Turkey: Bankaların Bilgi Sistemleri Ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik 1 Temmuz 2020'de Yürürlüğe Girecek

15 Mart 2020 tarihli 31069 sayılı Resmi Gazete'de yayınlanan Yönetmelik, bankaların kullandıkları bilgi sistemlerinin yönetimi ile elektronik bankacılık hizmetlerinin sunulması, risk yönetiminde dikkate alınacak esaslar ile yapılması gereken bilgi sistemleri kontrollerini düzenlemektedir. Yönetmeliğin yürürlüğe girmesiyle Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ yürürlükten kalkacaktır.

Kişisel veriler ve müşteri sırları açısından getirilen yenilikler

Bankalara, bilgi varlıklarının güvenlik gereksinimlerine uygun kontroller tesis etmek için bu varlıkları sınıflandırarak detaylı bir varlık envanteri hazırlama yükümlülüğü getirilmiştir; burada yer alan verilerin kişisel veri olup olmadığı bilgisi de ilgili envantere eklenecektir. Bilgi varlıklarının nasıl sınıflandırılacağına yönelik olarak ise, Bilgi Güvenliği Komitesi tarafından varlık sınıflandırma kılavuzu hazırlanacaktır.

Yönetmelikte bankanın, müşteriden gelen ve yazılı veya kalıcı veri saklayıcısı yoluyla kanıtlanabilir nitelikte olan bir müşteri talebi olmaksızın müşteri sırrı niteliğindeki bilgileri, Bankacılık Kanunu'nda yer alan istisnai haller haricinde yurtiçi ve yurtdışındaki üçüncü kişilerle paylaşamayacağı, bunlara aktaramayacağı ve kişisel veri mevzuatına uyumlu olarak, müşterinin, bilgi paylaşımına dair açık rıza vermesinin bankacılık hizmetlerinin ön şartı haline getirilemeyeceği düzenlenmiştir.

Dış hizmet alınması halinde uygulanması gereken esaslar ve bulut bilişime dair düzenlemeler

Bankaların dış hizmet alması halinde sorumluluklar ve dış hizmet sağlayıcı ile yapılacak sözleşmede bulunması gereken hususlar genişletilerek, Yönetmelikte yeniden düzenlenmiş; alınan dış hizmetin alt yüklenicilere devri bankanın iznine tabi kılınmıştır. Ayrıca, banka üst yönetimine, dış hizmet olarak alınacak hizmetlerin banka açısından doğuracağı risklerin değerlendirilmesi ve yönetilmesi için gözetim mekanizması tesis etme yükümlülüğü getirilmiştir.

Bankaların birincil ve ikincil sistemlerini yurt içinde bulundurmaları zorunluluğu Yönetmelikte de korunmuştur. Keza, birincil veya ikincil sistemler kapsamında, dış hizmet/bulut bilişim hizmeti alınması halinde, dış hizmet sağlayıcının hizmet kapsamında kullandığı bilgi sistemleri ve yedekleri de yurt içinde bulundurulmalıdır.

Dış hizmet alımı kapsamında Bankaların birincil veya ikincil sistemler için bulut bilişim hizmetini tek bir bankaya tahsis edilmiş donanım- yazılım kaynakları üzerinden özel bulut hizmet modeliyle alabilecekleri; bunun yanında, sadece BDDK denetimine tabi kuruluşlara tahsis edilmiş donanım- yazılım kaynaklarının fiziksel olarak paylaşıldığı ancak mantıksal olarak her bankaya özgü ayrı kaynağın atandığı topluluk bulutu hizmet modeliyle dış hizmet alınmasının Bankacılık Düzenleme ve Denetleme Kurulunu'nun iznine tabi olduğu düzenlenmiştir.

Ayrıca Yönetmelik kapsamında, bilgi sistemleri denetleme prosedürü açısından yetkili sorumluların belirlenmesi gerekecektir. Banka ve bankanın dış hizmet sağlayıcıları nezdindeki bilgi sistemleri yönetimine ilişkin faaliyetlerin mevzuata ve banka içi politika ve standartlara uyumlu olduğunu kontrol etmek üzere bilgi sistemleri iç kontrol fonksiyonu oluşturulup bir bilgi sistemi iç kontrol sorumlusu atanacaktır. Ayrıca, bu konularda yönetim kuruluna güvence sağlamak üzere bilgi sistemleri iç denetim fonksiyonu oluşturulacak ve bilgi sistemleri iç denetim sorumlusu atanacaktır. Bilgi sistemi iç kontrol ve iç denetim faaliyetleri dış hizmet alımına konu edilemeyecek, bankanın personeli tarafından yerine getirilecektir.

Yönetmelik bilgi güvenliği, iş sürekliliği ve erişilebilirlik ile ilgili detaylı düzenlemeler getirmiştir.

Yönetmelik uyarınca, Banka yönetim kurullarına bilgi sistemlerinin kullanımından kaynaklanan risklerin yönetilmesi için etkin bir gözetim yürütme ve bunun için BS strateji planı, BS Strateji Komitesi ve BS Yönlendirme Komitesi oluşturma yükümlülüğü getirilmiş olup, bu komitelerin görev tanımları ve çalışma esasları yönetim kurulu tarafından onaylanacaktır.

Yönetmelik kapsamında bilgi sistemlerinin risk yönetimi süreci ve risk analizi ile ilgili detaylı esaslar oluşturulmuş, bilgi güvenliği organizasyonu rolleri ve sorumluluklarına ayrıntılı şekilde değinilmiştir. Ayrıca, Bilgi Güvenliği Yönetimine ilişkin aşağıdaki konularda detaylı düzenlemelere yer verilmiştir;

- Kimlik ve erişim yönetimleri kapsamında kullanıcılara uygulanacak kimlik doğrulama mekanizmalarının oluşturulması, parola yönetimi;

- Veri bütünlüğünün sağlanması ve korunmasına ilişkin tedbirler,

- Bilgi sistemleri dâhilinde gerçekleşen işlem ve olaylara ilişkin oluşturulacak etkin bir iz kayıt mekanizmasının içermesi gereken bilgiler,

- İç ve dış ağlardan gelebilecek tehditler için gerekli ağ güvenlik kontrol sistemlerini tesisi,

- Banka nezdindeki cihazlar ve sunucular üzerindeki yazılım, veritabanı ve uygulamaları için güvenli standart konfigürasyon bilgilerini oluşturulması,

- Güvenlik açıklarını hızla giderecek güvenlik açıkları ve yama yönetimi süreci tesisi,

- Kritik bilgi sistemlerinin uygun güvenlik engelleri ve giriş kontrollerine sahip veri merkezlerinde barındırılmasına ilişkin tedbirler,

- Siber olay yönetimi ve siber istihbarat paylaşımı kapsamında, yeterli teknik ve operasyonel becerilere sahip bir Kurumsal Siber Olaylara Müdahale Ekibi ("SOME") kurulması ve bu kapsamdaki süreçlerin oluşturulması,

- Banka genelinde bilgi güvenliği farkındalık seviyesini artırmak için bilgi güvenliği farkındalığı eğitim programı oluşturulması ve sürdürülmesi, nitelikli personel istihdamı,

Ayrıca bilgi sistemleri sürekliliği ve erişilebilirliği için, yurt dışı ile etkileşimin gerekli olduğu ödeme veya mesajlaşma sistemleri gibi işlemler hariç, bankanın yurt dışında kurulu bir sistemden herhangi bir onay sürecine tabi olmaksızın bankacılık işlemlerini gerçekleştirebilmesi ve yurt dışı iletişim ağlarıyla bağlantılarının kesildiği durumlarda dahi yurt içinde kurulu bulunan birincil ve ikincil sistemleri aracılığıyla ülke içerisinde bankacılık faaliyetlerini sunmaya devam edebilmesi esası getirilmiştir.

Veri yedekleme açısından ise bankalara, hangi sistem, sunucu ve veri yedeklerinin, hangi sıklıkta ve yöntemlerle alındığını; nerede ve ne tür ortamda tutulduğunu, güncel durumu yansıtacak şekilde kayıt altına almakla yükümlülüğü getirilmiştir.

Yönetmelikte internet bankacılığı, mobil bankacılık, telefon bankacılığı, açık bankacılık hizmetleri ve ATM bankacılığına ilişkin kimlik doğrulama, işlem güvenliği hakkında düzenlemelere ve yeni öngörülen bir yöntem olan "uzaktan kimlik tespiti"ne de yer verilmiştir.

Neticeten, bankaların sistem, prosedür ve süreçlerinin 1 Temmuz 2020 tarihine kadar Yönetmeliğin getirdiği yeni esaslara uygun hale getirmesi gerekecektir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.