BDDK tarafından düzenlenip 1 Temmuz 2020'de yürürlüğe girmek üzere resmi gazetede yayımlanan "Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik", ("Yönetmelik") bankaların bilgi sistemlerinin yönetimi ile elektronik bankacılık hizmetlerine ve bilgi sistemi kontrollerine dair yeni usul ve esasları belirlemektedir.

Bankaların hâlihazırda tabi olduğu "Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ"in ("Tebliğ") yerini alacak olan yeni Yönetmeliğin amacı; veri ihlallerinin sıklıkla yaşandığı bankacılık sektöründe güvenli ve kesintisiz hizmet sağlanabilmesi için uyulması gereken temel prensipleri belirlemektir. Elektronik bankacılık işlemlerinin güvenliği, izlenmesi ve kalitesinin sağlanması amacıyla Yönetmelikle getirilen pek çok yeni düzenleme arasından özellikle kişisel veriler ile veri güvenliğine ilişkin öne çıkan hususlar aşağıdaki gibidir:

  • Banka, müşteriden gelen, ve yazılı ya da kanıtlanabilir müşteri talebi olmaksızın, faaliyetlerinin ifası sırasında ve bilgi sistemleri aracılığıyla edindiği, sakladığı ve işlediği müşteri sırrı niteliğindeki bilgileri kural olarak yurtiçindeki ve yurtdışındaki üçüncü kişilerle paylaşamaz ve bunlara aktaramaz.
  • Müşterinin bilgilerini paylaşmaya dair açık rıza göstermesi, verilecek hizmet için bir ön şart haline getirilemez.
  • Bir siber olay sonucu veriler sızar ya da ifşa edilirse, derhal sektörel Siber Olaylara Müdahale Ekibi (SOME) bilgilendirilir. Hassas verilerin ya da kişisel verilerin sızmasına ya da ifşasına yol açan bir siber olay yaşanırsa, banka tarafından yapılacak değerlendirme sonrasında müşterilerin bilgilendirilmesi sağlanır.
  • Banka tarafından sunulan elektronik bankacılık hizmetlerinden yararlanacak müşteriler hizmetlere ilişkin şartlar, riskler ve istisnai durumlar hakkında açıkça bilgilendirilecektir. Benimsenen güvenlik prensipleri ve risklerden korunmak için yapılması gerekenler müşteriye bildirilecektir. Bu uyarıların daima erişime açık, anlaşılır içeriğe sahip ve dikkat çekici bir lokasyonda bulunması sağlanır.
  • Müşteri bilgilerinin görüntülenmesi gibi finansal sonuç doğurmayan işlemler de dâhil olmak üzere tüm elektronik bankacılık hizmetleri için bankaların müşterilerine iki bileşenli bir kimlik doğrulama mekanizması uygulaması ve kimlik doğrulama verilerinin gizliliğini sağlayacak önlemler alınması öngörülmektedir. Bu kimlik doğrulama mekanizmasının müşteriye özgü olması ve taklit edilememesi gerekmektedir.
  • Müşteri talebi olmadan internet bankacılığı ve mobil bankacılık hizmeti ilgili müşterinin kullanımına açılamaz. Müşteri, herhangi bir elektronik bankacılık hizmetine erişimini kapatmışsa veya kapattırmışsa, müşterinin yeni bir talebi olmadan ilgili hizmet kullanıma açılamaz
  • Bankanın elektronik ortamda müşterilerine ileteceği hassas veri veya sır niteliğinde veri içeren her türlü ekstre, dekont, hesap özeti gibi bilgilerin elektronik bankacılık hizmeti sunulan kanallar üzerinden gönderilmesi öngörülmüştür.
  • İnternet bankacılığında müşterinin gerçekleştirdiği finansal sonuç doğuran işlemler için sürecin her aşamasında, tutar ve alıcı bilgisi gibi bilgilerin gizliliğini, güvenilirliğini ve bütünlüğünü sağlamaya yönelik ve internet bankacılığı oturumu esnasındaki veri iletişiminin yetkisiz kişilere yönlendirilmesi riskine karşı gerekli önlemlerin alınması sağlanacaktır
  • Telefon bankacılığında, iki bileşenli bir kimlik doğrulama gerçekleştirmediği müddetçe, telefon bankacılığında hizmet vermek üzere müşteriyi karşılayan görevlinin müşteriye ilişkin bilgileri görememesi veya müşteriye ilişkin işlem menüsünün aktif olmaması sağlanacaktır
  • ATM bankacılığında, banka, ATM cihazları üzerinde kart kopyalama veya dolandırıcılığını önlemek için bilinen suç aygıtlarına ve tekniklerine karşı gerekli önlemleri almakla yükümlüdür.
  • Elektronik bankacılık hizmetlerinden dolayı müşterilerin yaşayabileceği sorunları ve şikâyetlerini iletebileceği ve takip edebileceği mekanizmalar oluşturulacaktır. Bu mekanizmalarda ilgili elektronik bankacılık hizmetine ilişkin yaşanan dolandırıcılık vakaları hakkında müşterilerin bilgilendirilmesi sağlanır.

Yukardaki hususlara ek olarak Yönetmelik ile düzenlenen diğer önemli başlıklar:

  • Bankalara bulut sistemlerinden hizmet alabilme ve veri depolama imkânı getirilmiştir.
  • Alınan reklam hizmetlerini denetleme ve sahte reklamları engelleme yükümlülüğü ile dolandırıcılığın önüne geçmeye yönelik yeni nesil şifreleme yöntemlerinin kullanılması gerekliliği düzenlenmiştir.
  • Bilgi güvenliğine ilişkin farkındalığın artırılması için çalışmalar yapılması gerekliliğine ek olarak Yönetim Kurullarının bilgi ve veri güvenliği kapsamında doğrudan sorumluluğu düzenlenmiştir
  • Bankaların bilgi sistemlerine ilişkin olarak yedekleme planı, varlık ve veri envanterleri hazırlamaları gerekmektedir.

Bilgi ve değerlendirmenize sunarız.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.