök neden analizinin yapılmasını, etkilerinin belirlenmesini ve olaya ilişkin sorunun takibini ve raporlamasını içerecek şekilde sorun yönetimi yapar.
(5) Kuruluş, siber olayları da olay yönetimi kapsamında ele alır ve mevzuata uygun şekilde tesis edeceği siber olay yönetimi ve siber olaya müdahale süreci kapsamında Bankaya gerekli bildirimleri yapar.
(6) Kuruluş, siber olayları önemlilik düzeyine göre sınıflandırmak üzere sınıflandırma kriterlerini yazılı olarak hazırlar, gerçekleşen siber olayın bu kapsamda belirlenen önem düzeyine uygun sürede ele alınması ve çözüme kavuşturulmasına yönelik prosedürler ile müdahale planlarını oluşturur. Müdahale planları kapsamında birinci fıkrada yer alan unsurlara ilişkin tüm süreçler ele alınır.
(7) Oluşturulan müdahale planları yılda en az bir defa düzenli olarak test edilir ve test sonuçları yönetim kuruluna raporlanır.
(8) Kuruluş tarafından siber olay yönetimi ve siber olaya müdahale süreci kapsamında yapılması gerekenlere ilişkin usul ve esaslar Banka tarafından çıkarılacak Tebliğ ile belirlenir.
Bilgi güvenliği ve bilgi güvenliği yönetimi
MADDE 8 – (1) Kuruluş, genel kabul görmüş ilgili uluslararası standartları ve en iyi uygulama örneklerini de göz önünde bulundurarak, faaliyetlerine ilişkin bilgi sistemlerinin gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamak amacıyla kural, ilke ve politikaları içeren bilgi güvenliği yönetim çerçevesi oluşturur.
(2) Kuruluş, birinci fıkra kapsamında oluşturduğu bilgi güvenliği yönetim çerçevesine uygun bir bilgi güvenliği yönetim sistemi oluşturur.
(3) Kuruluş, bilgi güvenliği yönetim sisteminin oluşturulmasına, yönetilmesine, yılda en az bir defa düzenli olarak gözden geçirilmesine ve gerekli hallerde güncellenmesine ilişkin görev, yetki ve sorumlulukları açıkça belirler.
(4) Bilgi güvenliği yönetim sistemi kapsamında her kademedeki personelin bilgi güvenliğine ilişkin görev, yetki ve sorumlulukları açıkça belirlenir ve ilgili personelin bundan haberdar olmasını sağlayacak şekilde gerekli bilgilendirmeler yapılır.
(5) Kuruluş, bilgi güvenliği yönetim sistemi kapsamında bilgi güvenliği ihlallerine ilişkin olayların izlenmesi ve raporlanmasına ilişkin gerekli mekanizmaları oluşturur.
(6) Kuruluş, güvenlik gereksinimleri doğrultusunda bilgi varlıklarına ilişkin olarak uygun kontroller tesis etmek için yönetim kurulu tarafından onaylı bir bilgi varlıkları sınıflandırma kılavuzu hazırlar. Her bir sınıftaki bilgi varlıklarına ilişkin erişim hakları ile saklama, iletme ve imha etme prosedürlerini açıkça belirler, sınıflandırma ve bununla ilgili yükümlülükler konusunda tüm personeli bilgilendirir.
(7) Kuruluş tüm bilgi varlıklarını, önem seviyesini ve yasal yükümlülükleri de dikkate alarak bilgi varlıkları sınıflandırma kılavuzuna uygun olarak sınıflandırır. Bilgi varlığının sınıfı belirlenirken gizlilik derecesi, bütünlük gereksinimi, kullanılabilirlik gereksinimi, saklama süresi ve asgari yedekleme sıklığı ile veriler özelinde hassas müşteri verisi, müşteri bilgisi ya da kişisel veri olup olmadığı gibi kriterler göz önünde bulundurulur.
(8) Bilgi güvenliği yönetim sisteminde, personelin işe başlaması, görev ve pozisyon değiştirmesi ve işten ayrılması da dahil olmak üzere personele ilişkin tüm hususlar bilgi güvenliğini etkileyen yönleriyle değerlendirilir ve gerekli tedbirler alınır.
(9) Kuruluş, bilgi güvenliği yönetim sistemi kapsamında faaliyetleri ile ilgili kendi nezdindeki her türlü donanım ile altyapının ve bunlarla ilgili fiziksel çevrenin güvenliğini sağlar. Kuruluş, faaliyetleri ile ilgili kendi nezdinde bulunmayan donanım ile altyapının ve bunlarla ilgili fiziksel çevrenin güvenliğinin sağlanması için gerekli özeni gösterir ve güvenliğin sağlandığını kontrol eder.
(10) Kuruluş, iç ve dış ağlar arasında Kanun kapsamındaki faaliyetler ile ilgili gerçekleşen her türlü iletişim sürecinin ve ana faaliyetlerine ilişkin operasyonel işlemlerin, güvenlik kontrolleri ve araçları kullanılarak gerçekleşecek şekilde tasarlanmasını sağlar. Güvenlik kontrolleri ve araçlarının tesis edilmesinde, bir güvenlik katmanının aşılması halinde diğer güvenlik katmanının devreye girdiği katmanlı güvenlik mimarisi esas alınır ve güncel teknolojiye uygun çözümler kullanılır.
(11) Kuruluş, iç ağdan gelebilecek tehditlerin etkisini azaltmak ve iç ağın farklı güvenlik hassasiyetine sahip alt bölümlerini birbirinden ayırarak kontrollü geçişi temin etmek üzere ağ segmentasyonu yapar. İç ağdaki her bir servise ilişkin trafiğin yalnızca kendisi için gerekli olan ağ segmentlerine ulaşması, farklı ağ segmentleri arasındaki veri trafiğinin güvenliği ve iç ağa sadece yetkilendirilmiş cihazların bağlanması sağlanır. Kritik ağ segmentlerine yapılan bağlantılar düzenli olarak tespit edilerek bu bağlantıların her biri için gereksinim değerlendirmesi yapılır ve gereksiz bağlantıların sonlandırılması sağlanır.
(12) Hassas müşteri verileri veya müşteri bilgilerine sahip sistemlerin özel iç ağda bulunması ve hiçbir şekilde doğrudan internetten erişilemiyor olması sağlanır. Özel iç ağdaki sistemlere yalnızca vekil uygulamalar veya güvenlik duvarı cihazları üzerinden iletişim kurulur. İnternet üzerinden veya Kuruluş dış ağından görünür olan sunucu veya sistemler, görünür olmalarını gerektirecek geçerli bir iş ihtiyacı olup olmadığının tespit edilmesi amacıyla düzenli olarak kontrol edilir ve eğer gerekli değilse bu sunucu ve sistemlerin Kuruluş iç ağına taşınması ve iç ağ IP adreslerine sahip olması sağlanır.
(13) Ağ üzerindeki kimlik ve erişim yönetimine yönelik kurulan etki alanı yönetim sunucuları gibi yapıların Kuruluşa özgü oluşturulmuş olması ve Kuruluş dışındaki başka bir etki alanı ya da benzerinin bir parçası olmaması esastır.
(14) Kuruluş, iç ağından dış ağa akan trafik içeriğini kontrol eder. Yapılacak içerik kontrolünün, zararlı IP adreslerine olan trafik akışını ve hassas müşteri verileri ile müşteri bilgilerinin sızdırılmasını engelleyecek nitelikte olması ve oturum bilgilerini kayıt altına alarak olağan dışı uzun süreli oturumları tespit edecek ve bunlar için uyarı üretebilecek yetenekte olması sağlanır.
(15) Ağa bağlı her bir sistem üzerindeki portların, protokol ve servislerin sadece gerekliliği onaylanmış iş ihtiyaçlarına istinaden açık ve çalışıyor olması sağlanır. Bu doğrultuda, güvenli bir baz konfigürasyonu temel alınarak önemli sunucu ve sistemler için düzenli olarak port taraması gerçekleştirilir ve güvenli baz konfigürasyonunda bulunmadığı halde açık durumda olan portların kapatılması sağlanır.
(16) Kuruluş, bilgi sistemleri ile ilgili yapılacak her türlü değişiklikte bilgi güvenliğine gereken özeni göstermekle yükümlüdür.
(17) Bilgi güvenliği yönetim sistemine ilişkin görev, yetki ve sorumluluk verilmiş olan personel, bilgi güvenliği yönetim sisteminin bilgi güvenliği konusundaki mevzuata, standartlara ve birinci fıkra kapsamında oluşturulan bilgi güvenliği yönetim çerçevesine uyum durumunu sürekli olarak izler, uyumun sağlanması için gerekli tedbirleri alır ve uyum durumunu Kuruluşun yönetim kuruluna yılda en az bir defa düzenli olarak raporlar.
(18) Kuruluş, personelin bilgi güvenliği hususlarında farkındalığını arttıracak, ilgili mevzuat ve yönergeler hakkında bilgi sahibi olmalarını sağlayacak gerekli faaliyetleri yürütür ve bu çalışmalarını belgeler.
(19) Kuruluş, telefonda verdiği hizmetlerin müşterilere sunulmasında görev alan personele sosyal mühendislik saldırıları ve bilinen diğer dolandırıcılık yöntemleri konusunda periyodik eğitimler aldırmak ve bu çalışanların güvenlik farkındalıklarını artırıcı çalışmalar yapmakla yükümlüdür.
(20) Kuruluş, internet aracılığıyla sunulan hizmetlerde, arayüzün kuruluşa ait olduğunun doğrulanmasını sağlayacak mekanizmaları tesis eder.
(21) Kuruluş, elektronik kanal üzerinden sunduğu hizmetlere ilişkin tüm yazılım ve mobil uygulamaların kaynağının kendisi olduğunun müşteri tarafından doğrulanabilmesini sağlar.
(22) Kuruluş, elektronik kanal üzerinden sunduğu hizmetlere ilişkin tüm yazılım ve mobil uygulamaların bilgi güvenliğini tehlikeye sokacak hususlar içermemesini sağlayacak önlemleri almakla ve güvenlik açıklarını giderecek gerekli yamaları ve güncellemeleri sağlamakla yükümlüdür.
(23) Kuruluş, mobil uygulamalarının kullandığı hassas müşteri verileri ile müşteri bilgilerinin, mobil uygulamanın kullanıldığı cihazda yer alan diğer yazılım ve uygulamalar tarafından erişilemez olmasını sağlayacak önlemler alır.
(24) Kuruluş, mobil uygulamalarının kullanıldığı cihazın kaybolması, çalınması, ele geçirilmesi gibi durumlarda, bu durumun müşteri tarafından kuruluşa bildirilmesini müteakip derhal cihazda bulunan hassas müşteri verileri ve müşteri bilgilerinin yetkisiz kişilerce erişilemez olmasını sağlamakla ve bu kapsamda doğabilecek riskleri azaltmak için günün teknolojisine uygun önlemleri almakla yükümlüdür.
(25) Personelin iç ağdaki uygulama ve sistemlere kuruluşun dışından uzaktan erişim gerçekleştirmesine, ilgili kontrol mekanizmalarından geçerek işin ve günün şartlarının gerekleri doğrultusunda onaylanmadığı sürece izin verilmez. Uzaktan erişime izin verildiği durumlarda güçlü kimlik doğrulamaya dayanan güvenli bağlantı yöntemleri uygulanır, erişimlere ilişkin denetim izleri tutulur, bağlantının süresi ve bağlantının yapılabileceği cihazlar kısıtlanır ve personel belli aralıklarla kimliğini tekrar doğrulamaya zorlanır.
(26) Kuruluş, faaliyetleri ile ilgili olarak görevler ayrılığı ve görevin gerektirdiği kapsam kadar yetki prensipleri ile tutarlı etkin bir kimlik doğrulama ve erişim yönetimi yapısı oluşturmakla yükümlüdür.
(27) Kuruluş, bilgi güvenliği yönetim sisteminin etkinliğini yılda en az bir defa düzenli olarak test eder, test sonuçlarını kayıt altına alır ve üst yönetime raporlar.
(28) Kuruluş, kullanmakta olduğu veya ihtiyaç duyabileceği uygulamalar için bir beyaz liste oluşturur ve bilgi sistemleri unsurlarında sadece ihtiyaç duyulan uygulamaların yüklü olmasını sağlar, bu unsurlara beyaz liste dışındaki uygulamaların yüklenmesini ve bu uygulamaların çalıştırılmasını engelleyecek önlemleri alır.
(29) Kuruluş, bilgi sistemleri unsurları üzerinde beyaz listede yer almayan herhangi bir uygulamanın yüklü olup olmadığına yönelik düzenli olarak tarama gerçekleştirir.
(30) Kuruluş, bilgi sistemleri unsurlarını gerekli sıklıkta ve düzenli bir şekilde kontrol ederek zararlı yazılımların ve güvenlik açıklarının tespit edilmesini sağlayacak altyapıyı oluşturur.
(31) Kuruluş, e-posta sunucusuna gelen ve giden e-postaları tarayarak zararlı yazılım barındıran ya da kuruluşun iş ihtiyaçları doğrultusunda gereksiz olan eklentiler içeren e-postaları engelleyecek çözümler kullanır. Kuruluştan gönderilen e-postalar için e-posta sunucularında gönderici kimliğini doğrulayıcı teknikler kullanılır.
(32) Kuruluşun bilgi sistemleri unsurları, bu unsurlara taşınabilir bir medya veya harici cihaz takıldığında otomatik olarak içeriği oynatmayacak şekilde yapılandırılır ve zararlı yazılım engelleme araçları bu tür cihazlar takıldığında otomatik olarak bu cihazları tarayacak şekilde ayarlanır. Bunun yanında bu tür harici cihazların bağlanacağı bağlantı arayüzlerinin ön tanımlı olarak kullanıma kapatılarak bu tür cihazların kullanımının yalnızca iş gereksinimi olan personelle sınırlı tutulması ve harici cihazları kullanma denemesi yapılan durumların da takip edilmesi sağlanır.
(33) Personelin, zorunlu iş gereksinimi olmadıkça yerel yönetici yetkisine sahip olmasına izin verilmez. Buna yönelik bir ihtiyaç olması durumunda iş birimi ve bilgi sistemleri yöneticisinin onayını müteakip söz konusu yetkinin tanımlı ve kayıtlı prosedürler çerçevesinde ve iş bitiminde tekrar geri alınacak şekilde verilmesi sağlanır.
Veri güvenliği ve mahremiyeti
MADDE 9 – (1) Kuruluş, faaliyetlerinin yürütülmesi sırasında edindiği ve bilgi sistemleri aracılığıyla işlediği, ilettiği veya sakladığı hassas müşteri verileri ve müşteri bilgilerinin gizliliğini ve güvenliğini sağlamaya ve kuruluş dışına sızmasını önlemeye yönelik politika ve prosedürleri yazılı olarak oluşturur ve bu amaçla gerekli tedbirleri alır.
(2) Kuruluş, faaliyetleri ile ilgili olarak kullandığı bilgi sistemlerinde verilerin gizliliğini sağlayacak önlemleri alır. Verilerin gizliliğini sağlamak üzere alınan önlemlerin, verilerin gizlilik derecesine uygun olması gerekir.
(3) Hassas müşteri verileri, müşteri bilgileri ile rekabete duyarlı verilerin şifrelenmiş bir şekilde ya da güvenli bileşenlerde saklanması esastır. Kullanılacak şifreleme tekniklerinin günün teknolojisi, ulusal ve uluslararası standartlar ile uyumlu olması, veri güvenliği ve mahremiyeti konusunda makul güvence sağlaması ve güvenilirliğini yitirmemiş olması esastır.
(4) Hassas müşteri verileri, müşteri bilgileri ve rekabete duyarlı verilerin kablosuz biçimde veya internet üzerinden iletilmesi halinde, bu iletim uçtan uca güvenli iletişim ile gerçekleştirilir.
(5) Veri barındıran bilgi sistemleri unsurlarının kullanımının durdurulması durumunda, içerdikleri verilerin gizlilik derecesine uygun olarak güvenli bir şekilde gecikmeksizin imha edilmesi sağlanır.
(6) Hassas müşteri verileri, Kanun, Yönetmelik ve bu Tebliğ kapsamında izin verilen haller saklı kalmak kaydıyla, dış hizmet sağlayıcılar ve kanunlarla açıkça yetkili kılınan merciler dışındaki taraflara verilemez. Müşteri bilgileri, kanunla açıkça yetkili kılınan merciler dışındaki taraflara, ancak müşterinin paylaşım sınırları hakkında aydınlatılması ve müşterilerin açık rızasının alınması kaydıyla verilebilir. Müşterinin açık rızası, 6698 sayılı Kanuna uygun şekilde güvenli yöntemlerle alınır. Elektronik ortamdaki bir sözleşme ile alınacak onay yalnızca ilk defa oturum açılırken ve müşterinin açıkça bilgilendirilmesi kaydıyla gerçekleştirilebilir. Müşterinin bilgilerini paylaşmaya dair rıza göstermesi verilecek hizmet için bir ön şart haline getirilemez.
(7) Kanun kapsamına giren işlemler ile ilgili olarak kişisel verilerin işlenmesi faaliyetlerinde, 6698 sayılı Kanun ve bu Kanun uyarınca yapılan düzenlemelerde yer alan hükümler öncelikli olarak uygulanır ve bu hükümler kapsamında belirlenmiş olan usul ve esaslara uyulması zorunludur.
Kimlik doğrulama
MADDE 10 – (1) Kuruluş, bilgi sistemlerinde gerçekleştirilen işlemlerde kullanılmak üzere yeterli ve etkin bir kimlik doğrulama sistemi kurar. Kurulacak kimlik doğrulama sistemi çerçevesinde personele tanımlanan roller ve sorumluluklar açık bir şekilde yazılı olarak oluşturulur.
(2) Kullanılacak kimlik doğrulama tekniklerine, sekizinci fıkra hükümleri saklı kalmak kaydıyla, yapılacak risk değerlendirmesi sonucuna göre karar verilir. Risk değerlendirmesi, bilgi sistemleri üzerinden gerçekleştirilmesi planlanan işlemlerin türü, niteliği, varsa doğuracağı finansal ve finansal olmayan etkilerin büyüklüğü, işlemin gerçekleştirilmesinde kullanılan ödeme aracı, işlem çeşitleri, işleme konu verinin hassaslık derecesi, talimata dayalı düzenli ödeme olması, müşterinin işlem limitleri, işlemin karşı tarafının güvenli alıcılar listesinde olması, kimlik doğrulama tekniğinin kullanım kolaylığı ve acil duruma özgü yetkilendirme ihtiyacı dâhil olmak üzere gerekli hususlar göz önünde bulundurularak gerçekleştirilir.
(3) Kuruluş, kimlik doğrulama sisteminin bilgi sistemlerinin hangi alt unsurları için geçerli olacağını ve kimlik doğrulama sisteminde hangi alt unsur için hangi kimlik doğrulama tekniklerinin kullanılacağını açıkça belirler.
(4) Kimlik doğrulama için günün teknolojisine uygun ve güvenli bir parola politikası belirlenir. Kimlik doğrulamada kullanılacak tek kullanımlık parolaların, ihtiyaç duyulan güvenlik seviyesini sağlayacak kadar uzun olması, yetkisiz kişilerce tespit ve tahmin edilmesine ilişkin riskleri asgari düzeye indirecek yöntemleri gözetmesi ve belirli bir süre için geçerli olması gerekir.
(5) Kimlik doğrulama için kullanılacak parola, değişken parola, tek kullanımlık parola cihazı, şifreleme gizli anahtarı, akıllı kart ve işlem doğrulama kodu gibi bileşenlerin güvenliği üretim aşamasından başlayarak kullanıcıya ulaştırılmasına dek sağlanır. İşlem doğrulama kodu aracılığıyla güçlü kimlik doğrulama unsurlarından hiçbiri hakkında bilgi edinilememesi, bilinen bir işlem doğrulama kodu ile geçerli başka işlem doğrulama kodlarının türetilememesi, işlem doğrulama kodlarının taklit edilememesi sağlanır. İşlem doğrulama kodunun üretilmesinde hata meydana gelmesi ya da üretilememesi halinde, kimlik doğrulama teşebbüsünde bulunan kişi tarafından hatanın hangi kimlik doğrulama unsurundan kaynaklandığının anlaşılamamasını sağlayacak önlemler alınır.
(6) Kuruluş, kimlik doğrulama için kullanılan verilerin gizliliğinin, bütünlüğünün ve güvenliğinin sağlanarak saklanması ve aktarılması için gerekli altyapının oluşturulmasını sağlar. Kimlik doğrulama işlemleri esnasında, müşterinin bildiği kimlik doğrulama unsurları ile tek kullanımlık parola veya işlem doğrulama kodu gibi bileşenlerin, personelin dahli ve erişimi olmadan ilgili kanal üzerinden girişinin yapılması sağlanır.
(7) Kimlik doğrulamada;
a) Kullanıcıya sisteme girdiği anda önceki başarısız kimlik doğrulama teşebbüsleri hakkında bilgi verilmesi,
b) Başarısız teşebbüslerin belirli bir sayıyı aşması halinde ilgili kullanıcı erişiminin bloke edilmesi,
c) Başarısız kimlik doğrulama teşebbüsleri sonrasında, kullanıcı adının sistemde olmadığı veya parolanın hatalı girildiği gibi bilgilerin verilmemesi,
ç) Belli bir süre işlem yapılmayan veya güvenli bir şekilde çıkış yapılmadığından arka planda çalışır şekilde kalan oturumun belirli bir süre sonra sonlandırılması,
d) Birden fazla müşterinin aynı ödeme hesabını kullanmaları ya da aynı anda farklı oturumlar açabilmeleri konusunda yetkilendirildiği durumlar hariç olmak üzere, aynı müşteri için aynı anda birden fazla oturum açılmaya çalışılması durumunda buna izin verilmemesi ve müşterinin uyarılması,
gerekir.
(8) Müşteriler tarafından elektronik kanal üzerinden yapılan ve finansal sonuç doğuran veya finansal sonuç doğurmayan işlemlerde, düzenlemelerde açıkça aksine imkan tanınmadığı sürece güçlü kimlik doğrulama kullanılması esastır. Güçlü kimlik doğrulama esnasında müşterinin sahip olduğu bileşenin müşteriye özgü olması ve taklit edilememesi esastır. Kimlik doğrulamada T.C. Kimlik Kartının kart PIN'i veya biyometrik veri ile birlikte kullanılması veya güvenli elektronik imzanın kullanılması hallerinde bu fıkranın gerekleri yerine getirilmiş sayılır. Kuruluşun mobil uygulamasının kontrolünde olmayıp cihaz üreticisi kontrolünde olan parola, PIN ya da biyometrik veriler, bu fıkra kapsamında güçlü kimlik doğrulama unsurları olarak kullanılamaz.
(9) 11/10/2006 tarihli ve 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanuna ilişkin yükümlülükler kapsamında, 22 nci maddeye göre sözleşme kurulması sonrasında kimlik tespiti gerektiren müteakip ödemeler elektronik kanaldan başlatıldığında, güçlü kimlik doğrulama yöntemi kullanılır.
(10) Ödeme aracının ve kimlik doğrulama aracının müşteriye ulaştırılmasında kullanılan telefon numarası ve adres gibi bilgilerin, müşteri tarafından tanımlanan güvenli alıcılar listesinin ve tek bileşene dayalı kimlik doğrulama kullanılarak yapılabilecek işlem listesinin değiştirilmesinde güçlü kimlik doğrulama yöntemi kullanılır.
(11) Hassas müşteri verilerine erişim sağlandığında veya düzenli ödeme talimatı verilirken güçlü kimlik doğrulama yöntemi kullanılır.
(12) 5549 sayılı Kanuna ilişkin yükümlülükler saklı kalmak üzere, dokuzuncu fıkraya göre güçlü kimlik doğrulama ile gerçekleştirilmesi gereken işlemler için müşterinin sözleşme ile ya da güvenli yöntemlerle onayının alınmış olması ve ödeme işleminin güvenli alıcılar listesindeki bir alıcı ile gerçekleştirilmesi halinde güçlü kimlik doğrulama uygulanması zorunlu değildir.
(13) Müşteri tarafından gerçekleştirilecek finansal işlemler için kuruluş tarafından müşteri onayını almak üzere işlem doğrulama kodu üretilir ve işlem bilgisi ile birlikte müşteriye sunularak müşteri onayı alınır. Finansal sonuç doğurmayan işlemler için ise işlem doğrulama kodu kullanılıp kullanılmayacağına kuruluş tarafından yapılacak ikinci fıkrada belirtilen risk değerlendirmesine göre karar verilir ve işlem doğrulama kodu kullanılmayan işlemlerle ilgili olarak gerçekleştirilen işlemin müşteri tarafından yapıldığını ispat etme yükümlülüğü kuruluşa ait olur. Tek bileşene dayalı kimlik doğrulama yapıldığında, işlem doğrulama kodunun kimlik doğrulamada kullanılandan farklı bir bileşen oluşturacak şekilde müşteriye onay için sunulması ile güçlü kimlik doğrulama yerine getirilmiş kabul edilir.
(14) Kuruluşun bu madde uyarınca gerekli hallerde güçlü kimlik doğrulama mekanizması sunmaması halinde, gerçekleştirilen işlemlerin müşteri tarafından yetkilendirilmiş olduğunu ispat yükümlülüğü kuruluşa aittir.
(15) Anonim ön ödemeli araçlarla ilgili işlemlerde güçlü kimlik doğrulama zorunluluğu yoktur.
(16) Müşterinin kimliğini tespit etmeye yarayan ve resmi kimlik belgesi yerine geçen belgeler üzerinde yer alan bilgiler ile anne kızlık soyadı, elektronik kanallar üzerinden sunulan Kanun kapsamındaki faaliyetlerin sunulması esnasında hiçbir aşamada kimlik doğrulama amacıyla kullanılamaz. Kimlik doğrulamada müşterinin bildiği bileşen olarak bir güvenlik sorusunun kullanılması durumunda, güvenlik sorusunun resmi kimlik belgesi yerine geçen belgeler üzerinde yer alan bilgilerden birine ilişkin olmaması ve cevabının müşterinin kendisi tarafından belirleniyor olması gerekir.
(17) Bir kimlik doğrulama bileşeninin bir müşteri ile ilk defa ilişkilendirilmesi uzaktan gerçekleştirilecekse, ilişkilendirme güvenli yöntemlerle ve güçlü kimlik doğrulama gerçekleştirilerek yapılır.
(18) Kuruluş, Kanun kapsamında gerçekleştirilen işlemler için inkâr edilemezliği sağlayacak teknolojik ve hukuki altyapıyı oluşturur.
(19) Kuruluş, bilgi sistemlerinin kullanımında oturum güvenliğini sağlayacak tedbirleri ve kimlik doğrulama bilgisinin oturumun başından sonuna kadar doğru olmasını garanti edecek önlemleri alır.
(20) Kuruluş güçlü kimlik doğrulama kapsamında müşterisinin tercih ettiği kimlik doğrulama bileşenlerinin farklı bileşen sınıflarına ait olmasını temin eder. Kuruluş, güçlü kimlik doğrulama sürecinde müşterinin sahip olduğu bileşen sınıfı olarak SMS OTP ya da SMS ile işlem doğrulama kodu kullanabilir. Kuruluşun mobil uygulamasını yükleyerek etkinleştirmiş olan müşterinin güçlü kimlik doğrulaması kapsamında oturum açılması ya da oturumun devamında herhangi bir işlemin doğrulanması için SMS OTP ya da SMS ile işlem doğrulama kodu kullanılması halinde bu faktör güçlü kimlik doğrulamada müşterinin sahip olduğu bileşen olarak sayılamaz. Kuruluşun mobil uygulamasının ilk kurulumu, etkinleştirilmesi, yeniden etkinleştirilmesi aşamalarında ya da kuruluşun mobil uygulamasının kullanılamaz hale gelmesi durumunda güçlü kimlik doğrulama kapsamında müşterinin sahip olduğu bileşen olarak SMS OTP ile ya da SMS ile işlem doğrulama kodu kullanılması bu fıkra hükmüne aykırılık teşkil etmez.
(21) Kimlik doğrulama esnasında SMS teknolojisinin kullanılması durumunda, kuruluş, elektronik haberleşme işletmecileriyle SIM kart değişikliği gerçekleştirmiş veya numara taşıma yoluyla elektronik haberleşme işletmecisini değiştirmiş müşterileri tespit edebilmek için gerekli altyapıyı oluşturur ve bu tür değişiklikler yapmış müşteriye, yapılan değişikliğe ilişkin müşterinin açık teyidi alınmadığı sürece, değişikliğin yapıldığı tarihten itibaren 90 gün boyunca elektronik kanallar üzerinden gerçekleşecek işlemler kapsamında yapılacak kimlik doğrulamada SIM karta dayalı bir yöntem kullanılamaz. Aksi durumda gerçekleştirilen her türlü işlem için gerçekleştirilen işlemin müşteri tarafından yapıldığını ispat etme yükümlülüğü kuruluşa aittir.
(22) Güçlü kimlik doğrulamada kullanılacak müşterinin bildiği bileşenin, mobil uygulama veya internet tarayıcısı tarafından hatırlanarak veya başka lokal kimlik doğrulama yöntemlerine bağlanarak otomatik olarak gönderilmemesi gerekir ve müşterinin bildiği bileşenin müşteri tarafından girilmesi zorunlu tutulur.
(23) İnternet şubesinde kimlik doğrulama işlemi gerçekleştirilirken, oturum açılmadan önce, müşteri tarafından güçlü kimlik doğrulama ile önceden belirlenmiş olan bir karşılama mesajının veya resminin, müşteriye gösterilmesi sağlanır.
(24) İnternet şubesinde güçlü kimlik doğrulama işlemi gerçekleştirilirken, müşteriye atanmış bir şifreleme gizli anahtarı ile imzalanacak şekilde işlem doğrulama kodu üretilir. İşlem doğrulama kodunun, müşteriye atanmış bir şifreleme gizli anahtarı ile imzalanmasının mümkün olmadığı hallerde, yirminci fıkra hükümleri saklı kalmak kaydıyla, müşteriye SMS ile doğrulama kodu iletilebilir.
(25) Mobil uygulama için tanımlanan uygulama PIN'inin veya kimlik doğrulama unsuru olarak belirlenmiş olan müşteriye ait bir biyometrik verinin müşteriye özgü bir şifreleme anahtarına erişmek üzere kullanılması ve bu şifreleme anahtarı yoluyla müşteriyle ilintili biricik bir bilginin kuruluş nezdinde çevrim içi olarak doğrulanması halinde, güçlü kimlik doğrulama yerine getirilmiş kabul edilir.
(26) Mobil uygulamanın etkinleştirilerek müşterinin sahip olduğu bir kimlik doğrulama unsuru olarak kullanılması şartıyla, müşterinin yalnızca mobil uygulama aracılığıyla müşteri ve hesap bilgilerini görüntülemek istemesi, ödemenin göndereni ve alıcısının aynı olması, müşterinin talimatına istinaden gerçekleştirilen düzenli bir ödeme olması, ödeme işleminin daha önce tanımlanmış güvenli alıcılar listesindeki bir alıcı ile gerçekleştirilmesi ve kuruluşun ikinci fıkrada belirtilen risk değerlendirmesi sonucunda bu yönde karar verdiği, bu madde başta olmak üzere ilgili düzenlemelerde güçlü kimlik doğrulamanın kullanılmasının zorunlu tutulmadığı diğer ödeme işlemleri esnasında ilave bir kimlik doğrulama unsuruna gerek kalmadan tek bileşene dayalı kimlik doğrulama sekizinci fıkraya aykırılık teşkil etmez. Tek bileşene dayalı kimlik doğrulama yapılan bu işlemlerle ilgili olarak gerçekleştirilen işlemin müşteri tarafından yapıldığını ispat etme yükümlülüğü kuruluşa ait olur. Müşterinin mobil uygulamada ilk defa oturum açması veya güçlü kimlik doğrulama ile açtığı son oturumun üzerinden 90 günden daha fazla bir süre geçmiş olması halinde, güçlü kimlik doğrulamaya tabi tutulması esastır.
(27) Finansal olmayan işlemler dahil olmak üzere telefon ile gerçekleştirilecek işlemlerde güçlü kimlik doğrulama uygulanması esastır. Güçlü kimlik doğrulama uygulanmadan telefon aracılığıyla hizmet vermek üzere müşteriyi karşılayan personelin müşteriye ilişkin bilgileri görememesi veya müşteriye ilişkin işlem menüsünün aktif olmaması sağlanır. Müşterinin kendi hesapları arasındaki finansal işlemler ile finansal olmayan işlemlerin gerçekleştirilmesi için uygulanacak kimlik doğrulamada PIN bilgisi müşterinin bildiği unsur olarak kullanılabilir.
(28) Kayıp, çalıntı ve dolandırıcılık gibi riskli işlem bildirimi durumunda, personele bağlanan müşterilerin kimlik doğrulaması yapılmaksızın personelin bilmesi gerektiği kadar müşteri bilgisine erişebilmesi sağlanır ve gerekli güvenlik önlemleri alınır.
(29) Telefon bağlantısı olmaksızın ya da bağlantının sonlanması halinde kayıp, çalıntı ve dolandırıcılık gibi riskli işlem bildirimi haricinde müşteriye ilişkin herhangi bir işlem gerçekleştirilemez.
(30) Müşterinin telefon kanalıyla, elektronik kanallarda kullandığı kimlik doğrulama veya telefon bilgilerinde değişiklik gerçekleştirmek istemesi halinde bu değişikliğin personelin dahli ve erişimi olmadan otomatik sistemler üzerinden gerçekleştirilmesi sağlanır.
(31) Müşterinin telefon ile aranmasının gerektiği durumlarda, arama gerçekleştirilmeden önce telefonun başka bir numaraya yönlendirilmemiş olduğuna ilişkin kontroller işletilir.
(32) Banka, bu maddede düzenlenen kimlik doğrulama kuralları bakımından istisna getirmeye veya ilave güvenlik önlemleri ihdas etmeye yetkilidir.
Erişim yönetimi
MADDE 11 – (1) Kuruluş, personelin sisteme dâhil olan ağlara, alt sistemlere, uygulamalara, verilere ve fiziksel ortamlara erişimine ilişkin yetki ve sınırlandırmaları, personelin görev, yetki, sorumluluk ve ayrıcalıkları kapsamında işin gerektirdiği bilgiye erişimine imkân verecek şekilde açıkça belirler ve yetkisiz erişimleri engellemek üzere gerekli tedbirleri alır.
(2) Kurulu
Emlak Pencerem / Ekonomi Haberleri - 1 Aralık 2021 - İstanbul
Türkiye Cumhuriyet Merkez Bankasından:
Merkez Bankası'ndan ödeme kuruluşları ve elektronik para kuruluşları hakkında kapsamlı düzenleme
ÖDEME VE ELEKTRONİK PARA KURULUŞLARININ BİLGİ SİSTEMLERİ İLE ÖDEME HİZMETİ SAĞLAYICILARININ ÖDEME HİZMETLERİ ALANINDAKİ VERİ PAYLAŞIM SERVİSLERİNE İLİŞKİN TEBLİĞ
BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak ve Tanımlar
Amaç ve kapsam
MADDE 1 – (1) Bu Tebliğin amacı, ödeme kuruluşları ve elektronik para kuruluşlarının faaliyetlerinin yürütülmesinde kullandıkları bilgi sistemlerinin yönetimi ve yetkilendirilmiş bağımsız denetim kuruluşları tarafından denetlenmesi ile ödeme hizmeti sağlayıcılarının ödeme hizmetleri alanındaki veri paylaşım servislerine ilişkin usul ve esasları düzenlemektir.
Dayanak
MADDE 2 – (1) Bu Tebliğ, 20/6/2013 tarihli ve 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanunun 12 nci, 14 üncü, 14/A, 18 inci ve 21 inci maddelerine dayanılarak hazırlanmıştır.
Tanımlar ve kısaltmalar
MADDE 3 – (1) Bu Tebliğde yer alan;
a) Açık rıza: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 3 üncü maddesinin birinci fıkrasının (a) bendinde tanımlanan açık rızayı,
b) Alıcı: Ödeme işlemine konu fonun ulaşması istenen gerçek veya tüzel kişiyi,
c) Anonim ön ödemeli araç: Herhangi bir şekilde ödeme hesabına bağlı olmayan ve kimlik tespiti veya doğrulaması yapılmamış, önceden ödeme ya da yükleme yapılması suretiyle kullanılabilir hale gelen, tekrar yükleme yapılma imkanı bulunan veya bulunmayan şekilde ihraç edilebilen ve yüklenen bakiye kadar kullanıma izin verilen ön ödemeli aracı,
ç) API: Farklı yazılımların birbirleri üzerinde tanımlanmış servisleri kullanabilmesi ve aralarında veri alışverişi yapabilmesi için belirli koşul ve kurallar çerçevesinde oluşturulmuş arayüzleri,
d) Aydınlatma: 6698 sayılı Kanunun 10 uncu maddesi kapsamında yapılacak bilgilendirmeyi,
e) Bağımsız denetim kuruluşu: Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumu tarafından yetkilendirilmiş bağımsız denetim kuruluşlarından Bankacılık Düzenleme ve Denetleme Kurumu tarafından yayımlanan Bankalarda Bilgi Sistemleri Denetimi Yapmaya Yetkili Bağımsız Denetim Kuruluşları listesinde yer alan bağımsız denetim kuruluşunu,
f) Banka: Türkiye Cumhuriyet Merkez Bankası Anonim Şirketini,
g) Banka ödeme sistemi: Banka tarafından işletilen ödeme sistemlerini,
ğ) Bilgi sistemleri: Ödeme hizmetine ilişkin faaliyetlerin yürütülmesi amacıyla ödeme hizmeti sağlayıcısının bilgi ve verilerle ilgili olarak mevzuatla belirlenmiş sorumluluklarının yerine getirilmesini sağlayan donanım, yazılım, veri, süreç ve insan kaynağından oluşan yapının tamamını,
h) Bilgi varlığı: Kurumsal bilgiye erişimde ve bu bilginin işlenmesinde, iletilmesinde, saklanmasında, korunmasında ve imhasında kullanılan donanım, yazılım, belge, veri ve insan gibi her türlü kaynağı,
ı) Birincil merkez: Birincil sistemlerin tesis edildiği yapıyı,
i) Birincil sistemler: Kanun, Yönetmelik, bu Tebliğ ve Bankaca Kanun kapsamında çıkarılacak ilgili diğer düzenlemelerde yer alan hususlarla ilgili bütün bilgilerin, elektronik ortamda güvenli ve istenildiği an erişime imkân sağlayacak şekilde saklanıldığı sistemler ile faaliyetlerin yürütülmesinde kullanılan altyapı, donanım, yazılım ve veriden oluşan sistemin tamamını,
j) Biyometrik veri: Kimlik doğrulama işlemlerinin gerçekleştirilmesi esnasında kullanılan retina, iris, yüze ait karakteristik özellikler, ses ve parmak izi benzeri kişiye özgü ölçülebilir biyolojik veya davranışsal karakteristiği,
k) BKM: Bankalararası Kart Merkezi Anonim Şirketini,
l) BKM-API Geçidi: Kanunun 12 nci maddesinin birinci fıkrasının (f) ve (g) bentlerinde yer alan ödeme hizmetlerinin sunulması için Yönetmeliğin 59 uncu maddesinin beşinci fıkrası uyarınca BKM tarafından kurulacak yapıyı,
m) BSDHY: 13/1/2010 tarihli ve 27461 sayılı Resmî Gazete’de yayımlanan Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmeliği,
n) Değişiklik yönetimi: Önceden belirlenmiş prosedürlerin kullanımı yoluyla bilgi sistemleri ile ilgili tüm değişikliklerin etkin ve güvenli bir şekilde ve zamanında gerçekleştirilmesini sağlamayı ve bu değişikliklerden kaynaklanabilecek olayların sayısı ile bu olayların sunulan hizmetler üzerindeki etkisini asgari düzeye indirmeyi amaçlayan bilgi sistemleri hizmet yönetimi disiplinini,
o) Denetim izleri: Bir finansal ya da operasyonel işlemin başlangıcından bitimine kadar adım adım takip edilmesini sağlayacak kayıtlar ile bilgi varlıklarına kimin eriştiğini veya erişmeye çalıştığını ve kullanıcının hangi işlemleri gerçekleştirdiğini gösteren kayıtları,
ö) Dış hizmet sağlayıcı: Kuruluşun, Yönetmeliğin 21 inci maddesi çerçevesinde münhasıran kendisi tarafından yapılması gerekenler dışında kalan faaliyetlerini kuruluş adına gerçekleştiren ya da gerçekleştirilmesinde kuruluşa yardımcı nitelikte hizmet veren tüzel kişiyi,
p) Elektronik kanal: Müşterilerin ödeme hizmeti sağlayıcısının fiziksel şube ve temsilcilerine gitmeden uzaktan ödeme hizmeti alabildikleri mobil uygulama, internet şubesi, telefon hizmetleri, ATM, kiosk cihazı, API ve benzeri her türlü elektronik hizmet yöntemini,
r) Elektronik para: Elektronik para ihraç eden kuruluş tarafından kabul edilen fon karşılığı ihraç edilen, elektronik olarak saklanan, Kanunda tanımlanan ödeme işlemlerini gerçekleştirmek için kullanılan ve elektronik para ihraç eden kuruluş dışındaki gerçek ve tüzel kişiler tarafından da ödeme aracı olarak kabul edilen parasal değeri,
s) Elektronik para ihraç eden kuruluş: Elektronik para kuruluşlarını, 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanunu kapsamındaki bankaları ve Posta ve Telgraf Teşkilatı Anonim Şirketini,
ş) Elektronik para kullanıcısı: Gönderen, alıcı veya her ikisi sıfatıyla elektronik para ihraç eden kuruluşların sunduğu elektronik para ihracı ve fona çevirme hizmetlerinden faydalanan gerçek veya tüzel kişiyi,
t) Elektronik para kuruluşu: Kanun kapsamında elektronik para ihraç etme yetkisi verilen tüzel kişiyi,
u) Fon: Banknot, madeni para, kaydi para veya elektronik parayı,
ü) Gönderen: Kendi ödeme hesabından veya ödeme hesabı bulunmaksızın ödeme emri veren gerçek veya tüzel kişiyi,
v) Güçlü kimlik doğrulama: Kimlik doğrulamada kullanılan ve bir bileşenin ele geçirilmesinin diğer bileşenin güvenliğini tehlikeye atmayacağı en az iki bileşenden oluşan, bu iki bileşenin de müşterinin bildiği, sahip olduğu veya biyometrik bir karakteristiği olan bileşen sınıflarından farklı ikisine ait olacak şekilde seçildiği yöntemi,
y) Güvenli bileşen: İçinde barındırdığı gizli verilerin yetkisiz kişilerce erişilmesine, kopyalanmasına ve kendi dışına çıkarılmasına imkân vermeyen SIM kart, akıllı kart gibi bileşeni,
z) Hassas müşteri verisi: Ödeme emrinin verilmesinde veya müşterinin kimliğinin doğrulanmasında kullanılan ve üçüncü kişilerce ele geçirilmesi veya değiştirilmesi halinde dolandırıcılık ya da müşteri adına sahte işlem yapılmasına imkân verebilecek kişisel veriler ile müşteri güvenlik bilgilerini,
aa) Hesap bilgisi hizmeti: Kanunun 12 nci maddesinin birinci fıkrasının (g) bendinde tanımlanan hizmeti,
bb) Hesap bilgisi hizmeti sağlayıcısı - HBHS: Kanunun 12 nci maddesinin birinci fıkrasının (g) bendinde tanımlanan ödeme hizmetini sunan tüzel kişiyi,
cc) Hesap hizmeti sağlayıcısı (HHS): Nezdinde ödeme hesabı bulunan ödeme hizmeti sağlayıcısı,
çç) Hizmet seviyesi: Hizmetlerin maliyeti ile söz konusu hizmetleri alanların gereksinim ve beklentilerinin göz önünde bulundurulması suretiyle, hizmeti sunan tarafından hizmetin içeriği ile kalitesine ilişkin yazılı olarak önceden belirlenen ve ilgili taraflarla paylaşılan seviyeyi,
dd) İkincil merkez: Birincil merkezin kullanılamadığı durumlarda, birincil ve ikincil sistemlere kullanıma hazır olacak şekilde erişilebildiği, personelin çalışmasına imkân tanıyacak ve birincil merkezin tesis edildiği yapı ile aynı riskleri taşımayacak şekilde oluşturulmuş yapıyı,
ee) İkincil sistemler: Birincil sistemler aracılığı ile yürütülen faaliyetlerde bir kesinti olması halinde, bu faaliyetlerin iş sürekliliği planında belirlenen kabul edilebilir kesinti süreleri içerisinde sürdürülür hale getirilmesini ve Kanun, Yönetmelik, bu Tebliğ ve Bankaca Kanun kapsamında çıkarılacak ilgili diğer düzenlemelerde yer alan hususlarla ilgili bütün bilgilere erişilmesini sağlayan birincil sistem yedeklerini,
ff) İnsansız hizmet noktası: Müşterilerin, ödeme işlemi ya da elektronik para ile ilgili işlemleri kendi kendine yapabildiği, sahipliği bir veya birden fazla kuruluşa ait olan ve fiziki bir lokasyonu bulunan ATM, kiosk gibi cihazları,
gg) İnternet şubesi: Müşterilerin, ödeme hizmeti sağlayıcılarının Kanun kapsamında sundukları hizmetlere, kullandıkları cihaz ya da platformdan bağımsız olarak, internet yoluyla ulaşabildiği ve kendilerine ait finansal veya kişisel verileri görüntüleyebildiği, değiştirebildiği ya da finansal sorumluluk yaratacak işlemler gerçekleştirebildiği ve hizmetlerin internet sitesi üzerinden sunulduğu elektronik kanalları,
ğğ) İşlem bilgisi: Gerçekleştirilen işleme ilişkin işlem zamanını, işlemin niteliğini ve ödeme işlemi için ödeme emrinin masraf, komisyon ve ücretler de dahil hesabın borçlandırılacağı toplam tutarını ve ödemenin göndereni ile alıcısını veya toplu ödeme emrinin masraf, komisyon ve ücretler de dahil hesabın borçlandırılacağı toplam tutarını ve göndereni ile alıcılarını içeren bilgiyi,
hh) İşlem doğrulama kodu: Kimlik doğrulama yöntemlerinden biriyle kendisini sisteme tanıtan bir müşterinin gerçekleştirmek istediği işleme özgü olmak ve belirli bir geçerlilik süresi içinde işlem onayında kullanılmak üzere oluşturulan, finansal sonuç doğuran işlemlerde kişiye onay anında ilgili işlem bilgisi ile birlikte gösterilen ve alıcı veya tutarın değişmesiyle geçersiz hale gelen bilgiyi,
ıı) İşyeri: Ödeme hizmeti sağlayıcısı ile yaptığı sözleşme çerçevesinde ödeme hizmeti kapsamına giren bir ödeme yöntemi ile mal ve hizmet satmayı kabul eden gerçek veya tüzel kişiyi,
ii) Kanun: 20/6/2013 tarihli ve 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanunu,
jj) Karşılıklı doğrulama: İletişimde bulunan bilgi sistemlerinin birbirlerinin kimliklerinden emin olmalarını sağlamak amacıyla kullanılan, iki tarafın da kendi kimliğini diğer tarafa doğruladığı kimlik doğrulama yöntemini,
kk) Kesinti: Planlı olanlar dışında, ödeme hizmeti sağlayıcısının Kanun kapsamındaki faaliyetlerine ilişkin operasyonel iş ve süreçlerinin sekteye uğramasını,
ll) Kimlik doğrulama: Bildirilen bir kimliğin gerçekten bildiren kişiye ait olduğuna dair güvence sağlayan mekanizmayı,
mm) Kimlik tanımlayıcı: Ödeme hizmeti sağlayıcısı tarafından kimliğinin belirlenmesi ve diğer kullanıcılardan ayırt edilmesi amacıyla müşteriye özgülenen sayı, harf veya sembollerden oluşan kombinasyonu,
nn) Kişisel veri: 6698 sayılı Kanunun 3 üncü maddesinin birinci fıkrasının (d) bendinde tanımlanan bilgiyi,
oo) Kullanıcı: Personel veya müşteri gibi ödeme hizmeti sağlayıcısının bilgi sistemleri üzerinde işlem gerçekleştirmek üzere kendilerine hesap tanımlanmış olan her türlü kullanıcıyı,
öö) Kuruluş: Ödeme kuruluşları ve elektronik para kuruluşlarını,
pp) Mobil uygulama: Akıllı telefon veya tablet gibi mobil bir cihazda bulunan ödeme hizmeti sağlayıcısına ait uygulama üzerinden müşterilerin Kanun kapsamına giren işlemlerini gerçekleştirebildikleri özelleşmiş elektronik kanalı,
rr) Mobil uygulama etkinleştirme: Mobil uygulama için müşterinin mobil cihazının müşteri ile eşleştirilmesini,
ss) Müşteri: Ödeme hizmeti kullanıcısı ile elektronik para kullanıcısını,
şş) Müşteri bilgisi: Müşterilere ait, işlem bilgisi, bakiye bilgisi, kişisel veri, kimlik tanımlayıcısı, unvan dahil olmak üzere müşterinin kişisel ve finansal durumuna ilişkin doğrudan veya dolaylı yoldan edinilen her türlü bilgiyi,
tt) Müşteri güvenlik bilgileri: Kimlik doğrulama işleminin yapılması amacıyla ödeme hizmeti sağlayıcısı tarafından müşterisine verilen veya müşteri tarafından belirlenerek ödeme hizmeti sağlayıcısı ile mutabık kalınan özelleştirilmiş bilgiyi,
uu) Olay: Bilgi sistemlerinin işleyişinde bir kesintiye ya da siber olay dâhil hizmet kalitesinde düşüşe neden olan her türlü gelişmeyi,
üü) Oturum: Kullanıcıların elektronik kanallar üzerinden kimlik doğrulama mekanizması ile bilgi sistemlerine dâhil olmalarından işlemlerini tamamlayıp sistemden ayrılmalarına kadar geçecek tüm süreci kapsayacak şekilde tesis edilen, veri aktarımı, sunuşu veya gerçekleştirilecek finansal işlemler için taraflar arasında kurulan mantıksal bağı,
vv) Ödeme aracı: Ödeme hizmeti sağlayıcısı ile müşteri arasında belirlenen ve müşteri tarafından ödeme emrini vermek için kullanılan kart, cep telefonu, şifre ve benzeri kişiye özel aracı,
yy) Ödeme emri: Müşteri tarafından ödeme işleminin gerçekleşmesi amacıyla ödeme hizmeti sağlayıcısına verilen talimatı,
zz) Ödeme emri başlatma hizmeti: Kanunun 12 nci maddesinin birinci fıkrasının (f) bendinde tanımlanan hizmeti,
aaa) Ödeme emri başlatma hizmeti sağlayıcısı - ÖBHS: Kanunun 12 nci maddesinin birinci fıkrasının (f) bendinde belirtilen ödeme hizmetini sunan tüzel kişiyi,
bbb) Ödeme hesabı: Müşteri adına açılan ve ödeme işleminin yürütülmesinde kullanılan hesabı,
ccc) Ödeme hizmeti: Kanunun 12 nci maddesi çerçevesinde ödeme hizmeti olarak kabul edilen hizmetleri,
ççç) Ödeme hizmeti kullanıcısı: Gönderen, alıcı veya her ikisi sıfatıyla belirli bir ödeme hizmetinden faydalanan gerçek veya tüzel kişiyi,
ddd) Ödeme hizmeti sağlayıcısı: 5411 sayılı Kanun kapsamındaki bankalar, elektronik para kuruluşları, ödeme kuruluşları ve Posta ve Telgraf Teşkilatı Anonim Şirketini,
eee) Ödeme işlemi: Gönderen veya alıcının talimatı üzerine gerçekleştirilen fon yatırma, aktarma veya çekme faaliyetini,
fff) Ödeme kuruluşu: Ödeme hizmeti sağlamak ve gerçekleştirmek için Kanun kapsamında yetkilendirilmiş tüzel kişiyi,
ggg) Ön ödemeli araç: Müşterinin ödemelerde kullanılabilecek fonu ödeme aracını ihraç eden ödeme hizmeti sağlayıcısına harcama yapmadan önce ödediği ve ödenene eşdeğer tutarda fonun elektronik para olarak ödeme hizmetlerinde kullanılmasına imkân veren fizikî veya fizikî varlığı bulunmayan ödeme aracını,
ğğğ) Parola: Kimlik doğrulamada kullanılan, harf, rakam ve/veya özel işaretlerden oluşan ve gizli olan karakter dizisini,
hhh) Personel: Kuruluş personeli, temsilci personeli ve dış hizmet sağlayıcı çalışanı gibi kuruluşun bilgi sistemleri üzerinde işlem gerçekleştirmek üzere kendilerine yetki verilmiş olan her türlü kullanıcıyı,
ııı) Proje yönetimi: Önceden belirlenmiş metodolojilerin kullanımı yoluyla bilgi sistemleri projelerinin, öngörülen zaman planına, bütçeye ve kalite düzeyine uygun olarak tamamlanmasını temin edecek şekilde planlanmasını, organizasyonunu ve yürütülmesini sağlayan süreci,
iii) Rekabete duyarlı veri: Ücret, komisyon, faiz gibi fiyat ile ilişkilendirilebilir her türlü niceliksel veriyi,
jjj) Risk bazlı kimlik doğrulama: Çeşitli risk faktörlerinin dinamik bir şekilde değerlendirilmesi suretiyle kimlik doğrulama sürecinin düşük risk profili için kolaylaştırılması, yüksek risk profili için daha kapsamlı ve kısıtlayıcı hale getirilmesi yaklaşımını,
kkk) Sızma testi: Bilgi sistemlerinin güvenlik açıklarını istismar edilmeden önce tespit etmek ve düzeltmek amaçlı gerçekleştirilen testi,
lll) Siber olay: 11/11/2013 tarihli ve 28818 sayılı Resmî Gazete'de yayımlanan Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğin 3 üncü maddesinde tanımlanan siber olayı,
mmm) Siber olaya müdahale: Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğin 3 üncü maddesinde tanımlanan siber olaya müdahaleyi,
nnn) SMS OTP: Elektronik haberleşme işletmecilerinin sunduğu SMS servisi aracılığıyla iletilen tek kullanımlık parolayı,
ooo) Sorun: Bir veya daha fazla olayın kök nedenini,
ööö) Sürekli iş ilişkisi: 10/12/2007 tarihli ve 2007/13012 sayılı Bakanlar Kurulu Kararı ile yürürlüğe konulan Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelikte tanımlanan sürekli iş ilişkisini,
ppp) Tek kullanımlık parola: Kimlik doğrulamada sadece bir kez kullanılmak üzere rastgele oluşturulan harf, rakam ve/veya özel işaret dizisini,
rrr) Temsilci: Kuruluş adına ve hesabına hareket eden gerçek veya tüzel kişiyi,
sss) Terminal: Ödeme aracı üzerindeki bilgiler ile hassas müşteri verilerini esas alarak her türlü mal ve hizmet alımı veya nakit ödeme belgesi düzenlenmesi işlemleri ile ödeme işlemlerinin ve elektronik para ile ilgili işlemlerin gerçekleştirilmesinde kullanılan, ödeme hizmeti sağlayıcı tarafından temin edilen elektronik cihaz ya da yazılımı,
şşş) Uçtan uca güvenli iletişim: İletişime konu veriye sadece alıcısının erişebilmesi amacıyla, söz konusu verinin gönderen tarafından sadece alıcının çözebileceği şekilde şifrelenerek iletilmesini,
ttt) Uzaktan iletişim aracı: Mektup, katalog, telefon, faks, radyo, televizyon, elektronik posta mesajı, internet, SMS hizmetleri gibi fiziksel olarak karşı karşıya gelinmeksizin sözleşme kurulmasına imkan veren her türlü araç veya ortamı,
uuu) Üst yönetim: Kuruluşun yönetim kurulu üyeleri, genel müdür ve genel müdür yardımcıları, iç kontrol ve risk yönetimi birimlerinin yöneticileri ile başka unvanlarla istihdam edilseler dahi, danışmanlık birimleri dışındaki birimlerin, yetki ve görevleri itibarıyla genel müdür yardımcısına denk veya daha üst konumlarda görev yapan yöneticilerini,
üüü) Veri paylaşım servisleri: Müşteriler adına hareket eden tarafların API’ler vasıtasıyla HHS’nin sunduğu ödeme hizmetlerine uzaktan erişerek Kanun kapsamına giren işlemleri gerçekleştirebildikleri veya bu tür işlemlerin gerçekleştirilmesi için HHS’ye talimat verdikleri elektronik kanalı,
vvv) Yama: Programlarda tespit edilen güvenlik açıkları veya programın içeriğindeki hatalı bir fonksiyonu düzeltme amaçlı hazırlanan program eklentisini,
yyy) Yönetmelik: 1/12/2021 tarihli ve 31676 sayılı Resmî Gazete’de yayımlanan Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmeliği,
ifade eder.
İKİNCİ BÖLÜM
Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler
Bilgi sistemleri yönetimine ilişkin genel hükümler
MADDE 4 – (1) Kuruluş, bilgi sistemlerine ilişkin faaliyetlerini yürütürken işleyişinden sorumlu olduğu hizmetin kesintisiz, güvenli, etkin ve verimli bir şekilde çalışması amacını öncelikli olarak gözetir.
(2) Kuruluş, bilgi sistemlerini Kanun kapsamında yürütmekte olduğu faaliyetlerin konusu, hacmi, karmaşıklığı ve kapsamı ile uyumlu ve kişisel verilerin güvenliğine yönelik gerekli idari ve teknik tedbirlere uygun şekilde tesis eder ve teknolojik gelişmeleri de dikkate alarak günceller.
(3) Kuruluş, bilgi sistemleri yönetimine ilişkin politikaları, ana strateji ve hedefleri ile uyumlu şekilde yazılı olarak oluşturur, yılda en az bir defa olmak üzere düzenli olarak gözden geçirir ve gerekli durumlarda günceller. Bilgi sistemleri yönetimine ilişkin politikaların yönetim kurulu tarafından onaylanması zorunludur.
(4) Kuruluş, Kanun kapsamındaki faaliyetleri ile ilgili her türlü yönetim faaliyetlerini bilgi sistemleri yönetimini de kapsayacak şekilde, bütüncül bir yaklaşım içerisinde ve kurumsal yönetim uygulamaları çerçevesinde gerçekleştirir ve bilgi sistemleri yönetimine ilişkin unsurları organizasyon yapısı içerisinde, kuruluşun büyüklüğü ile faaliyetlerinin karmaşıklığını gözeterek uygun yere yerleştirir.
(5) Kuruluş, bilgi sistemleri ile ilgili olarak organizasyon yapısı içerisinde yer alan birimlerin görev ve sorumlulukları ile bu birimlerdeki personelin görev tanımlarını açık, anlaşılır ve yazılı olarak oluşturur. Bu fıkra uyarınca hazırlanan dokümanlar yönetim kurulunca onaylanır. Dokümanların uygunluğu yılda en az bir defa gözden geçirilir.
(6) Bilgi sistemlerinin yönetimi konusunda görev alan personelin kendilerine atanan görev ve sorumluluklarla ilgili farkındalıklarının oluşturulması ile görev ve sorumluluklarda meydana gelecek değişikliklerden haberdar olması sağlanır.
(7) Kuruluş, bilgi sistemleri yönetimine ilişkin görev, yetki ve sorumlulukları açıkça belirler ve bilgi sistemleri yönetimi için gerekli her türlü kaynağı sağlar.
(8) Kuruluş, bilgi sistemleri yönetimine ilişkin faaliyetlerin politika, düzenleme ve genel kabul görmüş ilgili uluslararası standartlara uyumlu olduğunu kontrol etmek üzere Yönetmeliğin 26 ncı maddesi uyarınca oluşturulan iç kontrol sisteminin içerisinde gerekli fonksiyonu oluşturur. Bu konularda çalışacak personelin gerekli deneyim ve bilgi birikimine sahip olması gerekir.
(9) Bilgi sistemleri yönetiminin bu Tebliğde yer alan hükümlere uygun şekilde yürütülmesinden kuruluşun yönetim kurulu sorumludur.
(10) Yönetmeliğin 11 inci maddesi uyarınca faaliyet izni başvurusunda bulunulduğunda, nihai onay aşamasından önce olmak üzere, bilgi sistemleri altyapısından sorumlu yöneticinin atamasının yapılmış olması gerekir. Ataması yapılacak yöneticinin bilgi sistemleri sektöründe benzer ölçekteki proje ekiplerinde yer almış olması gerekir.
(11) Yönetmeliğin 11 inci maddesi uyarınca faaliyet izni başvurusunda bulunulduğunda, nihai onay aşamasından önce olmak üzere, bir yıllık iş planının gerektirdiği bilgi sistemleri altyapısının üretim ortamının kurulmuş olması gerekir.
Bilgi sistemlerine ilişkin risk yönetimi
MADDE 5 – (1) Kuruluş, bilgi sistemlerinin sorunsuz şekilde işlemesini tehlikeye sokabilecek tüm risklerin tespit edilmesini, ölçülmesini, izlenmesini ve etkin bir şekilde yönetilmesini sağlamak amacıyla risk yönetim çerçevesi ve yeterli araç zenginliğine sahip bir yapıyı tesis eder. Kuruluş, risk yönetim çerçevesi kapsamında riskleri yönetmek amacıyla uygulanması gereken önlemlere ilişkin usul ve esaslar ile tesis edilmesi gereken kontrolleri içerir politika, prosedür ve süreç dokümanlarını yazılı olarak oluşturur. Bu fıkra uyarınca hazırlanan dokümanlar yönetim kurulunca onaylanır.
(2) Kuruluş, tesis edeceği risk yönetim çerçevesini oluştururken, bilgi sistemlerine ilişkin riskleri ve ilgili mevzuat ile ulusal ve uluslararası standartları göz önünde bulundurur.
(3) Birinci fıkra uyarınca bilgi sistemlerine ilişkin riskler değerlendirilirken, Kuruluşun ana faaliyetleri ile diğer faaliyetleri, varsa temsilci ve dış hizmet sağlayıcıların faaliyetleri, üçüncü taraflara olan bağımlılıkları ve Kuruluşun diğer ödeme hizmeti sağlayıcıları ve ödeme sistemleri ile olan bağlantıları da göz önünde bulundurulur.
(4) Kuruluş, bilgi sistemlerinde meydana gelecek önemli değişikliklerden önce ve yılda en az bir defa olmak üzere bilgi sistemlerine ilişkin kapsamlı bir risk değerlendirmesi yapar ve değerlendirme sonuçlarını ve bunlara ilişkin alınacak aksiyonları içerir raporu, herhangi bir değişikliğe bağlı olmadan ve her yıl Ocak ayı sonuna kadar bir önceki yıla ilişkin olacak şekilde hazırlar ve yönetim kurulu ile Bankaya sunar.
(5) Birinci fıkra uyarınca oluşturulacak dokümanlarda yer alan önlem ve kontrollerin etkin bir şekilde uygulanabilmesi için kuruluş, organizasyon yapısı, personel ve diğer kaynaklara ilişkin gerekli tedbirleri alır ve 4 üncü maddenin beşinci fıkrası çerçevesinde oluşturulacak görev tanımlarında birinci fıkra uyarınca oluşturulacak dokümanlarda yer alan önlem ve kontrollerin uygulanmasına ilişkin sorumlulukların açık bir şekilde belirlenmesini sağlar.
Bilgi sistemleri işletimi
MADDE 6 – (1) Kuruluş, tanımlanan hizmet seviyeleri çerçevesinde bilgi sistemlerinin işleyişinin güvenilirliğine, dayanıklılığına ve sürekliliğine ilişkin hedefleri yazılı olarak açıkça belirler ve bu hedefler doğrultusunda bilgi sistemlerinin işletiminin etkin ve verimli yapılabilmesi amacıyla sağlayıcı veya üretici firma desteği süren güncel yazılım sürümlerinin kullanılması da dahil olmak üzere gerekli tedbirleri alır.
(2) Kuruluş, birinci fıkra kapsamında belirlediği hedeflere uyum düzeyini yılda en az bir defa olmak üzere düzenli aralıklarla ölçer ve sonuçların yönetim kurulu tarafından değerlendirilmesini ve uyum sağlanamayan durumlarda konuyla ilgili alınacak aksiyonların belirlenmesini sağlar. Süreç sonucunda ortaya çıkan doküman her yıl için en geç takip eden yılın Ocak ayı sonuna kadar Bankaya raporlanır.
(3) Kuruluş, bilgi sistemlerini tanımlanan hizmet seviyeleri için yeterli kapasiteye sahip olacak şekilde tesis eder, kapasitenin ölçeklenebilir olmasını öncelikli olarak gözetir ve bilgi sistemlerine yönelik etkin bir kapasite yönetimi yapar.
(4) Kuruluş, bilgi sistemleri envanterinin ve konfigürasyon bilgisinin oluşturulmasını, güvenli bir şekilde saklanmasını, güncellenmesini ve üst yönetime raporlanmasını sağlar. Kuruluş, bu çalışmalar kapsamında;
a) Masaüstü, dizüstü, mobil cihazlar ve sunucular üzerindeki işletim sistemi, veritabanları ve uygulamalar ile güvenlik duvarları, yönlendirici ve anahtarlama cihazları gibi ağ cihazları için sıkılaştırılmış ve test edilmiş güvenli standart konfigürasyon bilgilerini oluşturur. Söz konusu standart konfigürasyon bilgilerini, standart konfigürasyondan sapmaları veya standart konfigürasyondaki güncellemeleri değişiklik yönetiminin bir parçası olarak kayıt altına alır ve onay mekanizmasına tabi tutar. Güvenli standart konfigürasyonun dışında kalan her türlü değişiklik isteği için iş gereksinimi, gereksinim süresi ve bu iş gereksinimine ihtiyaç duyan iş sorumlusunun kim olduğu gibi bilgileri kayıt altına alır.
b) Masaüstü, dizüstü, mobil cihazlar ve sunucular üzerindeki işletim sistemleri için bu işletim sistemlerinin tipi, sürüm numarası, yama seviyesi ve üzerinde yüklü olan veritabanları ve uygulamaların listesini gösterecek şekilde bir yazılım envanteri oluşturur.
c) (b) bendi uyarınca oluşturulan yazılım envanterinin aynı zamanda donanım envanteri ile de entegre olmasını ve tek bir noktadan hangi donanım üzerinde hangi yazılımların olduğu bilgisinin takip edilebilir olmasını sağlar.
(5) Kuruluş, bilgi sistemleri ile ilgili yapılacak her türlü değişikliği, süreci belirlenmiş ve üst yönetimce onaylanmış değişiklik yönetimi prosedürlerine uygun olarak gerçekleştirir.
(6) Kuruluş, kurum içi geliştirme veya dış alım yoluyla bilgi sistemlerinde gerçekleştirilecek her türlü projeyi, genel kabul görmüş ilgili uluslararası standartlara ve en iyi uygulama örneklerine uygun olarak belirlemiş olduğu proje yönetimi prosedürlerine uygun olarak yürütür. Yazılım geliştirme süreçlerinde geliştirme, test ve üretim ortamlarının birbirinden ayrı olması ve görevler ayrılığı prensibine uygun olarak geliştirme, test ve üretime geçiş süreçlerinin farklı kişiler tarafından yürütülmesi sağlanır.
(7) Kuruluş, Kanun kapsamındaki faaliyetleri ile ilgili süreç ve sistemleri, kritik bir işlemin tek bir kişi tarafından başlatılması, onaylanması ve tamamlanmasına imkân vermeyecek şekilde tasarlar ve işletir.
(8) Kuruluş, bilgi sistemleri unsurlarının sağlayıcı veya üretici firma desteği bittiğinde veya bu unsurların güncel durumları günün şartlarına göre gerekli güvenlik ve güvenilirlik seviyesini sağlayamadığında ilgili bilgi sistemleri unsurunu kullanımdan kaldırır.
Olay yönetimi ve siber olaylar
MADDE 7 – (1) Kuruluş, önceden belirlenmiş prosedürler çerçevesinde müşteri şikâyetlerini de kapsayacak şekilde olayların zamanında tespit edilmesini, makul bir süre içerisinde müdahale edilmesini, kayıt altına alınmasını, raporlanmasını, olayın potansiyel boyutunun, etkisinin, hasarının ve etkilenen müşterilerin tespit edilmesini içerecek şekilde analiz edilmesini, mümkün olan en kısa sürede ve en az hasarla bilgi sistemleri hizmetleri normal işleyişine döndürülecek şekilde çözülmesini ve olay hakkında ilgili tüm paydaşların zamanında bilgilendirilmesini sağlayacak şekilde olay yönetimi yapar.
(2) Kuruluşun müşterilerinin bir kısmının ya da tamamının olaydan etkilenmesi durumunda, müşterilerle iletişime geçilerek olay hakkında bilgi verilir ve varsa konuyla ilgili müşterilerin yapması gereken hususlar aktarılır.
(3) Kuruluş, müşterileri ve Kişisel Verileri Koruma Kurulunu, hassas müşteri verilerinin ya da kişisel verilerin sızmasına ya da ifşasına yol açan bir siber olayın yaşanması veya kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hallerinde mümkün olan en kısa süre içerisinde bilgilendirir.
(4) Kuruluş, her önemli olaydan sonra olayın ayrıntılı olarak incelenmesini, kök neden analizinin yapılmasını, etkilerinin belirlenmesini ve olaya ilişkin sorunun takibini ve raporlamasını içerecek şekilde sorun yönetimi yapar.
(5) Kuruluş, siber olayları da olay yönetimi kapsamında ele alır ve mevzuata uygun şekilde tesis edeceği siber olay yönetimi ve siber olaya müdahale süreci kapsamında Bankaya gerekli bildirimleri yapar.
(6) Kuruluş, siber olayları önemlilik düzeyine göre sınıflandırmak üzere sınıflandırma kriterlerini yazılı olarak hazırlar, gerçekleşen siber olayın bu kapsamda belirlenen önem düzeyine uygun sürede ele alınması ve çözüme kavuşturulmasına yönelik prosedürler ile müdahale planlarını oluşturur. Müdahale planları kapsamında birinci fıkrada yer alan unsurlara ilişkin tüm süreçler ele alınır.
(7) Oluşturulan müdahale planları yılda en az bir defa düzenli olarak test edilir ve test sonuçları yönetim kuruluna raporlanır.
(8) Kuruluş tarafından siber olay yönetimi ve siber olaya müdahale süreci kapsamında yapılması gerekenlere ilişkin usul ve esaslar Banka tarafından çıkarılacak Tebliğ ile belirlenir.
Bilgi güvenliği ve bilgi güvenliği yönetimi
MADDE 8 – (1) Kuruluş, genel kabul görmüş ilgili uluslararası standartları ve en iyi uygulama örneklerini de göz önünde bulundurarak, faaliyetlerine ilişkin bilgi sistemlerinin gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamak amacıyla kural, ilke ve politikaları içeren bilgi güvenliği yönetim çerçevesi oluşturur.
(2) Kuruluş, birinci fıkra kapsamında oluşturduğu bilgi güvenliği yönetim çerçevesine uygun bir bilgi güvenliği yönetim sistemi oluşturur.
(3) Kuruluş, bilgi güvenliği yönetim sisteminin oluşturulmasına, yönetilmesine, yılda en az bir defa düzenli olarak gözden geçirilmesine ve gerekli hallerde güncellenmesine ilişkin görev, yetki ve sorumlulukları açıkça belirler.
(4) Bilgi güvenliği yönetim sistemi kapsamında her kademedeki personelin bilgi güvenliğine ilişkin görev, yetki ve sorumlulukları açıkça belirlenir ve ilgili personelin bundan haberdar olmasını sağlayacak şekilde gerekli bilgilendirmeler yapılır.
(5) Kuruluş, bilgi güvenliği yönetim sistemi kapsamında bilgi güvenliği ihlallerine ilişkin olayların izlenmesi ve raporlanmasına ilişkin gerekli mekanizmaları oluşturur.
(6) Kuruluş, güvenlik gereksinimleri doğrultusunda bilgi varlıklarına ilişkin olarak uygun kontroller tesis etmek için yönetim kurulu tarafından onaylı bir bilgi varlıkları sınıflandırma kılavuzu hazırlar. Her bir sınıftaki bilgi varlıklarına ilişkin erişim hakları ile saklama, iletme ve imha etme prosedürlerini açıkça belirler, sınıflandırma ve bununla ilgili yükümlülükler konusunda tüm personeli bilgilendirir.
(7) Kuruluş tüm bilgi varlıklarını, önem seviyesini ve yasal yükümlülükleri de dikkate alarak bilgi varlıkları sınıflandırma kılavuzuna uygun olarak sınıflandırır. Bilgi varlığının sınıfı belirlenirken gizlilik derecesi, bütünlük gereksinimi, kullanılabilirlik gereksinimi, saklama süresi ve asgari yedekleme sıklığı ile veriler özelinde hassas müşteri verisi, müşteri bilgisi ya da kişisel veri olup olmadığı gibi kriterler göz önünde bulundurulur.
(8) Bilgi güvenliği yönetim sisteminde, personelin işe başlaması, görev ve pozisyon değiştirmesi ve işten ayrılması da dahil olmak üzere personele ilişkin tüm hususlar bilgi güvenliğini etkileyen yönleriyle değerlendirilir ve gerekli tedbirler alınır.
(9) Kuruluş, bilgi güvenliği yönetim sistemi kapsamında faaliyetleri ile ilgili kendi nezdindeki her türlü donanım ile altyapının ve bunlarla ilgili fiziksel çevrenin güvenliğini sağlar. Kuruluş, faaliyetleri ile ilgili kendi nezdinde bulunmayan donanım ile altyapının ve bunlarla ilgili fiziksel çevrenin güvenliğinin sağlanması için gerekli özeni gösterir ve güvenliğin sağlandığını kontrol eder.
(10) Kuruluş, iç ve dış ağlar arasında Kanun kapsamındaki faaliyetler ile ilgili gerçekleşen her türlü iletişim sürecinin ve ana faaliyetlerine ilişkin operasyonel işlemlerin, güvenlik kontrolleri ve araçları kullanılarak gerçekleşecek şekilde tasarlanmasını sağlar. Güvenlik kontrolleri ve araçlarının tesis edilmesinde, bir güvenlik katmanının aşılması halinde diğer güvenlik katmanının devreye girdiği katmanlı güvenlik mimarisi esas alınır ve güncel teknolojiye uygun çözümler kullanılır.
(11) Kuruluş, iç ağdan gelebilecek tehditlerin etkisini azaltmak ve iç ağın farklı güvenlik hassasiyetine sahip alt bölümlerini birbirinden ayırarak kontrollü geçişi temin etmek üzere ağ segmentasyonu yapar. İç ağdaki her bir servise ilişkin trafiğin yalnızca kendisi için gerekli olan ağ segmentlerine ulaşması, farklı ağ segmentleri arasındaki veri trafiğinin güvenliği ve iç ağa sadece yetkilendirilmiş cihazların bağlanması sağlanır. Kritik ağ segmentlerine yapılan bağlantılar düzenli olarak tespit edilerek bu bağlantıların her biri için gereksinim değerlendirmesi yapılır ve gereksiz bağlantıların sonlandırılması sağlanır.
(12) Hassas müşteri verileri veya müşteri bilgilerine sahip sistemlerin özel iç ağda bulunması ve hiçbir şekilde doğrudan internetten erişilemiyor olması sağlanır. Özel iç ağdaki sistemlere yalnızca vekil uygulamalar veya güvenlik duvarı cihazları üzerinden iletişim kurulur. İnternet üzerinden veya Kuruluş dış ağından görünür olan sunucu veya sistemler, görünür olmalarını gerektirecek geçerli bir iş ihtiyacı olup olmadığının tespit edilmesi amacıyla düzenli olarak kontrol edilir ve eğer gerekli değilse bu sunucu ve sistemlerin Kuruluş iç ağına taşınması ve iç ağ IP adreslerine sahip olması sağlanır.
(13) Ağ üzerindeki kimlik ve erişim yönetimine yönelik kurulan etki alanı yönetim sunucuları gibi yapıların Kuruluşa özgü oluşturulmuş olması ve Kuruluş dışındaki başka bir etki alanı ya da benzerinin bir parçası olmaması esastır.
(14) Kuruluş, iç ağından dış ağa akan trafik içeriğini kontrol eder. Yapılacak içerik kontrolünün, zararlı IP adreslerine olan trafik akışını ve hassas müşteri verileri ile müşteri bilgilerinin sızdırılmasını engelleyecek nitelikte olması ve oturum bilgilerini kayıt altına alarak olağan dışı uzun süreli oturumları tespit edecek ve bunlar için uyarı üretebilecek yetenekte olması sağlanır.
(15) Ağa bağlı her bir sistem üzerindeki portların, protokol ve servislerin sadece gerekliliği onaylanmış iş ihtiyaçlarına istinaden açık ve çalışıyor olması sağlanır. Bu doğrultuda, güvenli bir baz konfigürasyonu temel alınarak önemli sunucu ve sistemler için düzenli olarak port taraması gerçekleştirilir ve güvenli baz konfigürasyonunda bulunmadığı halde açık durumda olan portların kapatılması sağlanır.
(16) Kuruluş, bilgi sistemleri ile ilgili yapılacak her türlü değişiklikte bilgi güvenliğine gereken özeni göstermekle yükümlüdür.
(17) Bilgi güvenliği yönetim sistemine ilişkin görev, yetki ve sorumluluk verilmiş olan personel, bilgi güvenliği yönetim sisteminin bilgi güvenliği konusundaki mevzuata, standartlara ve birinci fıkra kapsamında oluşturulan bilgi güvenliği yönetim çerçevesine uyum durumunu sürekli olarak izler, uyumun sağlanması için gerekli tedbirleri alır ve uyum durumunu Kuruluşun yönetim kuruluna yılda en az bir defa düzenli olarak raporlar.
(18) Kuruluş, personelin bilgi güvenliği hususlarında farkındalığını arttıracak, ilgili mevzuat ve yönergeler hakkında bilgi sahibi olmalarını sağlayacak gerekli faaliyetleri yürütür ve bu çalışmalarını belgeler.
(19) Kuruluş, telefonda verdiği hizmetlerin müşterilere sunulmasında görev alan personele sosyal mühendislik saldırıları ve bilinen diğer dolandırıcılık yöntemleri konusunda periyodik eğitimler aldırmak ve bu çalışanların güvenlik farkındalıklarını artırıcı çalışmalar yapmakla yükümlüdür.
(20) Kuruluş, internet aracılığıyla sunulan hizmetlerde, arayüzün kuruluşa ait olduğunun doğrulanmasını sağlayacak mekanizmaları tesis eder.
(21) Kuruluş, elektronik kanal üzerinden sunduğu hizmetlere ilişkin tüm yazılım ve mobil uygulamaların kaynağının kendisi olduğunun müşteri tarafından doğrulanabilmesini sağlar.
(22) Kuruluş, elektronik kanal üzerinden sunduğu hizmetlere ilişkin tüm yazılım ve mobil uygulamaların bilgi güvenliğini tehlikeye sokacak hususlar içermemesini sağlayacak önlemleri almakla ve güvenlik açıklarını giderecek gerekli yamaları ve güncellemeleri sağlamakla yükümlüdür.
(23) Kuruluş, mobil uygulamalarının kullandığı hassas müşteri verileri ile müşteri bilgilerinin, mobil uygulamanın kullanıldığı cihazda yer alan diğer yazılım ve uygulamalar tarafından erişilemez olmasını sağlayacak önlemler alır.
(24) Kuruluş, mobil uygulamalarının kullanıldığı cihazın kaybolması, çalınması, ele geçirilmesi gibi durumlarda, bu durumun müşteri tarafından kuruluşa bildirilmesini müteakip derhal cihazda bulunan hassas müşteri verileri ve müşteri bilgilerinin yetkisiz kişilerce erişilemez olmasını sağlamakla ve bu kapsamda doğabilecek riskleri azaltmak için günün teknolojisine uygun önlemleri almakla yükümlüdür.
(25) Personelin iç ağdaki uygulama ve sistemlere kuruluşun dışından uzaktan erişim gerçekleştirmesine, ilgili kontrol mekanizmalarından geçerek işin ve günün şartlarının gerekleri doğrultusunda onaylanmadığı sürece izin verilmez. Uzaktan erişime izin verildiği durumlarda güçlü kimlik doğrulamaya dayanan güvenli bağlantı yöntemleri uygulanır, erişimlere ilişkin denetim izleri tutulur, bağlantının süresi ve bağlantının yapılabileceği cihazlar kısıtlanır ve personel belli aralıklarla kimliğini tekrar doğrulamaya zorlanır.
(26) Kuruluş, faaliyetleri ile ilgili olarak görevler ayrılığı ve görevin gerektirdiği kapsam kadar yetki prensipleri ile tutarlı etkin bir kimlik doğrulama ve erişim yönetimi yapısı oluşturmakla yükümlüdür.
(27) Kuruluş, bilgi güvenliği yönetim sisteminin etkinliğini yılda en az bir defa düzenli olarak test eder, test sonuçlarını kayıt altına alır ve üst yönetime raporlar.
(28) Kuruluş, kullanmakta olduğu veya ihtiyaç duyabileceği uygulamalar için bir beyaz liste oluşturur ve bilgi sistemleri unsurlarında sadece ihtiyaç duyulan uygulamaların yüklü olmasını sağlar, bu unsurlara beyaz liste dışındaki uygulamaların yüklenmesini ve bu uygulamaların çalıştırılmasını engelleyecek önlemleri alır.
(29) Kuruluş, bilgi sistemleri unsurları üzerinde beyaz listede yer almayan herhangi bir uygulamanın yüklü olup olmadığına yönelik düzenli olarak tarama gerçekleştirir.
(30) Kuruluş, bilgi sistemleri unsurlarını gerekli sıklıkta ve düzenli bir şekilde kontrol ederek zararlı yazılımların ve güvenlik açıklarının tespit edilmesini sağlayacak altyapıyı oluşturur.
(31) Kuruluş, e-posta sunucusuna gelen ve giden e-postaları tarayarak zararlı yazılım barındıran ya da kuruluşun iş ihtiyaçları doğrultusunda gereksiz olan eklentiler içeren e-postaları engelleyecek çözümler kullanır. Kuruluştan gönderilen e-postalar için e-posta sunucularında gönderici kimliğini doğrulayıcı teknikler kullanılır.
(32) Kuruluşun bilgi sistemleri unsurları, bu unsurlara taşınabilir bir medya veya harici cihaz takıldığında otomatik olarak içeriği oynatmayacak şekilde yapılandırılır ve zararlı yazılım engelleme araçları bu tür cihazlar takıldığında otomatik olarak bu cihazları tarayacak şekilde ayarlanır. Bunun yanında bu tür harici cihazların bağlanacağı bağlantı arayüzlerinin ön tanımlı olarak kullanıma kapatılarak bu tür cihazların kullanımının yalnızca iş gereksinimi olan personelle sınırlı tutulması ve harici cihazları kullanma denemesi yapılan durumların da takip edilmesi sağlanır.
(33) Personelin, zorunlu iş gereksinimi olmadıkça yerel yönetici yetkisine sahip olmasına izin verilmez. Buna yönelik bir ihtiyaç olması durumunda iş birimi ve bilgi sistemleri yöneticisinin onayını müteakip söz konusu yetkinin tanımlı ve kayıtlı prosedürler çerçevesinde ve iş bitiminde tekrar geri alınacak şekilde verilmesi sağlanır.
Veri güvenliği ve mahremiyeti
MADDE 9 – (1) Kuruluş, faaliyetlerinin yürütülmesi sırasında edindiği ve bilgi sistemleri aracılığıyla işlediği, ilettiği veya sakladığı hassas müşteri verileri ve müşteri bilgilerinin gizliliğini ve güvenliğini sağlamaya ve kuruluş dışına sızmasını önlemeye yönelik politika ve prosedürleri yazılı olarak oluşturur ve bu amaçla gerekli tedbirleri alır.
(2) Kuruluş, faaliyetleri ile ilgili olarak kullandığı bilgi sistemlerinde verilerin gizliliğini sağlayacak önlemleri alır. Verilerin gizliliğini sağlamak üzere alınan önlemlerin, verilerin gizlilik derecesine uygun olması gerekir.
(3) Hassas müşteri verileri, müşteri bilgileri ile rekabete duyarlı verilerin şifrelenmiş bir şekilde ya da güvenli bileşenlerde saklanması esastır. Kullanılacak şifreleme tekniklerinin günün teknolojisi, ulusal ve uluslararası standartlar ile uyumlu olması, veri güvenliği ve mahremiyeti konusunda makul güvence sağlaması ve güvenilirliğini yitirmemiş olması esastır.
(4) Hassas müşteri verileri, müşteri bilgileri ve rekabete duyarlı verilerin kablosuz biçimde veya internet üzerinden iletilmesi halinde, bu iletim uçtan uca güvenli iletişim ile gerçekleştirilir.
(5) Veri barındıran bilgi sistemleri unsurlarının kullanımının durdurulması durumunda, içerdikleri verilerin gizlilik derecesine uygun olarak güvenli bir şekilde gecikmeksizin imha edilmesi sağlanır.
(6) Hassas müşteri verileri, Kanun, Yönetmelik ve bu Tebliğ kapsamında izin verilen haller saklı kalmak kaydıyla, dış hizmet sağlayıcılar ve kanunlarla açıkça yetkili kılınan merciler dışındaki taraflara verilemez. Müşteri bilgileri, kanunla açıkça yetkili kılınan merciler dışındaki taraflara, ancak müşterinin paylaşım sınırları hakkında aydınlatılması ve müşterilerin açık rızasının alınması kaydıyla verilebilir. Müşterinin açık rızası, 6698 sayılı Kanuna uygun şekilde güvenli yöntemlerle alınır. Elektronik ortamdaki bir sözleşme ile alınacak onay yalnızca ilk defa oturum açılırken ve müşterinin açıkça bilgilendirilmesi kaydıyla gerçekleştirilebilir. Müşterinin bilgilerini paylaşmaya dair rıza göstermesi verilecek hizmet için bir ön şart haline getirilemez.
(7) Kanun kapsamına giren işlemler ile ilgili olarak kişisel verilerin işlenmesi faaliyetlerinde, 6698 sayılı Kanun ve bu Kanun uyarınca yapılan düzenlemelerde yer alan hükümler öncelikli olarak uygulanır ve bu hükümler kapsamında belirlenmiş olan usul ve esaslara uyulması zorunludur.
Kimlik doğrulama
MADDE 10 – (1) Kuruluş, bilgi sistemlerinde gerçekleştirilen işlemlerde kullanılmak üzere yeterli ve etkin bir kimlik doğrulama sistemi kurar. Kurulacak kimlik doğrulama sistemi çerçevesinde personele tanımlanan roller ve sorumluluklar açık bir şekilde yazılı olarak oluşturulur.
(2) Kullanılacak kimlik doğrulama tekniklerine, sekizinci fıkra hükümleri saklı kalmak kaydıyla, yapılacak risk değerlendirmesi sonucuna göre karar verilir. Risk değerlendirmesi, bilgi sistemleri üzerinden gerçekleştirilmesi planlanan işlemlerin türü, niteliği, varsa doğuracağı finansal ve finansal olmayan etkilerin büyüklüğü, işlemin gerçekleştirilmesinde kullanılan ödeme aracı, işlem çeşitleri, işleme konu verinin hassaslık derecesi, talimata dayalı düzenli ödeme olması, müşterinin işlem limitleri, işlemin karşı tarafının güvenli alıcılar listesinde olması, kimlik doğrulama tekniğinin kullanım kolaylığı ve acil duruma özgü yetkilendirme ihtiyacı dâhil olmak üzere gerekli hususlar göz önünde bulundurularak gerçekleştirilir.
(3) Kuruluş, kimlik doğrulama sisteminin bilgi sistemlerinin hangi alt unsurları için geçerli olacağını ve kimlik doğrulama sisteminde hangi alt unsur için hangi kimlik doğrulama tekniklerinin kullanılacağını açıkça belirler.
(4) Kimlik doğrulama için günün teknolojisine uygun ve güvenli bir parola politikası belirlenir. Kimlik doğrulamada kullanılacak tek kullanımlık parolaların, ihtiyaç duyulan güvenlik seviyesini sağlayacak kadar uzun olması, yetkisiz kişilerce tespit ve tahmin edilmesine ilişkin riskleri asgari düzeye indirecek yöntemleri gözetmesi ve belirli bir süre için geçerli olması gerekir.
(5) Kimlik doğrulama için kullanılacak parola, değişken parola, tek kullanımlık parola cihazı, şifreleme gizli anahtarı, akıllı kart ve işlem doğrulama kodu gibi bileşenlerin güvenliği üretim aşamasından başlayarak kullanıcıya ulaştırılmasına dek sağlanır. İşlem doğrulama kodu aracılığıyla güçlü kimlik doğrulama unsurlarından hiçbiri hakkında bilgi edinilememesi, bilinen bir işlem doğrulama kodu ile geçerli başka işlem doğrulama kodlarının türetilememesi, işlem doğrulama kodlarının taklit edilememesi sağlanır. İşlem doğrulama kodunun üretilmesinde hata meydana gelmesi ya da üretilememesi halinde, kimlik doğrulama teşebbüsünde bulunan kişi tarafından hatanın hangi kimlik doğrulama unsurundan kaynaklandığının anlaşılamamasını sağlayacak önlemler alınır.
(6) Kuruluş, kimlik doğrulama için kullanılan verilerin gizliliğinin, bütünlüğünün ve güvenliğinin sağlanarak saklanması ve aktarılması için gerekli altyapının oluşturulmasını sağlar. Kimlik doğrulama işlemleri esnasında, müşterinin bildiği kimlik doğrulama unsurları ile tek kullanımlık parola veya işlem doğrulama kodu gibi bileşenlerin, personelin dahli ve erişimi olmadan ilgili kanal üzerinden girişinin yapılması sağlanır.
(7) Kimlik doğrulamada;
a) Kullanıcıya sisteme girdiği anda önceki başarısız kimlik doğrulama teşebbüsleri hakkında bilgi verilmesi,
b) Başarısız teşebbüslerin belirli bir sayıyı aşması halinde ilgili kullanıcı erişiminin bloke edilmesi,
c) Başarısız kimlik doğrulama teşebbüsleri sonrasında, kullanıcı adının sistemde olmadığı veya parolanın hatalı girildiği gibi bilgilerin verilmemesi,
ç) Belli bir süre işlem yapılmayan veya güvenli bir şekilde çıkış yapılmadığından arka planda çalışır şekilde kalan oturumun belirli bir süre sonra sonlandırılması,
d) Birden fazla müşterinin aynı ödeme hesabını kullanmaları ya da aynı anda farklı oturumlar açabilmeleri konusunda yetkilendirildiği durumlar hariç olmak üzere, aynı müşteri için aynı anda birden fazla oturum açılmaya çalışılması durumunda buna izin verilmemesi ve müşterinin uyarılması,
gerekir.
(8) Müşteriler tarafından elektronik kanal üzerinden yapılan ve finansal sonuç doğuran veya finansal sonuç doğurmayan işlemlerde, düzenlemelerde açıkça aksine imkan tanınmadığı sürece güçlü kimlik doğrulama kullanılması esastır. Güçlü kimlik doğrulama esnasında müşterinin sahip olduğu bileşenin müşteriye özgü olması ve taklit edilememesi esastır. Kimlik doğrulamada T.C. Kimlik Kartının kart PIN'i veya biyometrik veri ile birlikte kullanılması veya güvenli elektronik imzanın kullanılması hallerinde bu fıkranın gerekleri yerine getirilmiş sayılır. Kuruluşun mobil uygulamasının kontrolünde olmayıp cihaz üreticisi kontrolünde olan parola, PIN ya da biyometrik veriler, bu fıkra kapsamında güçlü kimlik doğrulama unsurları olarak kullanılamaz.
(9) 11/10/2006 tarihli ve 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanuna ilişkin yükümlülükler kapsamında, 22 nci maddeye göre sözleşme kurulması sonrasında kimlik tespiti gerektiren müteakip ödemeler elektronik kanaldan başlatıldığında, güçlü kimlik doğrulama yöntemi kullanılır.
(10) Ödeme aracının ve kimlik doğrulama aracının müşteriye ulaştırılmasında kullanılan telefon numarası ve adres gibi bilgilerin, müşteri tarafından tanımlanan güvenli alıcılar listesinin ve tek bileşene dayalı kimlik doğrulama kullanılarak yapılabilecek işlem listesinin değiştirilmesinde güçlü kimlik doğrulama yöntemi kullanılır.
(11) Hassas müşteri verilerine erişim sağlandığında veya düzenli ödeme talimatı verilirken güçlü kimlik doğrulama yöntemi kullanılır.
(12) 5549 sayılı Kanuna ilişkin yükümlülükler saklı kalmak üzere, dokuzuncu fıkraya göre güçlü kimlik doğrulama ile gerçekleştirilmesi gereken işlemler için müşterinin sözleşme ile ya da güvenli yöntemlerle onayının alınmış olması ve ödeme işleminin güvenli alıcılar listesindeki bir alıcı ile gerçekleştirilmesi halinde güçlü kimlik doğrulama uygulanması zorunlu değildir.
(13) Müşteri tarafından gerçekleştirilecek finansal işlemler için kuruluş tarafından müşteri onayını almak üzere işlem doğrulama kodu üretilir ve işlem bilgisi ile birlikte müşteriye sunularak müşteri onayı alınır. Finansal sonuç doğurmayan işlemler için ise işlem doğrulama kodu kullanılıp kullanılmayacağına kuruluş tarafından yapılacak ikinci fıkrada belirtilen risk değerlendirmesine göre karar verilir ve işlem doğrulama kodu kullanılmayan işlemlerle ilgili olarak gerçekleştirilen işlemin müşteri tarafından yapıldığını ispat etme yükümlülüğü kuruluşa ait olur. Tek bileşene dayalı kimlik doğrulama yapıldığında, işlem doğrulama kodunun kimlik doğrulamada kullanılandan farklı bir bileşen oluşturacak şekilde müşteriye onay için sunulması ile güçlü kimlik doğrulama yerine getirilmiş kabul edilir.
(14) Kuruluşun bu madde uyarınca gerekli hallerde güçlü kimlik doğrulama mekanizması sunmaması halinde, gerçekleştirilen işlemlerin müşteri tarafından yetkilendirilmiş olduğunu ispat yükümlülüğü kuruluşa aittir.
(15) Anonim ön ödemeli araçlarla ilgili işlemlerde güçlü kimlik doğrulama zorunluluğu yoktur.
(16) Müşterinin kimliğini tespit etmeye yarayan ve resmi kimlik belgesi yerine geçen belgeler üzerinde yer alan bilgiler ile anne kızlık soyadı, elektronik kanallar üzerinden sunulan Kanun kapsamındaki faaliyetlerin sunulması esnasında hiçbir aşamada kimlik doğrulama amacıyla kullanılamaz. Kimlik doğrulamada müşterinin bildiği bileşen olarak bir güvenlik sorusunun kullanılması durumunda, güvenlik sorusunun resmi kimlik belgesi yerine geçen belgeler üzerinde yer alan bilgilerden birine ilişkin olmaması ve cevabının müşterinin kendisi tarafından belirleniyor olması gerekir.
(17) Bir kimlik doğrulama bileşeninin bir müşteri ile ilk defa ilişkilendirilmesi uzaktan gerçekleştirilecekse, ilişkilendirme güvenli yöntemlerle ve güçlü kimlik doğrulama gerçekleştirilerek yapılır.
(18) Kuruluş, Kanun kapsamında gerçekleştirilen işlemler için inkâr edilemezliği sağlayacak teknolojik ve hukuki altyapıyı oluşturur.
(19) Kuruluş, bilgi sistemlerinin kullanımında oturum güvenliğini sağlayacak tedbirleri ve kimlik doğrulama bilgisinin oturumun başından sonuna kadar doğru olmasını garanti edecek önlemleri alır.
(20) Kuruluş güçlü kimlik doğrulama kapsamında müşterisinin tercih ettiği kimlik doğrulama bileşenlerinin farklı bileşen sınıflarına ait olmasını temin eder. Kuruluş, güçlü kimlik doğrulama sürecinde müşterinin sahip olduğu bileşen sınıfı olarak SMS OTP ya da SMS ile işlem doğrulama kodu kullanabilir. Kuruluşun mobil uygulamasını yükleyerek etkinleştirmiş olan müşterinin güçlü kimlik doğrulaması kapsamında oturum açılması ya da oturumun devamında herhangi bir işlemin doğrulanması için SMS OTP ya da SMS ile işlem doğrulama kodu kullanılması halinde bu faktör güçlü kimlik doğrulamada müşterinin sahip olduğu bileşen olarak sayılamaz. Kuruluşun mobil uygulamasının ilk kurulumu, etkinleştirilmesi, yeniden etkinleştirilmesi aşamalarında ya da kuruluşun mobil uygulamasının kullanılamaz hale gelmesi durumunda güçlü kimlik doğrulama kapsamında müşterinin sahip olduğu bileşen olarak SMS OTP ile ya da SMS ile işlem doğrulama kodu kullanılması bu fıkra hükmüne aykırılık teşkil etmez.
(21) Kimlik doğrulama esnasında SMS teknolojisinin kullanılması durumunda, kuruluş, elektronik haberleşme işletmecileriyle SIM kart değişikliği gerçekleştirmiş veya numara taşıma yoluyla elektronik haberleşme işletmecisini değiştirmiş müşterileri tespit edebilmek için gerekli altyapıyı oluşturur ve bu tür değişiklikler yapmış müşteriye, yapılan değişikliğe ilişkin müşterinin açık teyidi alınmadığı sürece, değişikliğin yapıldığı tarihten itibaren 90 gün boyunca elektronik kanallar üzerinden gerçekleşecek işlemler kapsamında yapılacak kimlik doğrulamada SIM karta dayalı bir yöntem kullanılamaz. Aksi durumda gerçekleştirilen her türlü işlem için gerçekleştirilen işlemin müşteri tarafından yapıldığını ispat etme yükümlülüğü kuruluşa aittir.
(22) Güçlü kimlik doğrulamada kullanılacak müşterinin bildiği bileşenin, mobil uygulama veya internet tarayıcısı tarafından hatırlanarak veya başka lokal kimlik doğrulama yöntemlerine bağlanarak otomatik olarak gönderilmemesi gerekir ve müşterinin bildiği bileşenin müşteri tarafından girilmesi zorunlu tutulur.
(23) İnternet şubesinde kimlik doğrulama işlemi gerçekleştirilirken, oturum açılmadan önce, müşteri tarafından güçlü kimlik doğrulama ile önceden belirlenmiş olan bir karşılama mesajının veya resminin, müşteriye gösterilmesi sağlanır.
(24) İnternet şubesinde güçlü kimlik doğrulama işlemi gerçekleştirilirken, müşteriye atanmış bir şifreleme gizli anahtarı ile imzalanacak şekilde işlem doğrulama kodu üretilir. İşlem doğrulama kodunun, müşteriye atanmış bir şifreleme gizli anahtarı ile imzalanmasının mümkün olmadığı hallerde, yirminci fıkra hükümleri saklı kalmak kaydıyla, müşteriye SMS ile doğrulama kodu iletilebilir.
(25) Mobil uygulama için tanımlanan uygulama PIN'inin veya kimlik doğrulama unsuru olarak belirlenmiş olan müşteriye ait bir biyometrik verinin müşteriye özgü bir şifreleme anahtarına erişmek üzere kullanılması ve bu şifreleme anahtarı yoluyla müşteriyle ilintili biricik bir bilginin kuruluş nezdinde çevrim içi olarak doğrulanması halinde, güçlü kimlik doğrulama yerine getirilmiş kabul edilir.
(26) Mobil uygulamanın etkinleştirilerek müşterinin sahip olduğu bir kimlik doğrulama unsuru olarak kullanılması şartıyla, müşterinin yalnızca mobil uygulama aracılığıyla müşteri ve hesap bilgilerini görüntülemek istemesi, ödemenin göndereni ve alıcısının aynı olması, müşterinin talimatına istinaden gerçekleştirilen düzenli bir ödeme olması, ödeme işleminin daha önce tanımlanmış güvenli alıcılar listesindeki bir alıcı ile gerçekleştirilmesi ve kuruluşun ikinci fıkrada belirtilen risk değerlendirmesi sonucunda bu yönde karar verdiği, bu madde başta olmak üzere ilgili düzenlemelerde güçlü kimlik doğrulamanın kullanılmasının zorunlu tutulmadığı diğer ödeme işlemleri esnasında ilave bir kimlik doğrulama unsuruna gerek kalmadan tek bileşene dayalı kimlik doğrulama sekizinci fıkraya aykırılık teşkil etmez. Tek bileşene dayalı kimlik doğrulama yapılan bu işlemlerle ilgili olarak gerçekleştirilen işlemin müşteri tarafından yapıldığını ispat etme yükümlülüğü kuruluşa ait olur. Müşterinin mobil uygulamada ilk defa oturum açması veya güçlü kimlik doğrulama ile açtığı son oturumun üzerinden 90 günden daha fazla bir süre geçmiş olması halinde, güçlü kimlik doğrulamaya tabi tutulması esastır.
(27) Finansal olmayan işlemler dahil olmak üzere telefon ile gerçekleştirilecek işlemlerde güçlü kimlik doğrulama uygulanması esastır. Güçlü kimlik doğrulama uygulanmadan telefon aracılığıyla hizmet vermek üzere müşteriyi karşılayan personelin müşteriye ilişkin bilgileri görememesi veya müşteriye ilişkin işlem menüsünün aktif olmaması sağlanır. Müşterinin kendi hesapları arasındaki finansal işlemler ile finansal olmayan işlemlerin gerçekleştirilmesi için uygulanacak kimlik doğrulamada PIN bilgisi müşterinin bildiği unsur olarak kullanılabilir.
(28) Kayıp, çalıntı ve dolandırıcılık gibi riskli işlem bildirimi durumunda, personele bağlanan müşterilerin kimlik doğrulaması yapılmaksızın personelin bilmesi gerektiği kadar müşteri bilgisine erişebilmesi sağlanır ve gerekli güvenlik önlemleri alınır.
(29) Telefon bağlantısı olmaksızın ya da bağlantının sonlanması halinde kayıp, çalıntı ve dolandırıcılık gibi riskli işlem bildirimi haricinde müşteriye ilişkin herhangi bir işlem gerçekleştirilemez.
(30) Müşterinin telefon kanalıyla, elektronik kanallarda kullandığı kimlik doğrulama veya telefon bilgilerinde değişiklik gerçekleştirmek istemesi halinde bu değişikliğin personelin dahli ve erişimi olmadan otomatik sistemler üzerinden gerçekleştirilmesi sağlanır.
(31) Müşterinin telefon ile aranmasının gerektiği durumlarda, arama gerçekleştirilmeden önce telefonun başka bir numaraya yönlendirilmemiş olduğuna ilişkin kontroller işletilir.
(32) Banka, bu maddede düzenlenen kimlik doğrulama kuralları bakımından istisna getirmeye veya ilave güvenlik önlemleri ihdas etmeye yetkilidir.
Erişim yönetimi
MADDE 11 – (1) Kuruluş, personelin sisteme dâhil olan ağlara, alt sistemlere, uygulamalara, verilere ve fiziksel ortamlara erişimine ilişkin yetki ve sınırlandırmaları, personelin görev, yetki, sorumluluk ve ayrıcalıkları kapsamında işin gerektirdiği bilgiye erişimine imkân verecek şekilde açıkça belirler ve yetkisiz erişimleri engellemek üzere gerekli tedbirleri alır.
(2) Kurulu