Yeni teknolojilerin en hızlı adapte olduğu ve dijitalleşmenin en yoğun yaşandığı sektörlerin başında gelen bankacılıkta tüm faaliyetlerin ve özellikle de elektronik bankacılık hizmetlerinin güvenli bir şekilde sürdürülebilmesi için bilgi sistemleri büyük önem taşıyor.
Bankacılık her geçen gün daha da artan bir hızla elektronik ve dijital ortamlara taşınıyor. Bu da bilgi sistemlerinin önemini artırdığı gibi bunlardan kaynaklanabilecek risklerin de artmasına neden oluyor.
Bu riskler etkili yönetilemediği takdirde bankaların ve müşterilerin büyük zararlar ile karşılaşması olası. Bu nedenle bu riskleri etkili yönetmeye imkan verecek düzenlemeler ve uygulamalar önem taşıyor.
Bankaların bilgi sistemleri yönetiminde esas alınacak ilkelere yönelik tebliğ BDDK tarafından 2007 yılında yayımlanmıştı. Fakat aradan geçen sürede bankacılıktaki dijital dönüşümün hızı arttı.
YENİ BDDK YÖNETMELİĞİ 15 MART 2020’DE YAYIMLANDI
İnternet/mobil bankacılık, açık bankacılık, FinTech, blockchain, yapay zeka, robotik teknolojiler, sanal gerçeklik, bulut teknolojileri, büyük veri gibi alanlardaki gelişmeler bankacılığa giderek daha fazla etkiliyor. Bankaların bilgi sistemlerinin de bu gelişmelere uyum sağlaması gerekiyor.
Bu kapsamda BDDK tarafından uzun süredir yeni bir düzenleme üzerinde çalışılıyordu. Bu çalışmalar nihayet sonuçlandı ve bankaların bilgi sistemleri ve elektronik bankacılık hizmetlerine yönelik BDDK yönetmeliği 15 Mart 2020 tarihinde Resmi Gazete’de yayımlandı.
YENİ YÖNETMELİK 1 TEMMUZ’DA YÜRÜRLÜĞE GİRECEK
Bankaların bilgi sistemlerine yönelik kapsamlı ve daha önceki düzenlemeye göre çok daha sıkı kurallar getiren Yönetmelik 1 Temmuz 2020 tarihinde yürürlüğe girecek. Yönetmelik temelde bankaların faaliyetlerini gerçekleştirmede kullandıkları bilgi sistemlerinin yönetimi ile elektronik bankacılık hizmetlerinin sunulmasında ve bunlara ilişkin risklerin yönetiminde esas alınacak asgari usul ve esaslar ile tesis edilmesi gereken bilgi sistemleri kontrollerini düzenliyor.
Yönetmelik ile yeni teknolojiler ve yeni bankacılık trendleri ile düzenlemeler arasındaki boşlukların giderilmesi ve bankaların bilgi sistemleri yönetimine ilişkin politikaları, prosedürleri ve organizasyonlarının teknolojik gelişmelere uyum sağlayacak şekilde güncellenmesi amaçlanıyor.
Yönetmelik gereğince banka yönetim kurulu; bilgi sistemlerinin yönetimini kurumsal yönetimin bir parçası olarak ele almak, bilgi sistemlerinin doğru yönetimi için gerekli kaynakları tahsis etmek, bilgi sistemleri üzerinde etkin kontroller oluşturulmasını sağlamak ve gelişen yeni teknolojileri de göz önünde bulundurarak bilgi sistemlerinin kullanımından kaynaklanan risklerin yönetilmesi için etkin bir gözetim yürütmek ile sorumlu olacak.
Bu amaçla yönetim kurulu tarafından onaylanmış bir bilgi sistemleri strateji planı, bilgi sistemleri strateji komitesi ve bilgi sistemleri yönlendirme komitesi oluşturulacak. Bankanın bilgi sistemleri organizasyonu, bankanın büyüklüğü ve faaliyetlerinin karmaşıklığı ile orantılı olacak.
BİLGİ VARLIĞI VE BİLGİ SİSTEMİ RİSK ENVANTERLERİ HAZIRLANACAK
Bankalar, bilgi sistemlerinin kullanımından kaynaklanan riskleri yönetmek ve bilgi varlıklarını korumak amacıyla gerekli politika, prosedür ve süreç dokümanları oluşturacak, işletecek, dokümanları yılda en az bir defa gözden geçirecek ve gerekli güncellemeleri yapacak.
Bilgi varlıklarının güvenlik gereksinimlerine uygun kontroller oluşturulması için bu varlıklar sınıflandırılarak detaylı bir varlık envanteri hazırlanacak. Hazırlanacak envantere varlıklar arasında kişisel veri olup olmadığı bilgisi de eklenecek.
Her bir varlığın tanımlı ve onaylı bir güvenlik sınıfına ve erişim kısıtlamasına sahip olması sağlanacak. Bilgi varlığının sınıflandırılmasına yönelik bir varlık sınıflandırma kılavuzu hazırlanacak.
Bankaların bankacılık faaliyetlerinde bilgi teknolojilerini kullanıyor olmasından kaynaklanan riskleri analiz etmek, azaltmak, takip etmek ve raporlamak üzere bir bilgi sistemleri risk yönetimi süreci oluşturmaları gerekiyor. Her bir bilgi sistemi riskine ilişkin aksiyonlar belirlenecek. Bunlar riskin azaltılması, riskten kaçınma, riskin kabulü ve riskin transferi gibi yöntemlerle yönetilecek. Belirlenen aksiyonlar risk aksiyon planına dönüştürülecek.
Risk analizleri sonucu hazırlanan güncel risk değerlendirme raporu ve risk aksiyon planı birleştirilerek bilgi sistemi risk envanteri oluşturulacak. Risk analizi çalışmaları yılda en az bir defa yapılacak, plan ve risk envanteri güncellenecek.
BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ OLUŞTURULACAK
Banka bünyesinde bilgi güvenliğinin sağlanmasında nihai sorumluluk yönetim kuruluna ait olacak. Yönetim kurulu, banka genelinde uygulanmasını gözetmekle yükümlü olduğu bir bilgi güvenliği yönetim sistemi tesis edecek.
Bu kapsamda bilgi güvenliği politikası, prosedürleri ve süreç dokümanları hazırlanacak ve yılda en az bir defa gözden geçirilip güncellenecek. Ayrıca Bilgi Güvenliği Komitesi oluşturulacak. Komitenin koordinasyonunu bilgi güvenliği sorumlusu tarafından yerine getirecek.
Komitenin görev tanımı ve çalışma esasları Yönetim Kurulu tarafından onaylanacak. Komite yılda en az iki defa toplanacak ve en az bir defa yönetim kuruluna rapor sunacak. Bankada mevcut bilgi sistemleri yapısından ayrı ve bağımsız bir bilgi sistemleri güvenlik fonksiyonu oluşturulacak. Bu fonksiyon doğrudan yönetim kuruluna veya genel müdüre bağlı olacak ve bilgi güvenliği sorumlusu tarafından yönetilecek.
Bankacılık faaliyetlerinin yürütülmesinde kullanılan verilerin gizliliğini sağlayacak önlemler alınacak. Şifreleme için günün teknolojisine uygun algoritmalar kullanılacak. Hassas veriler şifrelenerek saklanacak.
Müşterinin talebi olmadan müşteri sırrı niteliğindeki bilgiler üçüncü kişiler ile paylaşılamayacak. Müşterilerin bilgilerini paylaşmaya dair açık rıza göstermesi, verilecek hizmet için bir ön şart haline getirilemeyecek.
Bilgi varlıklarına erişim uygun bir kimlik doğrulama yöntemiyle gerçekleştirilecek. Kullanıcı yetkileri görev ve sorumlulukları ile uyumlu olacak. Bilgi sistemlerinde gerçekleşen işlem, kayıt ve verilerin bütünlüğünü sağlayacak tedbirler alınacak. Bilgi sistemlerinde gerçekleşen işlem ve olaylara ilişkin bir iz kayıt mekanizması oluşturulacak. Yapılan sorgulamaların iz kayıtları beş yıl saklanacak.
ZARARLI VE GEREKSİZ E-POSTALAR ENGELLENECEK
Banka ağına gelebilecek tehditleri önlemek için ağ güvenlik kontrol sistemleri oluşturulacak. Sistem, yazılım ve cihazlar için güvenlik açıkları ve yama yönetimi süreci tesis edilecek. Zararlı ya da iş ihtiyaçlarına göre gereksiz eklentiler içeren e-postalar engellenecek. Veri merkezleri, sistem odaları, ağ ekipman odaları gibi kritik alanlara erişim sınırlandırılacak.
Siber olaylar için yönetim ve siber olaylara müdahale süreci oluşturulacak. Siber olaylara müdahale ekibi kurulacak. Bilgi güvenliği farkındalığını artırmak için kapsamlı bir eğitim programı oluşturulacak ve uygulanacak.
Bilgi sistemleri projeleri için uygun bir yönetim süreci ve yapısı oluşturulacak. Yazılım geliştirme sürecinde görevler ayrılığı prensibine uygun olarak geliştirme, test ve üretim ortamları birbirinden ayrı tutulacak. Uygulamalardaki verilerin doğruluğu, tamlığı ve güvenilirliği için sistemsel veya manuel uygulama kontrolleri yürütülecek.
Bankaların birincil ve ikincil sistemlerini yurt içinde bulundurmaları zorunlu olacak. Banka, herhangi bir donanım veya yazılım bileşeninin beklendiği gibi çalışmadığı durumlarda, sistemin veya bankacılık faaliyetlerinin önemli bir bölümünün çalışamaz hale gelmesini önlemek adına kritik donanım ve sistemler için yedekli çalışma ya da hazırda bekleme düzenleri kurmakla yükümlü olacak.
Bilgi sistemi servislerinin sürekliliğini sağlamak için Yönetim Kurulu onaylı bir bilgi sistemi süreklilik planı hazırlanacak, bilgi sistemi süreklilik yönetimi süreci sorumlusu atanacak ve bilgi sistemi süreklilik komitesi oluşturulacak. Dış hizmet alımlarından kaynaklanabilecek riskler için yeterli bir gözetim mekanizması kurulacak. Bir dış hizmet olarak bulut bilişim kullanılabilecek, fakat bu hizmet yurt içindeki firmalardan alınabilecek.
İÇ KONTROL VE İÇ DENETİM FONKSİYONU İLE EKSİKLİKLER GİDERİLECEK
Bilgi sistemleri yönetimine ilişkin faaliyetlerin, bu faaliyetleri destekleyen süreçler ve tesis edilen kontrollerin mevzuata ve banka içi politika, prosedür ve standartlara uyumlu olduğunu kontrol etmek üzere bilgi sistemleri iç kontrol fonksiyonu oluşturulacak, bilgi sistemleri iç kontrol sorumlusu atanacak ve kontrol faaliyetleri bu kişinin sorumluluğunda yürütülecek.
Benzer şekilde bilgi sistemleri yönetimine ilişkin faaliyetler, bu faaliyetleri destekleyen süreçler ve tesis edilen kontrollerinin mevzuata ve banka içi politika, prosedür ve standartlara uyumlu olduğu ve bilgi sistemlerine ilişkin iç kontrol ve risk yönetimi faaliyetlerinin etkinliği ve yeterliliği hususunda yönetim kuruluna güvence sağlamak üzere bilgi sistemleri iç denetim fonksiyonu oluşturulacak, bilgi sistemleri iç denetim sorumlusu atanacak ve iç denetim faaliyetleri bu kişinin sorumluluğunda yürütülecek.
İç kontrol, iç denetim ve diğer bilgi sistemleri denetimlerinde tespit edilen bulgular aksiyon planına bağlanarak ve giderilecek. Elektronik bankacılık hizmetleri için bankaların müşterilerine birbirinden bağımsız en az iki bileşenden oluşan bir kimlik doğrulama mekanizması uygulaması ve kimlik doğrulama verilerinin gizliliğini sağlayacak önlemleri alması esas olacak.
Bu iki bileşen; müşterinin “bildiği”, “sahip olduğu” veya “biyometrik bir karakteristiği olan” unsur sınıflarından farklı ikisine ait olmak üzere seçilecek. Müşterinin sahip olduğu bileşenin müşteriye özgü olması ve taklit edilememesi esas olacak. Artık kimlik belgelerinde yer alan bilgiler ile anne kızlık soyadı kimlik doğrulama yöntemi amacıyla kullanılamayacak.
ELEKTRONİK BANKACILIK HİZMETLERİNDE DOLANDIRICILIKLARI ÖNLENECEK MEKANİZMA KURULACAK
Banka, elektronik bankacılık hizmetleri kapsamında gerçekleşen olağan dışı, sahtekârlık amaçlı veya dolandırıcılık riski bulunan işlemleri tespit etmeye ve bunları önlemeye yönelik işlem takip mekanizmaları kuracak. Banka tarafından sunulan elektronik bankacılık hizmetlerinden yararlanacak müşteriler; hizmetlere ilişkin şartlar, riskler ve istisnai durumlarla ilgili olarak açık bir şekilde bilgilendirilecek.
Elektronik bankacılık hizmetlerinden dolayı müşterilerin yaşayabileceği sorunları ve şikayetlerini iletebileceği ve takip edebileceği mekanizmalar oluşturulacak. Banka, müşteri talebi olmadan internet bankacılığı ve mobil bankacılık hizmetini ilgili müşterinin kullanımına açamayacak.
Yönetmelikte ayrıca, internet bankacılığı, mobil bankacılık, telefon bankacılığı ve ATM bankacılığına ilişkin kimlik doğrulama ve işlem güvenliği hükümlerine yer verildi. Bunun yanı sıra Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’da 2019 yılı Kasım ayında yapılan değişiklikle olanaklı hale gelen açık bankacılık ile ilgili hükümlere de yönetmelikte yer verildi.
Yönetmeliğe göre açık bankacılık servislerinin kullanılması sırasında, müşteri veya müşteri adına hareket eden taraf ile banka arasındaki iletişimin uçtan uca güvenli iletişim şeklinde olması, banka tarafından telafi edici ilave kontroller uygulanması ve müşterinin bağlantı kurabileceği kaynaklara ilişkin ilave kısıtlamalar getirilmesi şartıyla tek bileşen ile kimlik doğrulama mümkün olabilecek. Açık bankacılık servisleri aracılığıyla sunulabilecek hizmetlere ilişkin esasları belirlemeye BDDK yetkili olacak.
AÇIK BANKACILIK BAŞLIYOR
Bunların yanı sıra müşterinin veya müşteri adına hareket eden kişinin kimliğini tespit etmek amacıyla, uzaktan kimlik tespiti yöntemleri kullanılabilecek ya da halihazırda müşteri veya müşteri adına hareket eden kişi için daha önce kimlik tespitinde bulunmuş başka bir bankadan açık bankacılık servisleri aracılığıyla hizmet alınabilecek.
Bu konudaki usul ve esasları belirlemeye de BDDK yetkili olacak. Ayrıca yönetmelik kapsamında kurulması öngörülen komiteler, birimler ve sorumlular konusunda, bankaların ölçeği, bilgi sistemlerine bağımlılığı, personel sayısı, alınan dış hizmetler gibi kriterler esas alınarak BDDK tarafından bazı bankalara istisnalar uygulanabilecek.
Görüldüğü gibi BDDK tarafından yayımlanan bu yeni yönetmelik ile bankaların bilgi sistemlerine ve elektronik bankacılık hizmetlerine yönelik pek çok kural belirlendi. Bu kuralların bir kısmı geçmişte de uygulanmakla birlikte yeni yönetmelik ile bu kurallar daha da detaylandırıldı, sıkılaştırıldı ve yeni kurallar ile genişletildi.
Bu yönetmeliğe uyum çalışmaları Bankaların öncelikli konusu olacak. Bankaların bu konuda önemli çalışmalar ve yatırım yapması gerekecek. Bununla birlikte dijitalleşmenin ve teknolojinin geldiği nokta düşünüldüğünde bu alanda artan risklerin etkili yönetilmesi için de bu düzeyde bir düzenleme gerekiyordu.
Bankaların bu düzenlemeye uyum sağlamaları, bilgi sistemleri ve elektronik bankacılık hizmetlerinden kaynaklanan risklerin daha etkili yönetilmesini mümkün kılacak. Bu nedenle bankaların ve bankalara destek hizmeti veren hizmet sağlayıcıların gerekli çalışmalar ve yatırımları yaparak yönetmeliğin yürürlük tarihine kadar düzenlemeye uyum sağlamaları gerekiyor.
Gürdoğan Yurtsever
Turcomoney Dergisi’nin Nisan 2020 sayısında yayımlanmıştır.