Elektronik Bankacılık Hizmetlerinde ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasında Kimlik Doğrulama ve İşlem Güvenliği için Sağlanması Gereken Kriterler Hakkında 2023/1 Sayılı Genelge (“Genelge”), Bankacılık Düzenleme ve Denetleme Kurumu (“BDDK”) resmî internet sitesinde 27 Mart 2023 tarihinde yayımlanmıştır.
2020 yılından bu yana, Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik (“BSEBY”), Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik (“UKTY”), Dijital Bankaların Faaliyet Esasları ile Servis Modeli Bankacılığı Hakkında Yönetmelik (“DBY”) ve son olarak Finansal Kiralama, Faktoring, Finansman ve Tasarruf Finansman Şirketlerince Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik (“UKTY-2”) hükümleri ile yazılı şeklin yerine geçecek sözleşme ilişkilerinin kurulabilmesi için birtakım kriterler ve yükümlülükler getirilmiştir.
Genelge ile dayanağı 5411 sayılı Bankacılık Kanunu, 6311 sayılı Finansal Kiralama, Faktoring, Finansman ve Tasarruf Finansman Şirketleri Kanunu olan 23 Mart 2023 tarihli ve 10546 sayılı BDDK Kararı ile kimlik doğrulama ve işlem güvenliğine ilişkin rehber niteliğinde açıklamalar yayımlanarak yeknesak bir uygulamanın sağlanması hedeflenmiştir.
Genelge ile BSEBY'de yer alan hükümler ari kalmak kaydı ile mobil bankacılık uygulamalarının kurulum, aktifleştirme ve kullanılamaz olması durumları haricinde oturum açma veya işlem doğrulama için hiçbir şekilde SMS veya OTP ile doğrulama kodunun gönderilmesinin mümkün olamayacağının altı çizilmiştir.
Genelge ile üretilen doğrulama kodunun, müşteriye özgü gizli anahtar ile imzalanması gerektiği ve PIN gibi bilgilerin mobil uygulamanın yüklü olduğu cihazda lokalde değil, banka nezdinde çevrimiçi olarak doğrulanması halinde BSEBY bakımından yükümlülüklerin yerine getirilmiş sayılacağı vurgulanmıştır.
BSEBY, UKTY ve UKTY-2 müşteriye atanmış bir şifreleme gizli anahtarı ile doğrulama kodlarının imzalanmasını tek başına yeterli görmemekte, şifreleme gizli anahtarlarına müşterilerce güvenli erişimin ve müşterilere özgülenmiş olarak yetkisiz kişilerce kullanımının engellenmesini sağlayacak önlemlerin tesis edilmesini ve müşteriye imzalatılan içeriğin, müşterinin görüp onayladığı içerik olmasını (“WYSIWYS”) aramaktadır. Genelge ile imzalama işleminin WYSIWYS prensibine uygunluğunun sağlanması için uyulması gereken metodoloji net bir şekilde ortaya konmuştur.
Genelge‘de DBY ile hüküm altına alınan, arayüz sağlayıcının mobil uygulaması ya da internet tarayıcısı temelli arayüzünün BSEBY'nin 3. kısmı uyarınca getirilen kimlik doğrulama ve işlem güvenliği yükümlülüklerine uygunluğunun sağlanması gerekliliği de düzenlenmiştir.
Son olarak, bankaların, BDDK denetimi altındaki diğer kuruluşların ve DBY kapsamındaki arayüz sağlayıcıları kimlik doğrulama ve işlem imzalamada kullanılmak üzere ürün veya hizmet sağlayan kuruluşların ürün ve hizmetlerinin bu Genelge'ye uygun olduğunun 31 Aralık 2021 tarihli ve 31706 sayılı 6. Mükerrer Resmî Gazete'de yayımlanan Bilgi Sistemleri ve İş Süreçleri Bağımsız Denetimi Hakkında Yönetmelik kapsamında bilgi sistemleri denetimi gerçekleştirmeleri gereklidir.
Bu kapsamda ilgili kuruluşlar, BDDK tarafından Bankalarda Bilgi Sistemleri Denetimi Yapmaya Yetkili Bağımsız Denetim Kuruluşları listesinde yer alan bir denetim kuruluşu tarafından hazırlanan bir rapor ile BDDK'ya başvurmak ve kimlik doğrulama ve işlem imzalama hususunda ürün ve hizmet sunmak için BDDK'dan izin almakla yükümlüdürler.
Genelge'nin tam metnine bu bağlantı üzerinden ulaşılabilmektedir.
Yazı ilk olarak, Moroğlu Arseven'in iki haftada bir yayımlanan bülteni MA | Gazette'de yer almıştır.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
