Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği Yayımlandı.
Bankacılık Düzenleme ve Denetleme Kurumu’nca (BDDK) 25.12.2018’de taslak olarak kamuoyunun görüşüne açılan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği (Yönetmelik), ilgili tüm tarafların görüşleri alınarak titizlikle değerlendirilen uzun soluklu bir çalışmanın ardından 31069 sayılı ve 15.03.2020 tarihli Resmi Gazete’de yayımlanmıştır. Bankalarda uyum açısından hedef tarih olarak nitelendirebilecek anılan Yönetmeliğin yürürlük tarihi; 1 Temmuz 2020 olarak belirlenmiştir. Böylelikle 14.9.2007 tarihli ve 26643 sayılı Resmî Gazete’de yayımlanan Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ’de (İlkeler Tebliği) yürürlükten kaldırılmıştır.
Bankaların bilgi sistemleri (BS) ve elektronik bankacılık hizmetlerinde köklü bir dönüşümün habercisi olan Yönetmelik; bilgi sistemlerine (BS) ilişkin yönetim seviyelerindeki yenilik ve değişiklikler, reorganizasyon, sorumluluklar ile politika, prosedür, süreç ve kontrollerin oluşturulması, BS süreçlerinde ek yatırım ihtiyaçları ve uyum maliyetlerini beraberinde getirmektedir.
Yönetmelik ile getirilen yenilik ve değişikliklerin ayrıntısına girmeden öne çıkan konuları özetle aşağıdaki şekilde sıralayabiliriz:
- Banka bilgi sistemleri mevzuatı, çağın yenilik ve gelişmeleri ışığında güncellenmiştir.
İlkeler Tebliği’nin; 2007 yılında yayımlandığı tarihten günümüze kadar kısa bir süre geçmesine rağmen bilişim teknolojilerinde yaşanan önemli gelişmeler, bilgi sistemlerinin hızla değişen yapısı, kişisel verilerin korunmasına, siber olay müdahale ekiplerine (SOME) yönelik düzenlemelerin hayata geçirilmesi ve sektörde sunulan hizmetlerin çeşitlenmesi karşısında güncellenme ihtiyacı ortaya çıkmıştır. Bu doğrultuda İlkeler Tebliği’nin; dünya örnekleri ve ülke gereksinimlerine göre gözden geçirilerek bankaların BS yönetiminde esas alacakları genel hükümlere ilave olarak dijital kanallar üzerinden verilen bankacılık hizmetlerinde sektöre yön verebilecek yenilikçi yaklaşımlara da yer verilerek revize edildiği ve normlar hiyerarşisindeki yeri kuvvetlendirilerek «Yönetmelik» olarak yayımlandığı görülmektedir.
- BS yönetişiminde görev alacak komiteler ile rol ve sorumlulukları düzenlenmiştir.
Yönetmelik ile BS yönetişimi açısından Bankalarda BS Strateji Komitesi, BS Yönlendirme Komitesi, Bilgi Güvenliği Komitesi ve BS Süreklilik Komitesi ihdas edilerek üyelik yapısı ile rol ve sorumlulukları ve işleyişine ilişkin usul ve esaslar düzenlenmektedir. Yılda en az bir defa Yönetim Kurulu onayına sunulacak şekilde BS strateji planı hazırlanma yükümlülüğü getirilmekte ve oluşturulacak BS organizasyon şeması kapsamındaki birim ve personelin görev ve sorumluluklarının yazılı olması ve belirlenmiş onay akışları ışığında düzenli aralıklarla gözden geçirilmesi gerektiği belirtilmektedir.
Bu kapsamda Bankaların BS yönetişiminde görev alacak komiteleri kurması ve rol ve sorumluluklarını belirlenmiş onay akışları ışığında yazılı hale getirmesi gerekecektir.
- BS güvenlik fonksiyonu ve organizasyonu ile roller ve sorumlulukları düzenlenmiştir.
Teknoloji ve iletişimde meydana gelen gelişmeler ile dijitalleşmenin sunduğu imkanlar, bilgilerin korunması ve güvenliğiyle ilgili konuları, en önemli risklerden biri haline getirmektedir. Bu bağlamda başta siber tehditler olmak üzere güvenli ve kesintisiz hizmeti aksatabilecek tüm risklere karşı önlem alınması ve bilgi güvenliğinin sağlanması Banka üst yönetiminin öncelikli konuları arasında görülmektedir. Bu bağlamda çıkar çatışmasına neden olabilecek hususların önlenmesi ve etkinliğinin artırılması açısından BS güvenlik fonksiyonunun; Yönetmelik ile Banka organizasyonu içerisinde BS’den sorumlu üst düzey yönetici ve onun altındaki birimlerden meydana gelen BS fonksiyonundan ayrı ve bağımsız olacak şekilde konumlandırılması zorunlu kılınmıştır. Ayrıca Bilgi güvenliği sorumlusu tarafından yönetilecek BS güvenlik fonksiyonunun; Banka bünyesinde doğrudan Banka Yönetim Kurulu’na veya Genel Müdüre bağlı olması kuralı getirilmiştir.
Bu kapsamda Bankaların bilgi güvenliği organizasyonunu Yönetim Kurulu’na veya Genel Müdüre bağlı olacak şekilde Banka bünyesinde kurmaları ve iş kurallarını belirlemeleri gerekecektir.
- Atanacak sorumluların belirlenmesi ile iş tanımlarının oluşturulması gerekecektir.
Yönetmelik kapsamında atanacak sorumlulara aşağıda yer verilmiştir:
- Bilgi Güvenliği Sorumlusu (Madde 8)
- İrtibat Görevlisi (Madde 18)
- BS Süreklilik Yönetimi Süreci Sorumlusu (Madde 26)
- Dış Hizmet İlişkileri Sorumlusu (Madde 29)
- BS İç Kontrol Sorumlusu (Madde 30)
- BS İç Denetim Sorumlusu (Madde 31)
Banka bünyesinde Yönetmelikte aranan şartları taşıyan kişilerden belirlenecek sorumlular için atama usulleri açıkça düzenlenmemiştir. Bu nedenle nasıl bir atama usulünün izleneceğinin netleştirilmesi önemlidir. Bankalara sorumlu / görevli atanmasını zorunlu kılan diğer düzenlemeler dikkate alınarak değerlendirilmesinde fayda olabilir.
Bakıldığında 5549 Sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ve alt düzenlemeleri ile getirilen yükümlülüklere uyumu sağlamak ve tedbirleri uygulamakla yükümlü olan Bankalarda Yönetim Kurulu’nca uyum görevlisi atanması zorunlu kılınmaktadır. Bireysel müşterilerin şikayet ve taleplerinin etkin ve verimli bir şekilde yönetilmesi, hak ve menfaatlerinin ihlal edilmemesi ve tüketicinin korunmasına ilişkin mevzuata uyumun kontrol ve devamlılığının sağlanması amacıyla 5491 sayılı BDDK Kararı ile tüketici koordinasyon görevlisi atanması zorunlu kılınmakta ve görev tanımı ile yetki ve sorumluluklarının yazılı olarak Yönetim Kurulu’nca belirleneceği hüküm altına alınmaktadır. 6362 sayılı Sermaye Piyasası Kanunu ve Bilgi Suistimali veya Piyasa Dolandırıcılığı Suçları Hakkında Bildirim Yükümlülüğü Tebliği çerçevesinde yatırım kuruluşları olarak Bankaların şüpheli işlem bildirim görevlilerinin atanmasında Yönetim Kurulu rol oynamaktadır.
- Küçük Ölçekli Bankalar için istisna tanımlamaya BDDK yetkili kılınmıştır.
Yönetmelik kapsamında kurulacak komiteler, birimler ve sorumlular konusunda, bankaların ölçeği, BS bağımlılığı, personel sayısı, alınan dış hizmetler gibi kriterler esas alınarak istisna tanımlamaya BDDK yetkili kılınmıştır. Nitekim küçük ölçekli ve kısıtlı operasyonlu bankalar için (Örneğin telefon, ATM bankacılık faaliyeti vb. bulunmayan) çok sayıda komite oluşturulması; var olan yönetim kademeleri açısından işleyişin tekrarına yol açacağı ve işlevsel olmayacağı yönünde değerlendirilebilir.
- Elektronik bankacılık hizmetleri çatısı altında alternatif dağıtım kanalları düzenlenmiştir.
Yönetmelik ile elektronik bankacılık hizmetleri; internet bankacılığı, mobil bankacılık, telefon bankacılığı, açık bankacılık servisleri ile ATM ve kiosk cihazları gibi müşterilerin, uzaktan bankacılık işlemlerini gerçekleştirebildikleri veya gerçekleştirilmesi için bankaya talimat verebildikleri her türlü elektronik dağıtım kanalı olarak tanımlanmakta ve kimlik doğrulama ve işlem güvenliğine ilişkin hükümleri detaylandırılarak elektronik bankacılık hizmetleri çatısı altında düzenlenmektedir.
Bankaların her bir elektronik dağıtım kanalı özelinde getirilen kimlik doğrulama ve işlem güvenliğine ilişkin yeni iş kurallarına uygun bir yapı tasarlayarak müşterilerine sunmaları gerekecektir.
- Müşterilerin bilgilendirilmesine ilişkin usul ve esaslarda önemli bir uygulama değişikliği getirilmiştir.
Bankaların elektronik ortamda müşterilerine ileteceği hassas veri veya sır niteliğinde veri içeren her türlü ekstre, dekont, hesap özeti gibi bilgilerin; 1 Temmuz 2020 tarihinden itibaren elektronik bankacılık hizmeti sunulan kanallar üzerinden gönderilmesi gerekecektir. Bankalar, bu gibi bilgilerin sunulmasında elektronik dağıtım kanallarının kullanılması için müşterilerine gerekli yönlendirmeleri yapmakla yükümlü kılınmıştır. Yönetmelikte “hassas veri”; kimlik doğrulamada kullanılan veriler başta olmak üzere; müşteriye ait olan, çeşitli sebeplerle bankaca muhafaza edilen ve 3.kişilerce ele geçirilmesi halinde, bu kişilerin müşteri olan kişilerle ayırt edilebilme mekanizmalarının zarar göreceği ve dolandırıcılık ya da müşteriler adına sahte işlem yapılmasına imkân verebilecek nitelikteki veriler olarak tanımlanmaktadır.
Bankaların elektronik ortamda müşterilerine ileteceği hassas veri veya sır niteliğinde veri içeren bilgiler (kredi kartı hesap ekstresi vb.); e-posta, SMS gibi uygulamalarla gönderilemeyecek ve elektronik bankacılık hizmeti sunulan kanallardan gönderilmesi gerekecektir. Bu kural önemli bir uygulama değişikliği getirmekte olup; sadece Bankalar özelinde değil müşteri özelinde de tercih ve alışkanlıkların değiştirilmesini gerekli kılacaktır.
- Bilgi Varlıkları Envanteri’nin hazırlanması yükümlülüğü getirilmiştir.
Bankacılık faaliyetlerinin yürütülmesinde kullanılan veriler ile bu verilerin taşındığı, saklandığı, iletildiği veya işlendiği sistem, yazılım, ağ cihazları, BT donanımları, iş süreçleri gibi Banka için değeri olan varlıkların sınıflandırılmak suretiyle envanter hazırlama yükümlülüğü getirilmiştir. Söz konusu Bilgi Varlıkları Envanteri hazırlanırken her bir bilgi varlığı için yer alması gereken unsurlara ve kişisel veri olup olmadığı bilgisine yer verilmesi zorunlu kılınmıştır. Ayrıca bilgi varlıklarının nasıl sınıflandırılacağına yönelik olarak Bankaların Bilgi Güvenliği Komitesi’nce onaylı bir varlık sınıflandırma kılavuzunun da hazırlanması gerekli görülmüştür.
Söz konusu envanterin; muhteviyatı ile kapsamının genişliği dikkate alındığında meşakkatli, çok aktörlü ve uzun soluklu bir çalışma gerektirecektir.
- 7222 sayılı Kanun değişikliği paralelinde verilerin 3. kişilerle paylaşımında düzenlenmeye gidilmiştir.
Bilindiği üzere Resmî Gazete’de 25.02.2020 tarihinde yayımlanan 7222 sayılı “Bankacılık Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun’un” 10. maddesi ile 5411 sayılı Bankacılık Kanunun 73.maddesinde kişisel verilerin korunması düzenlemelerini de oldukça yakından ilgilendiren önemli bir değişiklik yapılmıştı. Bu konuya ilişkin 10.02.2020 tarihli yazımıza buradan ulaşabilirsiniz.
Yönetmeliğin verilerin paylaşılması başlıklı 10.maddesiyle Bankaların, müşterinin kendisinden gelen ve yazılı şekilde ya da kalıcı veri saklayıcısı yoluyla kanıtlanabilir nitelikte olan bir talebi olmaksızın, faaliyetlerinin ifası sırasında ve her türlü dış hizmet alımlarında BS aracılığıyla edindiği, sakladığı veya işlediği müşteri sırrı niteliğindeki bilgileri, 5411 Sayılı Bankacılık Kanunu’ndaki istisnai haller haricinde yurtiçindeki ve yurtdışındaki 3. kişilerle paylaşamayacağı ve aktaramayacağı hüküm altına alınmıştır. Ayrıca müşterinin, bilgilerini paylaşmaya dair açık rıza göstermesinin verilecek hizmet için bir ön şart haline getirilemeyeceği düzenlenmiştir.
Yönetmeliğin taslak halindeki son paylaşılan versiyonunda verilerin mahremiyeti başlığı altında geçen bu maddede; 5411 sayılı Bankacılık Kanunun 73.maddesine getirilen son düzenlemelere paralel olarak değişikliğe gidildiği görülmektedir. Bilindiği üzere bir güven kurumu ve itibar müessesesi olarak görülen bankaların, tacir olarak bütün işlemlerinde basiretli davranma yükümlülüğü Ticaret Kanunu’nda yer alan anonim şirket statüsündeki herhangi bir tacirden farklıdır. Bu sebeple ekonomik hayatın merkezinde bulunan ve geniş kitleleri etkileyen bankalardan beklenen basiret ölçüsü ve özen yükümlülüğü daha ağır olduğu için idari otorite tarafından getirilen düzenlemelerin; daha sıkı nitelik taşıdığını söylemek yersiz olmayacaktır.
- Açık bankacılığın hukuki altyapısını güçlendirecek adımlar atılmaya devam edilmiştir.
Kasım 2019’da yayımlanan Cumhurbaşkanlığı Yıllık Programı’nda 2020 yılında açık bankacılık hukuki altyapısını güçlendirmek amacıyla AB Ödeme Hizmetleri Direktifi 2 (PSD2) ile mevzuata uyumun sağlanması açısından sektörel politikaların hayata geçirilmesine yönelik belirlenen eylemler arasında Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği’nin yürürlüğe konulması sayılmıştır.
Yönetmelik ile “Açık Bankacılık Servisleri” müşterilerin ya da müşteriler adına hareket eden tarafların API, web servis, dosya transfer protokolü gibi yöntemlerle bankanın sunduğu finansal servislere uzaktan erişerek bankacılık işlemlerini gerçekleştirebildikleri veya gerçekleştirilmesi için bankaya talimat verebildikleri elektronik dağıtım kanalı olarak tanımlanmış ve bu kapsamdaki sunulabilecek hizmetler ve bu hizmetlere ilişkin usul ve esasları belirlemeye BDDK yetkili kılınmıştır.
Bilindiği üzere ödeme hizmetleri, e-para ve açık bankacılık hakkındaki 22.11.2019 tarihli Resmi Gazete’de yayımlanan 7192 Kanun ışığındaki gelişmelere 08.12.2019 tarihli yazımıza buradan ulaşabilirsiniz.
Saygılarımızla,
“UYARI: Bu yazı yalnızca bilgilendirme amacıyla yayımlanmış olup, herhangi bir hukuki görüş, yönlendirme ve tavsiye içermemektedir. Ayrıca, bilgiler yazının hazırlandığı tarihteki mevzuat göz önünde bulundurularak verilmiş olup, yazı içeriği aradan geçen zaman içerisinde mevzuat değişiklikleri ve ilgili kurumların konu hakkındaki görüşleri çerçevesinde güncelliğini yitirmiş olabilir.”
BANKALARIN BİLGİ SİSTEMLERİ VE ELEKTRONİK BANKACILIK HİZMETLERİ HAKKINDA YÖNETMELİĞİ: