BANKALARIN BİLGİ SİSTEMLERİ VE ELEKTRONİK BANKACILIK HİZMETLERİ HAKKINDA YÖNETMELİK İLE GETİRİLEN DÜZENLEMELER HAKKINDA BİLGİ NOTU


25 Mart 2020

Avrupa Birliği Ödeme Hizmetleri Direktifi 2 (Payment Services Directive 2) ile uyum ve açık bankacılığın hukuki altyapısının güçlendirilmesi amacıyla Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik (“Yönetmelik”) 15 Mart 2020 tarihli ve 31069 sayılı Resmî Gazete’ de yayımlanmıştır.


I. GİRİŞ

Bankacılık Düzenleme ve Denetleme Kurumu tarafından 25 Aralık 2018 tarihinde kamuoyu görüşüne açılan Yönetmelik taslağı 15 Mart 2020 tarihinde son halini alarak kalıcı bir düzenlemeye kavuşturulmuştur. Yönetmelik, 1 Temmuz 2020 tarihinde yürürlüğe girecektir.
Aynı zamanda, Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğin Yürürlükten Kaldırılmasına Dair Tebliğ ile, 1 Temmuz 2020 tarihinden itibaren geçerli olmak üzere, bugüne kadar konuda ayrıntılı tek düzenlemeyi teşkil eden 14 Eylül 2007 tarihli ve 26643 sayılı Resmî Gazete’ de yayımlanan Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ (“Yürürlükten Kaldırılan Tebliğ”) de yürürlükten kaldırılmış bulunmaktadır.
Yürürlükten Kaldırılan Tebliğ’de yer alan düzenlemelerin günümüz bilgi sistemlerindeki son gelişmeler ve artan güvenlik gereklilikleri ile bir araya getirilmesi sonucu ortaya çıkan Yönetmelik, bankaların bilgi sistemleri güvenliği ve risk yönetimine ilişkin olarak önemli gelişmeler içermektedir. Dolayısıyla Türkiye’de faaliyet gösteren bankaların bu tarihe kadar ek yatırım ve teknik altyapı güncellemelerini gerçekleştirerek düzenlemelere uyum sağlamaları gerekmektedir.
Yönetmelik’te öne çıkan konuları özetle aşağıda bulabilirsiniz


II. ÖNEMLİ DEĞİŞİKLİKLER


1. Yönetmelik ile ilk olarak, bankacılık sektöründe bilgi sistemlerinin iyi yönetişim ilkesi çerçevesinde ilerlemesini sağlamak amacıyla bazı kurumsal düzenlemeler öngörülmüştür:

- Banka yönetim kurullarının bilgi sistemleri üzerindeki etkin gözetim sorumluluğu kapsamında yönetim kurulu tarafından onaylanmış bir Bilişim Sistemleri Strateji Planı, Bilişim Sistemleri Strateji Komitesi ve Bilişim Sistemleri Yönlendirme Komitesi oluşturulması gerekmektedir.

- Banka için değeri olan ve bankacılık faaliyetlerinin yürütülmesinde kullanılan veriler ile bu verilerin taşındığı, saklandığı, iletildiği veya işlendiği araç, sistem veya süreçler bilgi varlığı olarak tanımlanmıştır.

- Bankaların faaliyetleri çerçevesinde elde ettiği ve kullandığı söz konusu bilgi varlıklarının ayrıca oluşturulacak bir Bilgi Güvenliği Komitesi’nce hazırlanacak Varlık Sınıflandırma Kılavuzu çerçevesinde sınıflandırmaya tabi tutulması ve bir envantere kaydedilmesi (Bilgi Varlıkları Envanteri) gerekmektedir. Her bir varlığın tanımı, görece değeri, güvenlik sınıfı, sahibi ve muhafızının belirtilerek kaydedilmesi ile bilgi varlıklarının güvenlik gereksinimlerine uygun kontrollerin tesis edilmesi mümkün olacaktır.

- Ek olarak, bankacılık faaliyetlerinde bilgi teknolojilerinin kullanılmasının doğurduğu riskleri takip ve analiz etmek üzere bankalar bünyesinde kurumsal bir bilişim stratejileri risk yönetim süreci oluşturulması öngörülmüştür.

- Bankaların kurumsal faaliyetlerinin yönetiminde oluşturulması gereken diğer fonksiyon ve görevliler ise; bilgi güvenliği sorumlusu, irtibat görevlisi, bilgi sistemleri süreklilik yönetimi süreci sorumlusu, dış hizmet ilişkileri sorumlusu, bilgi sistemleri iç kontrol sorumlusu, bilgi sistemleri iç denetim sorumlusu olarak belirlenmiştir.

2. Yönetmelik’te bilgi güvenliği yönetimi konusu oldukça ayrıntılı bir biçimde ele alınmıştır:

- Yönetim kurulunun ulusal veya uluslararası standartları veya en iyi uygulamaları referans alan ve belli zorunlu faaliyetleri içeren bir bilgi güvenliği yönetim sistemi tesis etmesi gerekmektedir. Bilgi güvenliği politikasının oluşturulması ve uygulanması faaliyetlerinin idaresinden ise yönetim kuruluna yıllık rapor sunmakla yükümlü olan Bilgi Güvenliği Komitesi sorumlu tutulmuştur.

- Veri gizliliği konusunda; bankacılık faaliyetlerinde kullanılan verilerin tutulduğu ortamın kâğıt veya elektronik ortamda bulunmasından bağımsız olarak ağırlaştırılmış bir özen yükümlülüğü getirilmiştir. Veri gizliliğinin temini için geliştirilecek şifreleme anahtarları ve algoritmaların günün teknolojisine uygun olması öngörülmüştür.

- Veriler, ancak Kanun’da yer alan istisnai hallerde veya müşterinin kendisinden gelen ve yazılı yahut kalıcı veri saklayıcısı yoluyla kanıtlanabilir nitelikte olan bir müşteri talebi üzerine yurtiçi veya yurtdışındaki üçüncü kişilerle paylaşılabilecektir.

- 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (“KVKK”) ve uluslararası veri gizliliği düzenlemeleri çerçevesinde yaygın tartışmalara konu olan açık rıza kavramı Yönetmelik’te “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızayı” ifade eder şekilde tanımlanmıştır. Ayrıca, müşterinin bilgilerini paylaşmaya dair açık rıza göstermesinin verilecek hizmet için bir ön şart olarak belirlenemeyeceği isabetli bir şekilde ifade edilmiştir.

- Bankanın sisteminde barındırdığı bilgi varlıklarına kullanıcılar tarafından erişim usulü oldukça ayrıntılı bir düzenlemeye kavuşturulmuş olup, bankaların bu konuda gerekli kimlik ve parola doğrulama ile iz kayıt mekanizmalarını görevler ayrılığı prensibi çerçevesinde oluşturması zorunlu tutulmuştur. Öyle ki; süreçlerin ve işlemlerin kritik bir işlemin tek bir kişi tarafından başlatılması veya tamamlanmasına imkân vermeyecek şekilde tasarlanması ve işletilmesi gerekmektedir.

- Ağ güvenliği, güvenlik konfigürasyonu ve siber olay yönetimi bakımından da Yönetmelik’te sayılan mekanizmaların tesis edilmesi öngörülmüştür. Siber olay yönetimi bakımından, yeterli teknik ve operasyonel becerilere sahip bir Kurumsal Siber Olay Müdahale Ekibi kurulması sağlanacaktır. Düzenlemede ayrıca banka düzeyinde bilgi güvenliği farkındalığını artırmak amacıyla kapsamlı eğitim programları oluşturulmasına yer verilmiştir.

3. Dış hizmet alımına ilişkin düzenlemeler de öngörülmüştür:

- Bankanın bilgi sistemlerinin bir bütün olarak veya kısmen dış hizmet alımına konu edilebilmesi; bankanın bilgi sistemleri üzerinde kontrolünü öngören birtakım koşullarla mümkün görülmüştür. Bununla beraber banka üst yönetim tarafından; dış̧ hizmet alımının banka açısından doğuracağı risklerin değerlendirilmesi, yönetilmesi ve ilişkilerin etkin bir şekilde yürütülebilmesine imkân veren yeterli bir gözetim mekanizması tesis etmesi öngörülmüştür.

- Yönetmelikle dış hizmet olarak bulut bilişim hizmetlerinin de kullanılabileceği belirtilmiştir.

- Bulut bilişim hizmetlerinin, tek bir bankaya tahsis edilmiş donanım ve yazılım kaynaklar üzerinden özel bulut hizmet modeliyle veya birden fazla banka arasında donanım ve yazılım kaynaklarının fiziki olarak paylaşıldığı ancak mantıksal olarak her bankaya ayrı kaynaklar atayan ve sadece bankalara hizmet veren topluluk bulutu hizmet modeliyle alınması mümkündür. Kredi ve kredi kartı uygulamaları ile ödeme hizmeti gibi faaliyet konularında topluluk bulutu hizmet modeliyle dış hizmet alınabilmesi ise Kurulun iznine tabidir.

- Fakat, bankanın birincil veya ikincil sistemleri kapsamında olan bir faaliyet için dış hizmet ya da bulut bilişim hizmeti alınması halinde, dış hizmet sağlayıcının hizmete ilişkin faaliyetlerini yürütmede kullandığı bilgi sistemleri ve bunların yedekleri de birincil ve ikincil sistemler kapsamında ele alınacak ve yurt içinde bulundurulması gerekecektir.

4. Elektronik bankacılık hizmetlerinin sunumu her dağıtım kanalı özelinde geniş standartlara bağlı kılınmıştır:

- Günümüz koşullarında bankaların hizmet sunabildiği çeşitli elektronik dağıtım kanalları, “elektronik bankacılık hizmetleri” başlığı altında internet bankacılığı, mobil bankacılık, telefon bankacılığı, açık bankacılık servisleri ile ATM ve kiosk cihazları olmak üzere düzenlenmiş ve her biri kimlik doğrulama ve işlem güvenliği bakımından ayrıntılı düzenlemelere tabi tutulmuştur.

- Yürürlükten Kaldırılan Tebliğ’de olduğu gibi, elektronik bankacılık hizmetlerinde; müşterilerin tüm hizmet şartlarıyla ilgili olarak açık bir şekilde bilgilendirilmesi esası benimsenmiştir. Buna ek olarak; bankaların kendi internet sitesi veya hizmetin sunulduğu internet sitesinde; bankanın tüzel kişiliğine ilişkin temel bilgiler, müşterilerin hak ve sorumlulukları, hizmet esas ve koşulları veya müşterilerin bilgilendirilmesine dair her türlü diğer açıklamaya dikkat çekici bir biçimde yer verilmesi ve bu bilgi ve açıklamaların açık ve anlaşılır olması gerekmektedir. - Bunun haricinde; müşterilere iletilecek hassas veri veya sır niteliğinde veri içeren her türlü ekstre, dekont, hesap özeti gibi bilgilerin de bankanın elektronik dağıtım kanalları üzerinden gönderilmesi zorunlu tutulmuştur. Yönetmelik çerçevesinde “hassas veri” ise müşteriye ait olan ve üçüncü kişilerce ele geçirilmesi halinde bu kişilerin müşteriler ile ayırt edilebilme mekanizmalarının hasar göreceği nitelikte verileri ifade etmektedir. Belirtilmelidir ki; Yönetmelik bağlamında yer alan "hassas veri" kavramı, KVKK ile uyumsuzluk arz etmektedir.

III. DİĞER HÜKÜMLER


BDDK, Yönetmelik ile kurulması öngörülen birimler ve sorumlular konusunda işlevselliğin sağlanması amacıyla bankaların ölçeği, bilgi sistemleri bağımlılığı, personel sayısı, alınan dış hizmetler gibi kriterler çerçevesinde istisna tanımlamaya yetkili kılınmıştır.

Yukarıdaki notumuza ilişkin herhangi bir sorunuz olması halinde bizlere her zaman ulaşabilirsiniz.

İletişim
Ece Güner
Managing Partner
eg@guner.av.tr

Ömer Erdoğan
Partner
oe@guner.av.tr