Bankalarda yeni yükümlülükler

Dr. Veysi Seviğ

Paylaş LinkedIn E-posta
Yayınlanma tarihi: 29 Mayıs 2020 Cuma
AA + -

Dr. Veysi Seviğ
veysi.sevig@ito.org.tr

Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkındaki Yönetmelik ile bankacılık faaliyetlerinin sunumu sırasında özellikle kimlik doğrulama ve işlem güvenliği konusunda yeni düzenlemelerin devreye konulması öngörülmüştür.

Söz konusu yönetmelik gereği müşterinin kimliği tespit etmeye yarayan ve resmi kimlik belgesi yerine geçen belgelerin üzerinde yer alan bilgiler ile “anne kızlık soyadı elektronik bankacılık hizmetlerinin sunulması esnasında” hiçbir aşamasında kimlik doğrulaması amacıyla kullanılamayacaktır.

Bu bağlamda bankanın kimlik doğrulamada müşterinin bildiği unsur olarak bir güvenlik sorusu kullanmak istemesi durumunda bu güvenlik sorusunun resmi kimlik belgesi yerine geçen belgeler üzerinde yer alan bilgilerden birine ilişkin olmaması ve cevabının müşterinin kendisi tarafından belirleniyor olması gerekecektir.

Uygulamada yeni sistem gereği kimlik doğrulamada kullanılacak şifreleme anahtarları; bu anahtarların ele geçirilme ihtimallerini en aza indiren, gizliliğini sağlayan, değiştirilmesini ve bozulmasını önleyen yöntemleri barındıracak şekilde müşteri kullanımına sunulacaktır.

Bu bağlamda da Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik, 1 Temmuz 2020 tarihinde yürürlüğe girecek olup, kullanıcılara uygulanması öngörülen kimlik doğrulama mekanizmasında kullanılacak bileşenlerin üretim aşamalarından başlayarak kullanıcıya ulaşılmasına kadar geçen sürecin tamamı boyunca güvenliği sağlanabilecektir. Bu bağlamda da bankanın kimlik doğrulamada müşterinin bildiği unsur olarak bir güvenlik sorusunun, resmi kimlik belgesi yerine geçen belgeler üzerinde yer alan bilgilerden birine ilişkin olmaması ve cevabının müşterinin kendisi tarafından belirleniyor olması gerekmektedir.

Uygulamada bankalar elektronik bankacılık dağıtım kurallarından gerçekleştirilebilecek işlemler için müşterilerine varsayılan ve müşteri tarafından güncellenebilecek erişim kısıtlamaları, günlük işlem limitleri, güvenli alıcılar listesi gibi ek güvenlik önlemleri sunabilecektir. Bu bağlamda da güvenlik önlemlerinin tanımlanması, güncellenmesi ve değiştirilmesi için öncelikle kimlik doğrulama işleminden sonra işlem yapılması gerekecektir.

Banka akıllı telefonlar gibi birden fazla kimlik doğrulama bileşeninin bankaya iletilmesinde kullanılan mobil cihazlar üzerindeki diğer uygulamalar ve çalışmakta olan işlemler tarafından erişilemez olmasını sağlamakla da yükümlü ve sorumlu olabilecektir. Banka söz konusu mobil cihazların kaybolması ya da çoğalması ya da çalınması halinde bunların üzerindeki hassas verilerin yetkisiz kişilerce erişilemez olmasını sağlayacak ve mobil cihazların ele geçirilmesi, güvenliğinin bozulması, işletim sistemi, yazılımının kesilmesi ve değiştirilmesi gibi hallerden kaynaklanacak risklerin azaltılması amacıyla günün teknolojik koşullarına uygun denetim ve önlemlerinin alınmasından sorumlu olabilecektir.

Banka elektronik bankacılık hizmetlerinde kullanılmak üzere müşterilerine sunduğu her türlü yazılım ya da mobil uygulamanın kaynağının, ilgili banka olduğunun doğrulayabilir olmasını sağlamakla yükümlüdür.

Elektronik bankacılık dağıtım kanallarından sunulmakta olan herhangi bir işlemin tersinin gerçekleştirilmesi mümkün ve orijinal işleme göre eşit ya da daha az riskliyse, banka orijinal işlemin tersi olan bu işlemlerinde aynı elektronik dağıtım kanalından gerçekleştirilmesini sağlayabilecektir.