top of page
Yazarın fotoğrafıAv. Ferhan Yıldızlı

Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik



1-Giriş

Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik yayınlandı. 5411 sayılı Bankacılık Kanunu’nun 93. Maddesi uyarınca çıkarılan Yönetmelik, Türkiye’nin Avrupa standartlarında bankacılık ve finansal teknoloji sistemine sahip olabilmesi açısından önemli bir adımdır.

2-Önemli Noktalar

Banka yönetim kuruluna, bilgi sistemleri (BS) yönetimlerinde en başta rol verilmiştir. Bu kapsamda, yönetim kurulu kararı ile, BS strateji planı, BS Strateji Komitesi ve BS Yönlendirme Komitesi oluşturulması öngörülmüştür.

  • BS Strateji Planı ve Komitesi: Yönetim kurulu onayı ile, bilgisistemleri strateji planı oluşturulması ve bu planın da yine yönetim kurulutarafından oluşturulmuş bilgi sistemleri strateji komitesi tarafındanyürütülmesini, BS strateji planının Banka stratejileri ile uyumlu olup olmadığınıdenetlenmesini, strateji planını yılda en az bir kez güncellenmesiöngörülmüştür.


  • BS Yönlendirme Komitesi: BS Strateji Komitesiv e yönetim kurulunun, yukarıdaki görevleri yapmasında yardımcı olmak üzere BS yönlendirme komitesi kurulması da öngörülmüştür.


  • Varlık Envanteri: Bilgi varlıklarının güvenlik gereksinimlerine uygun kontrolü için bu varlıkların sınıflandırılması öngörülmüştür. Bu kapsamda sınıflandırmada, bilgi varlıklarının önemi ve gizliliği ön planda olacaktır. Ayrıca, bilgilerin kişisel veriler kapsamında olup olmadığı da varlık envanterinde belirtilecektir.


  • Her bir varlığın onaylı bir güvenlik sınıfına sahip olması, bu kapsamda güvenlik sınıfları ve erişim kısıtlamaları, 2 yıldan uzun olmayacak periyotlarla gözden geçirilecektir.


  • Varlık Sınıflama Kılavuzu: Bilgi varlıklarının nasıl sınıflandırılacağına yönelik, “varlık sınıflandırma kılavuzu” yayınlanacaktır.


  • Risk Yönetim Süreci: Ayrıca bu varlık sınıfları için risk yönetim süreçleri oluşturulacaktır. Bu süreçlerde, Yönetmelik madde 7 de yer alan kriterlere uygun sınıflandırma yapılacak ve aksiyon planları belirlenecektir.


  • Bilgi Güvenliği Yönetimi: Bilgi güvenliği yönetiminden yine bankalar sorumlu olacaktır. Bilgi güvenliği yönetim sisteminin banka genelinde nasıl uygulanacağına dair “bilgi güvenliği politikası, prosedürü ve süreç dökümanları” hazırlanacaktır.


  • Verilerin Paylaşılması: Müşterilerin yazılı veya kalıcı veri saklayıcısı ile talepleri olmaksızın, bankalar hiçbir şekilde, herhangi bir şekilde edindikleri müşteri sırrı niteliğindeki bilgileri, istisnalar dışında, yurtiçi ve yurtdışında paylaşamayacaktır.


  • Kimlik ve Erişim Yönetimi: Yönetmeliğin 11. Maddesinde, kimlik erişim yönetimi hususları düzenlenmiştir. Buna göre, şifre erişimi bakımından “görev ayrılığı” prensibi uygulanacak, şifreler geri dönülemeyecek şekilde saklanacak, ve “müşterini tanı (KYC)” prensipleri kapsamında, hatalı erişimlerde erişim yöntem verileri saklanacaktır.


  • İz Kayıtları: Bankalar, bilgi sistemleri dahilinde yapılan işlemlere yönelik olarak iz kayıtlarını saklayacak; saklanacak iz kayıtlarına, web servisleri veya API’lerden alınan veriler de dahil olacaktır. Ayrıca iz kayıtları yedeklenecektir.


  • Birincil ve İkincil Sistemler: KVKK prensiplerine paralel şekilde, bankalar birincil ve ikincil sistemlerini yurt içinde tutmak zorundadırlar.


  • Elektronik Bankacılık Hizmetleri: Müşteri bilgilerinin görüntülenmesi gibi süreçler de dahil, elektronik bankacılık hizmetleri için, en az iki bileşenden oluşan bir kimlik doğrulama mekanizmasının oluşturulması ve bunların gizliliğinin korunması esaslarına uyulması, Yönetmelikçe şart koşulmuştur. İki bileşenin de müşteriye özgü olması esastır. Bu esaslara istisna olarak, açık bankacılıkla alakalı olarak, yeterli güvenliğin sağlanması durumunda, bunun bir aykırılık sayılmayacağı belirlenmiştir.

3-Sonuç

Bu kapsamda, Yönetmelik ile, kişisel verileri korunma hükümlerine ve ödeme hizmetleri ile açık bankacılık hususları bakımından Avrupa regülasyonlarına uyumluluk sağlandığı görülmektedir.


KAYNAKÇA

[1] https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=13712&MevzuatTur=7&MevzuatTertip=5


YAZAR

Ferhan Yıldızlı

Ali Erşin

Comments


bottom of page