Yeni Yönetmelik ve Tebliğ ile Gelen Değişiklikler // Devam

Yeni Tebliğ ile Gelen Değişiklikler

Ödeme Hizmetleri ve Elektronik Para İhracı İle Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmelik “Yönetmelik” ve Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri ile Ödeme Hizmeti Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğ “Tebliğ” 1 Aralık 2021 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girdi.

Geçen haftaki inceleme yazımızda; yönetmelik ile hayatımıza giren değişiklikleri sizler için kısaca incelemiştik. Bu yazımızda da yeni tebliğ ile gelen değişiklikleri ve bu değişikliklerin fintek sektörüne olan etkilerini sizler için değerlendireceğiz.

    1. Yeni Eklenen Tanımlar

Yeni tebliğ içerisinde yer alan “Tanımlar” başlığının halefine göre oldukça zenginleştirildiğini görüyoruz. Bu yazımızda gelen tüm yeni tanımları tek tek değerlendirmeyecek olsak da “Açık rıza”, “Aydınlatma metni”, “Anonim ön ödemeli araç”, “Bilgi varlığı”, “Biyometrik veri”, “Kişisel veri”, “Siber olay”, “Sürekli iş ilişkisi” gibi tanımlamalar bize hem yeni tebliğin bir önceki tebliğe göre daha detaylı maddelere sahip olduğu hem de 6698 sayılı Kişisel Verilerin Korunması Kanunu, 5411 sayılı Bankacılık Kanunu,  Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar, Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik gibi pek çok regülasyona da atıfta bulunduğu hakkında ip uçları veriyor.

    1. Tebliğe Eklenen Yeni Başlıklar

Daha önce yürürlükte olan tebliğin 22, 1 Aralık 2021 tarihinde yayınlanan yeni tebliğin ise 34 maddeden oluştuğunu görüyoruz.

Yürürlük, yürütme, geçiş hükümleri vb. maddeleri göz ardı ettiğimiz zaman ise kullanılan bilgi sistemlerinin ve ilgili süreçlerin işletimine etki edecek yeni maddelerin;

  • Bilgi sistemleri yönetimine ilişkin genel hükümler,
  • Bilgi sistemleri işletimi,
  • Olay yönetimi ve siber olaylara müdahale,
  • Erişim yönetimi, (Önceki tebliğde Veri gizliliği, güvenliği ve yetkilendirme başlığı altında değerlendirilirken şimdi ayrı bir başlık olarak ele alınmaktadır.)
  • Güvenlik açıkları ve ihlalleri (Önceki tebliğde Güvenlik olay yönetimi ve Bilgi güvenliği yönetimi süreci başlığı altında ele alınırken şimdi ayrı bir başlık olarak ele alınmaktadır.)
  • İkincil merkez, ikincil sistem ve veri yedekleme merkezi,
  • Elektronik sertifikalar,
  • Uzaktan iletişim aracıyla yürütülecek süreçler,
  • Ödeme Hizmetlerinde Kullanılan Veri Paylaşım Servisleri (Açık bankacılık ile ilgili maddeler)

olduğunu görüyoruz.

  • Bilgi sistemleri yönetimine ilişkin genel hükümler: Kısaca; kuruluş stratejisi, kuruluş bünyesinde sunulacak olan hizmetlerin doğası, karmaşıklığı ve büyüklüğü göz önünde bulundurularak gerekli altyapının, organizasyonel yapının, süreç dokümantasyonunun (politika, prosedür, standart ve talimatların) oluşturulması ve bu yapının sürekli olarak güncel tutulması gerektiğine yönelik maddeler yer verilmektedir.

 

Buradaki yapının kurulması, gerektiğinde gözden geçirilerek güncellenmesi vb. ile ilgili tüm sorumluluk ise yönetim kurullarına atfedilmiştir.

 

  • Bilgi sistemleri işletimi: “Kuruluş, tanımlanan hizmet seviyeleri çerçevesinde bilgi sistemlerinin işleyişinin güvenilirliğine, dayanıklılığına ve sürekliliğine ilişkin hedefleri yazılı olarak açıkça belirler ve bu hedefler doğrultusunda bilgi sistemlerinin işletiminin etkin ve verimli yapılabilmesi amacıyla sağlayıcı veya üretici firma desteği süren güncel yazılım sürümlerinin kullanılması da dahil olmak üzere gerekli tedbirleri alır.” İfadesi yer almaktadır.

 

Bu ifade de ödeme ve elektronik para kuruluşlarının hayatına hizmet seviyesi, kapasite ve performans yönetimi süreci adı altında daha önceki tebliğde zorunlu olarak yer almayan bir süreci dahil etmektedir. Kuruluşlar bu seviyeleri belirleyecek, düzenli olarak takip edecek ve süreç sonunda ortaya çıkan raporlar her yıl Ocak ayı sonuna kadar TCMB’ye raporlanacaktır.

 

Ayrıca yine aynı başlık altında yer alan madde 6 (4)’e göre kuruluşların bilgi sistemleri envanter yönetimi sürecini hayata geçirmesi gerekmekte ve bunu yaşayan bir süreç olarak sürekli canlı tutması beklenmektedir.

 

  • Olay yönetimi ve siber olaylara müdahale: Başlık altındaKuruluş, önceden belirlenmiş prosedürler çerçevesinde müşteri şikâyetlerini de kapsayacak şekilde olayların zamanında tespit edilmesini, makul bir süre içerisinde müdahale edilmesini, kayıt altına alınmasını, raporlanmasını, olayın potansiyel boyutunun, etkisinin, hasarının ve etkilenen müşterilerin tespit edilmesini içerecek şekilde analiz edilmesini, mümkün olan en kısa sürede ve en az hasarla bilgi sistemleri hizmetleri normal işleyişine döndürülecek şekilde çözülmesini ve olay hakkında ilgili tüm paydaşların zamanında bilgilendirilmesini sağlayacak şekilde olay yönetimi yapar.”

 

Kuruluşlardan beklenen siber olayları da kapsayacak şekilde bir olay müdahale yapısı kurması ve bunu yılda en az 1 defa gözden geçirerek gerekmesi durumunda güncellemesidir.

 

Ancak herhangi bir siber olay yaşanması durumunda ise, kuruluşun madde 7 (5) ve 7 (6)’ya göre meydana gelen siber olayı TCMB’ye bildirmesi gerekmektedir.

 

Madde 7 (8) kapsamında ise meydana gelen siber olaylara yönelik bir müdahale planı oluşturulmalı ve bu plan yılda en az 1 defa düzenli olarak test edilerek sonuçlar yönetim kuruluna raporlanmalıdır.

 

 

  • Erişim yönetimi: “Kuruluş, personelin sisteme dâhil olan ağlara, alt sistemlere, uygulamalara, verilere ve fiziksel ortamlara erişimine ilişkin yetki ve sınırlandırmaları, personelin görev, yetki, sorumluluk ve ayrıcalıkları kapsamında işin gerektirdiği bilgiye erişimine imkân verecek şekilde açıkça belirler ve yetkisiz erişimleri engellemek üzere gerekli tedbirleri alır.” ifadesine yer verilmektedir.

 

Erişim yönetimi başlığı altında bizden (eski tebliğdekine çok benzer bir yapıda) kullanıcı erişim ve yetkilendirme süreci oluşturmamız ve bu yapıyı talep/onay yönetimi yaklaşımıyla görevler ayrılığı ilkesine uygun olarak yönetmemiz beklenmektedir.

 

Ancak madde 11 (5)’e uygun olarak; olağandışı saatlerde yapılan girişleri, normal giriş sürelerine ilişkin aşımları, genel olarak çalışılan bilgisayar dışındaki bir bilgisayardan gerçekleştirilen işlemleri takip etmemiz olağandışı durumları tespit edebilmek ve uzun süredir hiçbir aktivite göstermeyen pasif hesapları tespit ederek artık bu yetkiye ihtiyaç duyulmaması durumunda yetkiyi kaldırabilmek için gerekli önlemleri alacak yapıları kurmamız beklenmektedir.

 

  • Güvenlik açıkları ve ihlalleri: “Kuruluş, bilgi güvenliği yönetim çerçevesi ile uyumlu bir şekilde, bilgi sistemlerine yönelik olası güvenlik ihlallerinin araştırılmasını, güvenlik ihlallerinin önlenmesi için alınması gereken uygun tedbirlerin belirlenmesini, güvenlik ihlalinin gerçekleşmesi halinde ihlalin tespit edilerek zamanında müdahale edilebilmesi için gerekli tedbirlerin alınmasını, gerçekleşen güvenlik ihlallerinin ve tespit edilen güvenlik açıklarının değerlendirilerek kayıt altına alınmasını sağlar.” ifadesine yer verilmektedir. Bu ifade ile birlikte kuruluşlara ISO27001 yaklaşımına benzer bir yaklaşımda bilgi güvenlik yönetim çerçevesi kurma yükümlülüğünün geldiğiniz anlıyoruz.

Başlık altında yer alan madde 12 (2)’ye göre kuruluşlara, sahip oldukları tüm sunucu ve iletişim ağı için devreye almadan önce en az 1 ve devreye alındıktan sonra yılda minimum 6 kere zafiyet tarama testi yükümlülüğü gelmektedir. Ancak buradaki açık nokta yapılacak olan 6 test için herhangi bir takvim/periyot zorunluluğu bulunmamasıdır.

Madde 12 (3)’e göre de bağımsız bir kuruluş tarafından yapılacak olan sızma testi çalışması ile ilgili yükümlülük devam etmektedir. Ancak yapılacak testlerin madde 12 (4)’te ifade edilen usul ve esaslara uygun olarak yapılması beklenmektedir.

Ayrıca madde 12 (6)’da “Kuruluş, gerçekleşen güvenlik ihlallerini, sızma testinin sonuçlarını ve tespit edilen kritik güvenlik açıklarını, bunların giderilmesine yönelik alınan tedbirleri ve sonuçlarını içeren raporu yılda en az bir defa Bankanın uygun gördüğü yöntemle Bankaya sunar.” İfadesine yer verilmektedir. Fakat halihazırda bu yöntem henüz TCMB tarafından belirlenmemiştir.

  • İkincil merkez, ikincil sistem ve veri yedekleme merkezi: Bu madde kapsamında kuruluşların ikincil bir çalışma alanı/ofis kurması beklenmektedir. Ancak madde 15 (4) içerisinde “Uzaktan çalışma imkanlarının olması ve acil ve beklenmedik durumların ortaya çıkması nedeniyle birincil merkezin kullanılamaz hale geldiği hallerde faaliyetlerinin kesintisiz devam etmesini sağlayacak önlemleri almış olmak kaydıyla ikincil merkez oluşturulması şartı uygulanmayabilir.” ifadesine yer verilmektedir.

 

Görüşümüz; “Bilgi sistemleri süreklilik planı” başlığı altındaki ikincil veri merkezi yükümlülüklerini yerine getiren ve personeline uzaktan çalışma imkânı sağlayan kuruluşların ikincil bir çalışma alanına ihtiyaç duymayacağıdır.

 

  • Elektronik sertifikalar: “Kuruluş internet sitesinin kimliğinin doğrulanması ve 23’üncü maddedeki veri paylaşım servisleri kapsamında tarafların güvenli bir şekilde tanımlaması amacıyla 15/1/2004 tarihli ve 5070 sayılı Elektronik İmza Kanunu’nda açıklanan elektronik sertifikaları kullanır.” ifadesine yer verilmektedir.

 

  • Uzaktan iletişim aracıyla yürütülecek süreçler: Uzaktan iletişim aracı ile kurulacak sözleşmeler ve gerçekleştirilecek kimlik doğrulama faaliyetlerine yönelik kriterlerin bu başlık kapsamında tanımlandığını görüyoruz. Ayrıca Madde 22 (1) kapsamında; müşteri kimliğinin doğrulanması kapsamında alınması gereken belge ve işletilmesi gereken süreçlere de yer verilmektedir.

 

  • Ödeme Hizmetlerinde Kullanılan Veri Paylaşım Servisleri (Açık Bankacılık Faaliyetleri): Yeni yönetmelik ve tebliğ kapsamında; 6493 sayılı kanun madde 12 (f) ve (g)’de tanımlanan “ödeme emri başlatma hizmeti” ile “hesap bilgisi hizmeti” olarak da tanımlayabileceğimiz ödeme hizmeti türevlerinin detaylarına yer verilmiştir.

 

Açık bankacılık faaliyetlerine ilişkin tanımlamalara tebliğ madde 23 – 28 arasında yer verilmektedir. Bu başlıkları incelediğimiz zaman ise hayatımıza HHS (Hesap hizmeti sağlayıcısı), HBHS (Hesap bilgisi hizmeti sağlayıcısı), ÖBHS (Ödeme emri başlatma hizmeti sağlayıcısı) gibi tanımların hayatımıza girdiğini görüyoruz.

 

  • Ödeme emri başlatma hizmeti sağlayıcısı - ÖBHS: Kanunun 12. maddesinin birinci fıkrasının (f) bendinde belirtilen ödeme hizmetini sunan tüzel kişiyi,
  • Hesap bilgisi hizmeti sağlayıcısı - HBHS: Kanunun 12. maddesinin birinci fıkrasının (g) bendinde tanımlanan ödeme hizmetini sunan tüzel kişiyi,
  • Hesap hizmeti sağlayıcısı (HHS): Nezdinde ödeme hesabı bulunan ödeme hizmeti sağlayıcısını

 

ifade etmektedir.

 

Açık bankacılık faaliyetleri ile ilgili tanımlamalar 6493 sayılı kanun, yönetmelik ve tebliğ kapsamında yapılsa da işlemlerin yürütülmesine ilişkin usul ve esaslar ile taraflarca uyulması gereken teknik ve operasyonel gereklilikler henüz belirlenmemiştir.

 

    1. Dikkat Çeken Konular

Yeni tebliği incelediğimizde dikkatimizi çeken diğer hususları sizler için aşağıda özetledik:

  • Politikalar dışında hazırlanması gereken birçok süreç prosedürü ve ilgili dokümanın onaylanması sorumluluğu yönetim kurullarına verilmiş bu da ilgili maddelerde açıkça belirtilmiştir.
  • Geçmiş dönemde sadece yönetim kurullarına yapılan birtakım raporlamaların artık önce yönetim kurulları tarafından onaylanması sonra ilgili raporların TCMB’ye iletilmesi sorumluluğu gelmiştir.
  • Daha önceki tebliğde genel çerçeve olarak tanımlanan birçok süreçle ilgili olarak yeni tebliğde işin nasıl yapılması gerektiğini de tarifleyken daha detaylı alt maddelere yer verilmiştir.
  • Bilgi güvenliği faaliyetleri ayrı ayrı başlıklar altında ele alınsa da ISO27001 kapsamında tariflenen bilgi güvenliği yönetimi sistemi (BGYS) yapısına benzer bir şekilde bütüncül bir yapı tariflenmiştir. Ayrıca oluşturulacak olan BGYS yapısının Bilgi Güvenliği Sorumlusu tarafından yılda en az 1 defa gözden geçirilmesi ve sonuçların yönetim kuruluna raporlanması sorumluluğu gelmiştir.
  • Yılda en az 6 defa zafiyet tarama testi yapma zorunluluğu gelmiştir. Zafiyet tarama testleri ve sızma testi sonucunda tespit edilen açıkların ivedilikle kapatılması amacıyla işletilecek süreçler tariflenmiştir. Ayrıca tespit edilen güvenlik açıklarının da TCMB’ye raporlanması beklenmektedir.
  • Herhangi bir nedenden denetim izi kayıt sisteminin durması halinde, denetim izi kayıt sistemi tekrar devreye alınana kadar herhangi bir işlemin gerçekleştirilmemesi yani ilgili tüm operasyonların durdurulması zorunluluğu gelmiştir.
  • İş sürekliliği ve olağanüstü durum testleri için “bir günlük işleyişinin ikincil merkez üzerinden sorunsuz bir şekilde gerçekleştirilmesi” zorunluluğu eklenmiştir.
  • Madde (7) içerisinde yer alan “Topluluk bulutu hizmetinin, kuruluşun ana ortağı, iştiraki veya ana ortağının iştiraki olan ve bilgi sistemlerine ilişkin faaliyetleri ilgili mevzuat çerçevesinde yetkili bir otorite tarafından düzenlenen ve denetlenen bir kredi kuruluşu veya finansal kuruluş tarafından verilmesi, sadece ana ortak, iştirakleri ve ana ortağın iştiraklerine tahsis edilmiş donanım ve yazılım kaynaklarının fiziksel olarak paylaşıldığı ancak mantıksal ayrıma gidilerek kuruluşa özgü ayrı bir kaynak atanması koşuluyla bu fıkra hükümlerine aykırılık teşkil etmez.” İfadesinden yola çıkarak belli kriterleri sağlayan kuruluşlar için bulut bilişim hizmetlerinin önü kısmen de olsa açılmıştır.