1. Giriş

19.08.2021 tarihli Resmi Gazete'de, Bilgi Alışverişi Kuruluşları ile Risk Merkezinin Bilgi Sistemleri Yönetimine ve Denetimine İlişkin Tebliğ ("Tebliğ"), yayımlanarak yürürlüğe girmiştir.

Bankacılık Düzenleme ve Denetleme Kurumu ("BDDK") tarafından hazırlanan işbu Tebliğ hükümlerine Risk Merkezi ve bilgi alışverişi kuruluşları tabi olup; Risk Merkezi ve bilgi alışverişi kuruluşlarının faaliyetlerinin ifasında kullandıkları bilgi sistemleri yönetiminde ve denetiminde esas alınacak asgari usul ve esaslar düzenlenmiştir.

Bu Tebliğ'in yürürlüğe girmesi ile "Bilgi Alışverişi, Takas ve Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler ile İş Süreçleri ve Bilgi Sistemlerinin Denetimine İlişkin Tebliğ" de yürürlükten kaldırılmakla birlikte, eski tebliğde yer alan bazı hükümlerin aynen korunduğu, geniş bir bölümünün ise bu Tebliğ'de yer almadığı görülmektedir.

Tebliğ'de yer alan tanımları uyarınca, "bilgi alışverişi kuruluşları", Banka Kartları ve Kredi Kartları Kanunu'nun 4 üncü maddesi çerçevesinde faaliyet izni alarak bilgi alışverişi faaliyetinde bulunan kuruluşlar1; "Risk Merkezi" ise, kredi kuruluşları BDDK tarafından uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla gerçek kişiler ve özel hukuk tüzel kişileri ile de paylaşılmasını sağlamak üzere Türkiye Bankalar Birliği nezdinde kurulan Risk Merkezi, olarak tanımlanmıştır.

2. Öne çıkan hususlar

Tebliğ'in ikinci bölümü "Bilgi Sistemleri Yönetişimi, Bağımsız Bilgi Sistemleri ve İş Süreçleri Denetimi" ana başlığı altında yer verilen hükümler, Tebliğ'de öne çıkan hususları oluşturmaktadır. Bu bölümde; genel ilkeler, bilgilerin doğruluğunun, güvenliğinin ve güncelliğinin sağlanması, bağımsız bilgi sistemleri ve iş süreçleri denetimi kenar başlıkları altında bilgi sistemlerine yönelik hükümler yer almaktadır.

Tebliğ kapsamında, Risk Merkezi ile bilgi alışverişi kuruluşları;

2.1. Bilgilerin Doğruluğunun, Güvenliğinin ve Güncelliğinin Sağlanması kapsamında:

  1. Üye kuruluşlar ile olan bilgi iletişiminin güvenli, doğru ve yeterli sıklıkta gerçekleşebilmesi için gerekli önlemleri almak, söz konusu önlemleri üye kuruluşa iletmek ve bu önlemlerin yerine getirilmesini gözetmek, (md.6/f.1/c.1)
  2. 5411 sayılı Bankacılık Kanunu 73 üncü maddesi uyarınca sır kapsamında olan bilgilerin üye kuruluş tarafından sorgulanmasına ilişkin işlemlere ait denetim izlerinin, bilgilerin ifşası durumunda üye kuruluş içindeki sorumluların tespitini sağlayacak nitelikte beş yıl süreyle üye kuruluş tarafından tutulmasını temin etmek, (md.6/f.2)
  3. Kendi alanlarına giren konularda sahtecilik ve bilgi ifşasını önleyici çalışmalar yapmak, güvenlik önlemlerini saptamak, ilgili taraflar arasında gerekli bilgi paylaşımının sağlandığından emin olacak şekilde mekanizmalar kurmak ve sağlanan bilgi paylaşımının etkinliğini takip etmek, (md.6/f.3)
  4. Bilgi alışverişi sisteminin sürekliliğinin sağlanabilmesi adına üye kuruluşlar tarafından alınması gerekli olan tedbirleri belirlemek ve yazılı olarak üyeleriyle paylaşmak; yaptığı kontrollerde, söz konusu önlemleri, belirtilen tarihe kadar almadığı tespit edilen üye kuruluşları, alınması talep edilen tedbir ve üye kuruluşa verilen süre ile birlikte en geç 1 ay içerisinde BDDK'ya bildirmek, (md.6/f.4) ile yükümlüdür.

2.2. Bağımsız bilgi sistemleri ve iş süreçleri denetimi kapsamında:

Bağımsız bilgi sistemleri ve iş süreçleri denetimi kenar başlığı altında 7 nci madde uyarınca;

  1. Risk Merkezi ile bilgi alışverişi kuruluşlarının bilgi sistemleri, iş süreçleri ve iç sistemlerinin denetimi ve denetim sonuçlarının raporlanması, Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmelik ("BSDHY") ile belirlenen usul ve esaslar çerçevesinde, BSDHY kapsamında yetkilendirilmiş veya izin verilmiş bağımsız denetim kuruluşlarınca gerçekleştirilebileceği, (md.7/f.1)
  2. İş süreçlerinin belirlenmesi ve denetim kapsamına dâhil edilmesinde, BSDHY'nin 5 inci maddesinde tanımlanan önemlilik kriterinin dikkate alınacağı, (md.7/f.2/c.2)
  3. Bağımsız denetçilerin, Risk Merkezi ile bilgi alışverişi kuruluşlarının destek hizmeti alarak gerçekleştirdiği hizmetlerin bilgi sistemlerini ve iş süreçlerini nasıl etkilediğini göz önünde bulundurarak, denetimini buna göre planlaması ve etkin bir denetim yaklaşımı geliştireceği, (md.7/f.3)
  4. İş süreçleri denetimin her yıl, bilgi sistemleri denetimin iki yılda bir kez yapılacağı ve BDDK tarafınca gerekli görüldüğü hallerde denetlenenlerden herhangi biri ya da tüm denetlenenler için, bu denetimlerin kapsamının ve sıklığının farklılaşabileceği, (md.7/4)
    hüküm altına alınmıştır.

3. Değerlendirme

Tebliğ ile bilgi sistemleri güvenliğinin sağlanmasının önemi bir kez daha ön plana çıkmaktadır. Eski düzenlemede 1 yıl olan sır kapsamındaki bilgilerin sorgulanmasına ilişkin denetim izlerinin saklanma sürelerinin yeni düzenleme ile 5 yıla çıkartılması, gerek 5411 Sayılı Bankacılık Kanunu gerekse de 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında, son yıllarda tespit edilen yetkisiz veya yetki aşımı ile yaşanan veri ihlallerinde hem sorumluların tespit edilmesi anlamında hem de caydırıcılık anlamında olumlu etkisinin olacağı kanaatindeyiz.

Footnote

1. 5464 sayılı Banka Kartları ve Kredi Kartları Kanunu Kapsamında Faaliyet İzni Verilen Kuruluşlar ise şunlardır: Bankalararası Kart Merkezi A.Ş., KKB Kredi Kayıt Bürosu A.Ş., Posta ve Telgraf Teşkilatı A.Ş., Turk Elektronik Para A.Ş. https://www.bddk.org.tr/Kurulus/Liste/88

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.