Bankaların bilgi sistemleri ve elektronik bankacılık hizmetlerinde yeni dönem

BDDK’ın bankaların bilgi sistemleri yönetimi ve elektronik bankacılık hizmetlerini düzenleyen 15 Mart 2020 tarihli yönetmeliği kademeli olarak uygulamaya girdi. Yeni yönetmelik, bilgi sistemlerinde belirli bir olgunluk seviyesine gelen Türk bankacılığında yeni bir dönemin ve daha gelişmiş bir bankacılık sisteminin gelişini haber veriyor.

Bankacılık sektöründe bilgi sistemleri faaliyetleri ve elektronik bankacılık hizmetlerine yönelik risklerin yönetiminde esas alınacak asgari usul ve esasların düzenlendiği ve 2011 yılından itibaren yürürlükte olan ‘Bankaların Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliği’ yerine Bankacılık Düzenleme ve Denetleme Kurumu’nun (BDDK) 25 Aralık 2018’de taslak olarak yayımladığı Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik bazı güncellemelerle 15 Mart 2020 tarihinde yayımlanarak yasalaştı. 

Geçtiğimiz dönemlerde tebliğ olan, bankaların faaliyetlerinin ifasında kullandıkları bilgi sistemlerinin yönetimi ile elektronik bankacılık hizmetlerinin sunulmasında ve bunlara ilişkin risklerin yönetiminde esas alınacak asgari usul ve esaslar ile tesis edilmesi gereken bilgi sistemleri kontrollerinin düzenlemeleri artık yönetmelik oldu. Yönetmelik, BDDK'nın bankalarda bilgi sistemlerinin denetim ve gözetim faaliyetleri ile edindiği tarihsel tecrübeler ile birlikte diğer kamu kurumlarından, bankalardan ve banka müşterilerinden gelen talepler, öneriler ve şikayetlerin değerlendirilmesi neticesinde bankaların halihazırda kullandığı çeşitli hizmet kanalları, bu hizmetlerin kullanımından kaynaklanan riskler, teknolojik altyapı, siber ve fiziksel güvenlik kontrolleri gibi bilgi sistemleri yönetimi bileşenlerine ilişkin politikalar, prosedürler, uygulamalar ve organizasyonel yapıların, teknolojik gelişmelere cevap verebilecek şekilde güncellenmesi amacıyla hazırlandı.

Önceki yıllarda, İlkeler Tebliği’ni güncel tutabilmek için farklı konularda, bankalara ve bağımsız denetim şirketlerine uyulması gereken usul ve esasları belirten farklı tebliğler yayımlanmıştı. Ancak BDDK yönetmelikle birlikte hem daha önce gönderdiği usul ve esaslara hem de yayımladığı tebliğlere yer verdi. Yönetmelik iki ana kısımda oluşturuldu. ‘Bilgi Sistemlerine İlişkin Risk Yönetimi ve İç Kontrollerin Tesisi’ başlığını taşıyan kısımda, bankaların bilgi sistemlerinin organizasyonu, varlık yönetimi, risk yönetimi, bilgi güvenliği, ağ güvenliği, konfigürasyon yönetimi, siber olay yönetimi, fiziksel güvenlik, proje yönetimi, değişiklik yönetimi, yedekleme yapısı, destek hizmetleri, yetkilendirme yapısı, denetim izleri, veri gizliliği, müşteri bilgilendirmesi, iş sürekliliği, iç kontrol ve iç denetim yapılarına ilişkin usul ve esaslar belirtildi. İkinci kısımda ise ‘Elektronik Bankacılık Hizmetleri’ başlığında internet bankacılığı, mobil bankacık, telefon bankacılığı, açık bankacılık servisleri, ATM bankacılığı ve müşterilerin uzaktan işlem gerçekleştirebileceği diğer kanalların usul ve esasları tanımlandı. 

Yönetmelikle, bankaların organizasyonunda ve bilgi sistemlerine ilişkin alt yapılarında önemli güncellemeler yapması gerekiyor. En önemli değişikliklerden birinin bilgi güvenliği organizasyon yapısında olduğu görülüyor. Değişiklikle artık, bilgi güvenliği fonksiyonunun, bilgi sistemleri fonksiyonundan ayrı ve bağımsız olacak şekilde, yönetim kuruluna veya genel müdüre bağlı olması gerekiyor. Bu değişiklikle, bankaların son zamanlarda yaşadığı bilgi güvenliği ihlallerinin çok daha aza indirilmesi hedefleniyor. Ayrıca bankaların üst yönetiminin artık bilgi sistemleri ve bilgi güvenliği alanında yapılması gerekenleri çok yakından takip etmesi gerekecek. 

Önemli değişiklerden biri de müşteri verilerinin paylaşımıyla ilgili. Bankacılık kanununda yer alan istisnalar dışında, müşteri sırrı niteliğindeki verilerin yurt içindeki veya yurt dışındaki üçüncü kişilerle paylaşabilmesi için müşterilerinin, ispat edilebilir izninin alınması gerekiyor. Söz konusu değişiklikle dikkat edilmesi gereken iki nokta var; 

Müşteri sırrı: 20 Şubat 2020 tarihinde bankacılık kanununda yapılan değişiklikle sır niteliğindeki veri, ‘bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler, müşteri sırrı hâline gelir’ şeklinde tanımlandı. Ayrıca kanundaki değişiklik teklifi incelendiğinde daha net bir tanımın ortaya çıktığı görülüyor. Gerçek kişi müşterilerin bankalarla müşteri ilişkisine girmeden önce de var olan ve bankalar dışında pek çok şirket, kuruluş tarafında da işlenen adres, telefon bilgisi, lokasyon bilgisi gibi genel nitelikli kişisel verilerin sır kapsamına girmediği, sadece KVKK kapsamına girmesi gerektiği değerlendiriliyor. Örnek olarak da mevduat bilgisi, krediler, kredi skoru, hesap hareketlerine yer veriliyor. Yani, müşterinin banka ile kurduğu ilişki sonrası, bankanın oluşturduğu tüm veriler müşteri sırrı anlamına geliyor.

Müşteri tanımı: Kişisel Verilerin Korunması Kanunu ile birlikte söz konusu ihtiyaca her ne kadar aşina olsak da kanun bireyleri/müşterileri kapsamaktaydı. İlkeler Yönetmeliğinde böyle bir ayrım yapılmadığından söz konusu maddeye uyum göstermek için hem bireysel müşterilerin hem de kurumsal/ticari müşterilerin izinlerinin alınması gerekiyor.

Geçmişte bankalarda süreklilik yönetiminde en çok tartışılmış kavramlardan olan birincil ve ikincil sistemler için de yönetmelikte ilave açıklamalara yer veriliyor. Bankaların kullandığı herhangi bir sistem ya da uygulamanın birincil sistemler kapsamına girmemesi için aynı zamanda sistem veya uygulama üzerinden herhangi bir iş sürecinin yürütülmemesi, hassas veri ya da bankacılık sırrı kapsamına girebilecek verilerin işlenmemesi, iletilmemesi ve saklanmamasının gerekli olduğu ifade ediliyor. Ayrıca, birincil sistemlerin kaçıncı yedeği olduğuna bakılmaksızın, birincil sistemlerin her türlü yedeği ikincil sistemler olarak kabul ediliyor. Bankaların, yurt dışında kurulu bir sistemden herhangi bir onay sürecine tabi olmaksızın bankacılık işlemlerini gerçekleştirebilmesi ve yurt dışı iletişim ağlarıyla bağlantılarının kesildiği durumlarda dahi yurt içinde kurulu bulunan birincil ve ikincil sistemleri aracılığıyla ülke içinde bankacılık faaliyetlerini sunmaya devam edebilmesi gerekliliği açıkça belirtiliyor. Bu değişiklikle, bankaların hangi sistemlerinin birincil ve ikincil sistem olduğuna ilişkin değerlendirmeleri yapmaları ve duruma göre gerekli aksiyonları almaları gerekiyor. 

Ayrıca birincil sistemlerin tamamen devre dışı kaldığı felaket senaryolarında dahi en geç 24 saat içinde faaliyetlerin yeniden sürdürebilir olması yönetmelik kapsamında düzenlendi. Kritik donanım ve sistemler için yedekli çalışma ya da hazırda bekleme düzenleri kurulması, ağ ve iletişim altyapısındaki kesintilere karşı uygun alternatif iletişim kanalları oluşturulması ve yedekleme planının yazılı hale getirilmesi konusunda hükümler belirlendi. Ayrıca, soruşturma veya kovuşturma yürüten adli mercilerden bankalara giden veri taleplerine cevap verilmesi konusunda talep edilen verilerin ilgili mercilere iletilmesi, yedeklerinin alınması ve saklanması hakkında düzenleme yapıldı.

Yönetmelikle kritik bilgi sistemleri ve güvenlik kapsamında alınacak ürün ve hizmetler için sağlayıcıların ve üreticilerin Türkiye’de müdahale ekiplerinin bulunması gerekiyor. Bu gerekliliğin, bu alanda ülkemize katma değer sağlayacağı aşikar. Ayrıca geçmişte bulut bilişim imkanlarından faydalanmalarına izin verilmeyen bankaların, iletişim ve altyapı teknolojilerinin gelişmesiyle yaygınlaşan bulut hizmet modelinin avantajlarından yararlanmaları için, risklerinden kaçınmalarını sağlamak üzere özel ve topluluk bulut hizmeti kullanımına ilişkin düzenleme de yönetmelikte yer aldı. Topluluk bulutunun kullanımı için sadece bankalara ait sistemlerin olması ve her bankaya özgü ayrı kaynağın atanması şartları getirildi.

Organizasyon yapısındaki bir diğer değişiklik de bilgi sistemleri iç kontrol ve iç denetim yapılarının oluşturulması oldu. Eskiden zorunlu olmayan bilgi sistemleri iç kontrol çalışanı artık zorunlu hale getirildi. Her iki çalışan için mesleki tecrübelerinin en az beş yıl olma zorunluluğu var. Ayrıca, bankaların denetim komitesinde, bilgi sistemleri iç kontrol ve iç denetim bulgularını değerlendirebilecek mesleki tecrübeye ve bilgi birikimine sahip bir üyenin bulundurulması gerekiyor. 

Organizasyonda ve bilgi sistemleri alt yapılarındaki ciddi değişikliklerle bundan sonra banka üst yönetimlerinin bilgi sistemleri altyapısından ve risklerinden haberdar olacağı, değerlendireceği ve alınması gereken aksiyonları belirleyeceği bir yapısı olacak. Bilgi sistemleri altyapısı da günün teknolojisine uygun şekilde oluşturulacak.

Diğer kısımda ise elektronik bankacılık hizmetlerine ilişkin usul ve esaslar tanımlanıyor. Bu alanda en büyük değişiklikler açık bankacılık, uzaktan kimlik tespiti ve üçüncü tarafa güven tanımlarının yapılması olarak öne çıkıyor. Her ne kadar şu anda usul ve esaslar net olarak belirlenmemiş olsa da yakın gelecekte, banka müşterilerinin deneyimlerinde ciddi değişiklikler bekleniyor. Bunun dışında banka müşterilerinin yaşadığı dolandırıcılık vakaları ve BDDK’ya yapılan şikayetler dikkate alınarak usul ve esasların belirlendiğini söyleyebiliriz. 

İlkeler tebliğinde belirtilen çift bileşenli kimlik doğrulama süreci devam ediyor ancak bazı değişiklikler var. Anne kızlık soyadı ve kimlikte yazan bilgiler artık kimlik doğrulama unsuru olarak kullanılmayacak. Eğer banka müşterisi mobil uygulama kullanıyorsa, SMS OTP aracılığı ile kimlik doğrulama gerçekleştiremeyecek. Yeni T.C. Kimlik Kartı kimlik doğrulama unsuru olarak kullanılabilecek. Kimlik doğrulama unsurlarının tamamının banka sistemlerinde doğrulanabilecek yapıda olması gerekecek. 

Yeni yönetmelikle telefon bankacılığı ve açık bankacılık servislerinde de kimlik doğrulama işlemlerinin gerçekleştirilmesi zorunlu hale geldi. Gerçekleştirilen tüm işlemlerde öncelikle müşterilerin doğrulanmış olması gerekiyor. Telefon bankacılığında kimlik doğrulama unsurlarının müşteri temsilcisine sözlü olarak aktarılmadan tuşlama yöntemiyle gerçekleştirilmesi zorunlu oluyor.

Elektronik bankacılık işlemlerindeki önemli noktalardan biri de bankaların elektronik ortamda müşterilerine ileteceği hassas veri veya sır niteliğinde veri içeren her türlü dekont, hesap özeti gibi bilgilerin elektronik bankacılık hizmeti sunulan kanallar üzerinden müşterilere göndermesi gerektiğidir. Ayrıca elektronik bankacılık dağıtım kanallarından sunulan herhangi bir işlemin tersinin gerçekleştirilmesi mümkün ve orijinal işleme göre eşit ya da daha az riskliyse, bankaların orijinal işlemin tersi olan bu işlemlerin de aynı elektronik dağıtım kanalından gerçekleştirilmesini sağlaması gerekiyor.

Yönetmelik, ATM bankacılığında ATM cihazlarının ve kameralarının yönetimine ilişkin usul ve esasları belirliyor. Buna göre ATM’ler uzaktan izlenebilecek ve müdahale edilebilecek yapıda olacaklar, kamera kayıtları uzun süreli ve kaliteli görüntü içerecek şekilde saklanacak. Dolandırıcılık vakası halinde, işlemi gerçekleştiren kişinin kimlik tespiti rahatlıkla yapılabilecek. 

Yeni yönetmelik 15 Mart 2020 tarihinde yayımlanmasına rağmen bankaların bazı maddeler için uyumluluk süresi 1 Temmuz 2020, diğer maddeler için ise 1 Ocak 2021 olarak belirlendi. 

BDDK, daha önce yayımladığı ’Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ’ ve diğer yönetmeliklerle Türkiye’de önemli bir süreci başlatarak daha güvenli ve daha güçlü bir altyapı oluşturulması sağladı. Yeni yönetmelik ise bilgi sistemleri alanında belirli bir olgunluk seviyesine gelen Türk bankacılığında yeni bir dönemin ve daha gelişmiş bir bankacılık sisteminin gelişini haber veriyor.