Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hk. Yönetmeliğe Uyum için Süre 1 Ocak 2021’e Uzatıldı
Bilindiği üzere Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) tarafından 31069 sayılı ve 15.03.2020 tarihli Resmi Gazete’de Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği (Yönetmelik) yayımlanmış ve yürürlük tarihi 1 Temmuz 2020 olarak belirlenmişti. Ayrıca Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ’inde (İlkeler Tebliği) anılan Yönetmeliğin yürürlüğe girmesiyle birlikte lağvedilmesi öngörülmüştü.
Koronavirüs salgını nedeniyle yaşanan olağandışı dönemde bankacılık sektöründe müşterilerin işlemlerinin kesintisiz ve güvenli bir şekilde sürdürülmesi en önemli öncelikler arasında yerini almış olmakla birlikte alınan tedbirler doğrultusunda yarı zamanlı – dönüşümlü – uzaktan erişimli çalışılması vb. uygulamalarda devreye konulmuştur. Operasyonel süreçlerde görevlendirilen personel sayısı sınırlanırken bu süreçte “elektronik bankacılık”, müşteriler için bir opsiyon olmaktan çıkmış ana bankacılık kanalı haline gelmiştir. İnternet bankacılığı ve mobil bankacılık kanallarının kullanımının artmasıyla beraber müşterilerin işlemlerini gerçekleştirirken destek almak için bizzat banka personeline ulaşma ihtiyacı da gün yüzüne çıkmıştır. Müşteri hizmetlerinin eksiksiz yerine getirilmesine verilen öncelik sebebiyle, çağrı merkezi gibi bölümlerde bir takım operasyonel süreçlerde oluşan iş yoğunluğunun ve bu süreçte finansal hizmetlerin en az sorunla atlatılması için yoğun çaba harcayan ekiplerin en verimli şekilde yönetilmesi için de Yönetmeliğin uzatılmasına ilişkin sektör talepleri BDDK’ya iletilmişti.
Salgının sektör üzerinde oluşturduğu olumsuzlukların en aza indirilmesine yönelik ortaya çıkan gereklilikler ışığında BDDK tarafından 31161 sayılı ve 20.06.2020 tarihli Resmi Gazete’de Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik yayımlanmış olup; aşağıda yer verilen 1 Temmuz 2020’de yürürlüğe girecek olan maddeleri hariç olmak üzere diğer hükümlerinin yürürlük tarihi 6 ay uzatılarak 1 Ocak 2021 olarak belirlenmiştir.
1 TEMMUZ 2020 TARİHİNDE YÜRÜRLÜĞE GİRECEK OLAN HÜKÜMLER | |
MADDE BAŞLIĞI | MADDE NUMARASI |
İz Kayıtlarının Oluşturulması ve Takibi | 13 üncü madde |
Dış Hizmet Alımı Sürecinin Yönetimi | 29 uncu madde |
Kimlik Doğrulama ve İşlem Güvenliği | 34 üncü maddenin on üçüncü fıkrası ile on beşinci fıkrası |
Müşterilerin Bilgilendirilmesi | 37 nci maddenin sekizinci fıkrası |
Telefon Bankacılığında Kimlik Doğrulama, İşlem Güvenliği ve Hizmet Kalitesi | 40 ıncı madde |
ATM’lerde Kimlik Doğrulama ve İşlem Güvenliği | 42 nci madde |
Ayrıca 20.06.2020 tarihli Resmi Gazete’de yayımlanan Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğin Yürürlükten Kaldırılmasına Dair Tebliğde Değişiklik Yapılması Hakkında Tebliğ ile İlkeler Tebliği’nin yürürlük tarihi 6 ay uzatılmış olup; yeni yürürlükten kaldırılma tarihi 1 Ocak 2021 olarak belirlenmiştir.
Bilindiği üzere finansal hizmetlerde uzaktan iletişim araçları kullanılarak müşterilerle ilk defa sözleşme ilişkisinin akdine imkan tanıyan düzenleme (7247 sayılı Torba Kanun), Türkiye Büyük Millet Meclisi’nde 18.06.2020 tarihinde kanunlaşmış olup; Resmi Gazete’de yayımlanması beklenmektedir. Bu düzenleme salgın döneminde sekteye uğrayan bankacılık işlemlerinin olası bir ikinci dalga salgın durumunda tekrar sekteye uğramaması amacıyla alınan önlemlerden birisi özelliğini taşımakla birlikte anılan Yönetmeliğin uzaktan kimlik tespiti ve üçüncü tarafa güven başlıklı 43.maddesi 01.01.2021 tarihinde yürürlüğe girecek maddeler arasında yer almaktadır. Dünyadaki uygulamalarına bakıldığında uzaktan kimlik tespitiyle müşteri ediniminde (digital onboarding) ağırlıklı olarak video konferans yöntemi, dijital ID ya da e-kimlik kartı kullanımı ve üçüncü tarafa güven ilkesiyle ilerlendiği görülmektedir. Bu bağlamda finansal hizmetlerde (bankacılık işlemleri, kredi kartı vd.) uzaktan iletişim araçlarıyla mesafeli sözleşmelerin kurulması, uzaktan kimlik tespiti ve üçüncü tarafa güven kapsamındaki uygulamaların gereklerine yönelik BDDK’nın ikincil mevzuatı ve Mali Suçları Araştırma Kurulu Başkanlığı (MASAK) düzenlemeleri ile birlikte 01.01.2021 tarihinden itibaren gündelik hayatımıza gireceğini söyleyebiliriz.
Uyum için süre uzatımının; salgın nedeniyle ortaya çıkan gereklilikler ile Yönetmeliğin uygulanması hakkında bankalar nezdinde oluşan tereddütler ve açıklanmasına ihtiyaç duyulan konuların netleştirilmesi açısından son derece olumlu olduğunu belirtebiliriz.
Saygılarımızla,
Vahdet Deniz AKÇAOĞLU
NOT: Bu çalışmada yer alan görüşler, yazarın kendi görüşleri olup, çalıştığı kurumun görüşlerini yansıtmamaktadır. Bu yazı yalnızca bilgilendirme amacıyla yayımlanmış olup, herhangi bir hukuki görüş, yönlendirme ve tavsiye içermemektedir. Ayrıca, bilgiler yazının hazırlandığı tarihteki mevzuat göz önünde bulundurularak verilmiş olup, yazı içeriği aradan geçen zaman içerisinde mevzuat değişiklikleri ve ilgili kurumların konu hakkındaki görüşleri çerçevesinde güncelliğini yitirmiş olabilir.
20.06.2020 tarihli Resmi Gazete’de Yayımlanan Bankaların Bilgi Sistemlerine İlişkin Düzenlemeler:
Vahdet Bey merhaba,
BDDK yönetmeliği ile ilgili bir soru sormak istiyorum, bildiğiniz gibi yönetmelikte dış hizmet alımı ile ilgili yükümlülükler de mevcut, bu dış hizmet alımı tanımı:
5/11/2011 tarihli ve 28106 sayılı Resmî Gazete’de yayımlanan Bankaların Destek Hizmeti Almalarına İlişkin Yönetmelik kapsamındaki destek hizmetleri de dâhil olmak üzere bankaların bilgi sistemlerine ilişkin dışarıdan temin ettikleri, bankacılık verilerinin gizliliği, bütünlüğü ve erişilebilirliği ile bankacılık hizmetlerinin sürekliliğini etkileme potansiyeli olan, bankacılık verilerine erişimi bulunan ya da bu verilerin paylaşıldığı hizmet alımları
Şeklinde tanımlanmış, oldukça ucu açık bir tanım. Dış hizmet dendiğinde örnek olarak call center, IT ile ilgili outsourcing, kart basımı vb gibi hizmetlerimi anlamalıyız, yoksa bankaların IT alt yapıları ile ilgili veri merkezlerine konumlandırdığı sunucu, disk, appliance, cloud at customer vb gibi, firmaların bankacılık verilerine erişmesede bu uygulamaların üzerinde çalıştığı sistemlerin bakımı, yönetimi (yamalama, arıza yönetimi gibi) servisleride dış hizmet kapsamına girer mi bu tanımlama ile. Yorumunuzu rica ederim. Çok teşekkürler.
The Real Person!
The Real Person!
Merhaba Umut Bey,
Geçmiş bayramınızı tebrik ederim. Procompliance sitesinden yaptığınız yoruma cevaben Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliğin (Yönetmelik) 3.maddesinde geçen “dış hizmet” tanımına ilişkin şahsi görüşümü genel çerçevede aşağıdaki şekilde belirtebilirim.
Malumunuz “Dış Hizmet” BS Yönetmeliği’nde “..Bankaların Destek Hizmeti Almalarına İlişkin Yönetmelik kapsamındaki destek hizmetleri de dâhil olmak üzere bankaların bilgi sistemlerine ilişkin dışarıdan temin ettikleri, bankacılık verilerinin gizliliği, bütünlüğü ve erişilebilirliği ile bankacılık hizmetlerinin sürekliliğini etkileme potansiyeli olan, bankacılık verilerine erişimi bulunan ya da bu verilerin paylaşıldığı hizmet alımlarını” şeklinde tanımlanmaktadır. Bakıldığında “Dış Hizmet” tanımından hareketle öncelikle “destek hizmeti alımları” kapsama dahildir. Diğer yandan tanımdaki “bankacılık verilerinin gizliliği, bütünlüğü ve erişilebilirliği ile bankacılık hizmetlerinin sürekliliğini etkileme potansiyeli olan, bankacılık verilerine erişimi bulunan ya da bu verilerin paylaşıldığı hizmet alımları” denilmek suretiyle de sadece bilgi sistemleri teknolojileri alımları ile sınırlandırmamakta olduğu anlaşılmaktadır. Dış hizmetin tanımında geçen “..bilgi sistemlerine ilişkin dışarıdan temin ettikleri..” ibaresini irdelemek açısından önemlilik arz eden BS Yönetmeliğindeki “bilgi sistemleri” tanımına baktığımızda ise “bilginin toplanması, işlenmesi, saklanması, dağıtımı ve kullanımına yönelik insan kaynağı, operasyonel faaliyetler ve süreçler ile bunlarla etkileşim içinde bulunan bilgi teknolojileri” denilmektedir. Bu açıdan bilgi sistemlerine ilişkin dışardan alım derken tek başına bilgi teknolojileri alımının kastedilmediğinin açık olduğunu düşünüyorum. Bir başka deyişle dış hizmetin kapsamını belirlerken sadece bilgi teknolojileri alımını değil bankacılık süreçleri bütünlüğünde bakılmasını istemekte diye anlamaktayım.
Not: Procompliance sitesinde kullanıcı olarak gözükmediğiniz için size buradan dönüş yapıyorum.
İyi günler,
Saygılarımla,