BANKALARIN BİLGİ SİSTEMLERİ VE ELEKTRONİK BANKACILIK HİZMETLERİ HAKKINDA YÖNETMELİK TASLAĞINA GENEL BİR BAKIŞ

ÖZET

Bankacılık Düzenleme ve Denetleme Kurumu tarafından 25.12.2018 tarihinde yayınlanarak kamuoyu görüşüne açılan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik Taslağı kapsamında, elektronik bankacılık hizmetlerine ve bankalar tarafından kullanılan bilgi sistemlerinin yönetimine ilişkin riskler kapsamında esas alınacak asgari usul ve esaslar ile belirli aralıklarla gerçekleştirilmesi gereken bilgi sistemleri kontrolleri düzenlenmektedir.

Anahtar Kelimeler: Bilgi Sistemleri, Veri Gizliliği, Hassas Veri

GİRİŞ

Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik Taslağı ("Taslak Yönetmelik")1 Bankacılık Düzenleme ve Denetleme Kurumu ("BDDK") tarafından 25.12.2018 tarihinde kamuoyu görüşüne açılmıştır.

Taslak Yönetmelik ile elektronik bankacılık hizmetlerine ve bankaların faaliyetlerini yerine getirirken kullandıkları bilgi sistemleri yönetimine ilişkin risklerin yönetiminde esas alınacak asgari usul ve esaslar ve oluşturulması gereken bilgi sistemleri kontrolleri düzenlenmektedir.

I. BİLGİ SİSTEMLERİNİN YÖNETİLMESİ VE SORUMLULUK

Yönetmelik Taslağı'nın 4. maddesinde, banka yönetim kurulları, kurumsal yönetim uygulamalarının bir parçası olarak bilgi sistemleri yönetimini ele almakla; bu sistemlerin doğru yönetimi için gerekli finansman ve insan kaynağını tahsis etmekle; bilgi varlıklarının güvenliği, gizliliği, bütünlüğü ve erişilebilirliği için bilgi sistemleri üzerinde etkin kontrollerin tesis edilmesini sağlamakla; bilgi sistemlerinin kullanımından kaynaklanan risklerin yönetilmesi için etkin bir gözetim yürütmekle sorumlu kılınmıştır.

Bu çerçevede, bankalar tarafından oluşturulacak bilişim sistemlerine ilişkin politika, prosedür ve süreç dokümanlarının en az yılda bir defa gözden geçirilmesi ve güncellenmesi önem arz etmektedir.

Bununla birlikte, bankalar tarafından bilgi varlıklarının sınıflandırılarak, tüm bilgi varlıkları için detaylı bir varlık envanterinin ve bunun haricinde de bir veri envanteri hazırlanması ve bu envanterde bilgi varlığının; tanımına, banka için değerine, bulunduğu konuma, güvenlik sınıfına ve bu sınıfın belirlenmesine neden olan gizlilik, bütünlük, erişilebilirlik gibi değerlerine, sahibine ve muhafazasına yer verilmelidir.

II. BİLGİ GÜVENLİĞİ

Taslak Yönetmeliğin "Veri Gizliliği" başlığını taşıyan 9.maddesinde veri güvenliğinin sağlanması noktasında;

  • Veri barındıran medya ya da cihazların kullanımdan kaldırılması durumunda, içerdikleri verilerin gizlilik derecesine uygun olarak güvenli bir şekilde imha edilmesi,
  • Şifreleme anahtarlarının uzun seçilmesi ve ilgili veri yahut faaliyetin kritiklik seviyesine göre geçerlilik süresinin belirlenmesi, güvenliğinin sağlanması,
  • Hassas verilerin2 iletiminde uçtan uca güvenli iletişimin kullanılması ve bu verilerin şifrelenmiş bir biçimde saklanması,
  • Bankanın personeline tahsis ettiği hassas veri içeren tüm masaüstü, dizüstü ve mobil cihazların içeriğinin şifrelenmesi,
  • Ağa bağlı sunucu cihazlar üzerinde açık metin halinde banka kartı veya kredi kartı numarası, T.C. kimlik numarası gibi hassas verilerin bulunup bulunmadığını belirlemek için sunucu makinalarının periyodik olarak taranması gibi uygulamalar ve önlemler öngörülmektedir.

Ancak belirtmek gerekir ki, Yönetmelik Taslağı'nın "Tanımlar ve Kısaltmalar" başlıklı 3. maddesinin 1. fıkrasının (ü) bendinde "Sır niteliğindeki veriler ile kimlik doğrulamada kullanılan veriler" şeklinde tanımlanan "Hassas veri" kavramı, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda ("KVKK") tanımlanan "Hassas veri" kavramı ile uygunluk arz etmemekle beraber, uygulamada tartışmalara yol açabilecek niteliktedir.

Taslak Yönetmeliğin "Kimlik ve erişim yönetimi" başlıklı 10. Maddesinde ise bilgi sistemleri üzerindeki kullanıcılara uygulanacak kimlik doğrulama mekanizmasında, bankaların, bu bilgilerin gizliliğine ve güvenliğine yönelik gerekli önlemleri alması gerektiği düzenlenmiştir. Bu çerçevede;

  • Kimlik doğrulama bilgilerinin veri tabanlarında şifreli olarak muhafaza edilmesi ve bu bilgilerin kimlik doğrulama amacıyla aktarılırken şifrelenmesi,
  • Yetkisiz erişimlere veya görevler ayrılığı prensibine aykırı olarak kontrolsüz bir biçimde gerçekleştirilecek değişikliklere karşı korunması,
  • Başarısız kimlik doğrulama teşebbüsleri hakkında ilgili kullanıcı sisteme ilk girdiği anda bilgi verilmesi, başarısız teşebbüslerin belirli bir sayıyı aşması halinde ise ilgili kullanıcının erişiminin bloke edilmesi,
  • Bu teşebbüsü gerçekleştiren kişiye, hatalı girilen kullanıcı adı bilgisi veya parolayla ilgili böyle bir kullanıcı adının sistemde olmadığı veya parolayla ilgili böyle bir kullanıcı adının sistemde olmadığı veya parolanın hatalı girildiği gibi gereksiz bilgi verilmemesi,
  • Erişim yetkilerinin düzenli olarak gözden geçirilmesi,
  • Personelin işe alınması, işten ayrılması ve görev değişikliği gibi insan kaynaklarında yaşanan değişiklerde, ilgili kullanıcı hesaplarının silinmesi, askıya alınması, kullanıcıya atanmış yetkilerin geri alınması ya da değiştirilmesi ve sair hususlar ele alınmıştır.

III. BİLGİ SİSTEMLERİNE İLİŞKİN DIŞ HİZMET ALIMI

Taslak Yönetmeliğin "Bilgi sistemlerine ilişkin dış hizmet alımı sürecinin yönetimi" başlıklı 29. maddesinde dış hizmet olarak bulut bilişim hizmetlerinin de kullanılabileceği düzenlenmiştir.

Bulut bilişim hizmetlerinin, tek bir bankaya tahsis edilmiş donanım ve yazılım kaynakları üzerinden özel bulut hizmet modeliyle alınabileceği gibi birden fazla banka arasında donanım ve yazılım kaynaklarının fiziken paylaşıldığı ancak mantıksal olarak her bankaya ayrı kaynaklar atayan ve sadece bankalara hizmet veren topluluk bulutu hizmet modeliyle alınması mümkündür. Ancak, ana bankacılık uygulaması kapsamında, kredi ve kredi kartı uygulamaları ile ödeme hizmeti gibi faaliyet konularında topluluk bulutu hizmet modeliyle dış hizmet alınabilmesi, Kurulun iznine tabi olacaktır.

SONUÇ

BDDK tarafından kamuoyu görüşüne açılan Yönetmelik Taslağı kapsamında, elektronik bankacılık hizmetlerine ve bankalar tarafından kullanılan bilgi sistemlerinin yönetimine ilişkin riskler kapsamında esas alınacak asgari usul ve esaslar düzenlenmiş olup; işbu usul ve esaslar bilgi sistemlerinin yönetimine ilişkin olarak banka yönetim kurullarına birtakım yükümlülükler getirmektedir. Bununla birlikte, gerek sistemler içerisinde yer alan kimlik bilgilerini gerekse diğer hassas verilerin güvenliğinin sağlanması adına benimsenmesi gereken uygulamalara ve alınması gereken önlemlere de detaylı bir şekilde yer verilmiştir.

Yönetmelik Taslağı kapsamında yer alan teknik ve idari tedbirler bankalar tarafından kullanılan bilgi sistemleri içerisinde yer alan kişisel bilgi ve verileri korumaya yönelik elverişli adımlar olarak nitelendirilebilecektir.

Yazar : Hatice Zümbül

E-mail : hatice.zumbul@zumbul.av.tr

Footnotes

1. Taslak Yönetmelik için bkz : https://www.bddk.org.tr/ContentBddk/dokuman/mevzuat_0867.pdf

2. Yönetmelik Taslağı'nın "Tanımlar ve kısaltmalar" başlıklı 3. maddesinin 1. fıkrasının (ü) bendinde "Sır niteliğindeki veriler ile kimlik doğrulamada kullanılan veriler" şeklinde tanımlanmaktadır.

__

* gerekli alanlar

__ (0)