Bilgi Alışverişi Kuruluşları ile Risk Merkezinin Bilgi sistemleri Yönetimine ve Denetimine İlişkin Tebliğ

TebliğNo: 38859Resmî Gazete: 19.08.2021 / 31573

Bu mevzuatla ilgili sorunuz mu var? AvAi yapay zekâ asistanı madde madde açıklar, ilgili içtihatları bulur.

Ücretsiz deneyin

Tam metin

BİLGİ ALIŞVERİŞİ
KURULUŞLARI İLE RİSK MERKEZİNİN BİLGİ


SİSTEMLERİ
YÖNETİMİNE VE DENETİMİNE İLİŞKİN TEBLİĞ


 


BİRİNCİ BÖLÜM


Amaç, Kapsam,
Dayanak ve Tanımlar


Amaç


MADDE 1 – (1) Bu
Tebliğin amacı, Risk Merkezi ve bilgi alışverişi kuruluşlarının faaliyetlerinin
ifasında kullandıkları bilgi sistemleri yönetiminde ve denetiminde esas
alınacak asgari usul ve esasları düzenlemektir.


Kapsam


MADDE 2 – (1) Risk
Merkezi ve bilgi alışverişi kuruluşları bu Tebliğ hükümlerine tabidir.


Dayanak


MADDE 3 – (1) Bu
Tebliğ, 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanununun 93
üncü maddesi ve ek 1 inci maddesi, 23/2/2006 tarihli ve 5464 sayılı Banka
Kartları ve Kredi Kartları Kanununun 27 nci maddesinin üçüncü fıkrası
ve 29 uncu maddesinin ikinci fıkrası ile 10/3/2007 tarihli ve 26458 sayılı
Resmî Gazete’de yayımlanan Banka Kartları ve Kredi Kartları Hakkında
Yönetmeliğin 26/B maddesinin dördüncü fıkrası hükümlerine dayanılarak hazırlanmıştır.


Tanımlar ve kısaltmalar


MADDE 4 – (1) Bu
Tebliğde yer alan;


a) Bilgi alışverişi kuruluşu:
Banka Kartları ve Kredi Kartları Kanununun 4 üncü maddesi çerçevesinde faaliyet
izni alarak bilgi alışverişi faaliyetinde bulunan kuruluşları,


b) BSDHY: 13/1/2010 tarihli
ve 27461 sayılı Resmî Gazete’de yayımlanan Bağımsız Denetim Kuruluşlarınca
Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi
Hakkında Yönetmeliği,


c) Kanun: 19/10/2005 tarihli
ve 5411 sayılı Bankacılık Kanununu,


ç) Kuruluş: Risk Merkezi ile
bilgi alışverişi kuruluşlarını,


d) Kurum: Bankacılık Düzenleme ve
Denetleme Kurumunu,


e) Risk Merkezi: Kanunun ek 1
inci maddesi uyarınca; kredi kuruluşları ile Kurulca uygun görülecek finansal
kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri
bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri
koşuluyla gerçek kişiler ve özel hukuk tüzel kişileri ile de paylaşılmasını
sağlamak üzere Türkiye Bankalar Birliği nezdinde kurulan Risk Merkezini,


f) Risk Merkezi Yönetimi: Risk
Merkezinin görev ve faaliyetlerini sevk ve idare etmek üzere oluşturulmuş olan
Türkiye Bankalar Birliği Risk Merkezi Yönetimini,


g) Üye kuruluş: Kuruluş ile
arasında bilgi alışverişi bulunan tüzel kişileri,


ğ) Yönetmelik: 15/3/2020 tarihli
ve 31069 sayılı Resmî Gazete’de yayımlanan Bankaların Bilgi Sistemleri ve
Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği,


ifade eder.


İKİNCİ BÖLÜM


Bilgi Sistemleri
Yönetişimi, Bağımsız Bilgi Sistemleri ve İş Süreçleri Denetimi


Genel ilkeler


MADDE 5 – (1)
Kuruluş, Yönetmelik hükümlerine tabidir. Yönetmelikte geçen “banka” ifadesi
kuruluşu; “bankacılık faaliyetleri” ifadesi kuruluşun faaliyetlerini, “Yönetim
kurulu” ifadesi ise Risk Merkezi için Risk Merkezi Yönetimini ifade eder.


Bilgilerin doğruluğunun,
güvenliğinin ve güncelliğinin sağlanması


MADDE 6 – (1)
Kuruluş, üye kuruluşlar ile olan bilgi iletişiminin güvenli, doğru ve yeterli
sıklıkta gerçekleşebilmesi için gerekli önlemleri alır; söz konusu önlemleri
üye kuruluşa iletir ve bu önlemlerin yerine getirilmesini gözetir. Bilgilerin
ne ölçüde güncel tutulacağına ilişkin yönetim kurulu kararı veya Risk Merkezi
Yönetimi kararı alır ve kararı, alındığı tarihten itibaren bir ay içinde Kuruma
ve Türkiye Cumhuriyet Merkez Bankasına yazılı olarak iletir.


(2) Kuruluş, Kanunun 73 üncü
maddesine göre sır kapsamında olan bilgilerin üye kuruluş tarafından
sorgulanmasına ilişkin işlemlere ait denetim izlerinin, bilgilerin ifşası
durumunda üye kuruluş içindeki sorumluların tespitini sağlayacak nitelikte beş
yıl süreyle üye kuruluş tarafından tutulmasını temin eder.


 (3) Kuruluş, kendi alanına
giren konularda sahtecilik ve bilgi ifşasını önleyici çalışmalar yapmak,
güvenlik önlemlerini saptamak, ilgili taraflar arasında gerekli bilgi
paylaşımının sağlandığından emin olacak şekilde mekanizmalar kurmak ve sağlanan
bilgi paylaşımının etkinliğini takip etmekle yükümlüdür.


(4) Kuruluş, bilgi alışverişi
sisteminin sürekliliğinin sağlanabilmesi adına üye kuruluşlar tarafından
alınması gerekli olan tedbirleri belirler ve yazılı olarak üyeleriyle paylaşır.
Kuruluş tarafından yapılan kontrollerde, söz konusu önlemleri, belirtilen
tarihe kadar almadığı tespit edilen üye kuruluş, alınması talep edilen tedbir
ve üye kuruluşa verilen süre ile birlikte en geç bir ay içerisinde Kuruma
bildirilir.


(5) Bilgi alışverişine ilişkin
kullanılacak süreçler ve sistemler Yönetmeliğin 29 uncu maddesinin onuncu
fıkrası kapsamında kritik bilgi sistemleri olarak değerlendirilir.


Bağımsız bilgi sistemleri ve
iş süreçleri denetimi


MADDE 7 – (1) Kuruluşun
bilgi sistemleri, iş süreçleri ve iç sistemlerinin denetimi ve denetim
sonuçlarının raporlanması BSDHY ile belirlenen usul ve esaslar çerçevesinde,
BSDHY kapsamında yetkilendirilmiş veya izin verilmiş bağımsız denetim
kuruluşlarınca gerçekleştirilir.


(2) BSDHY’de geçen
“banka” ifadesi kuruluş; “bankacılık süreçleri” ifadesi ise kuruluşun iş
süreçleri olarak uygulanır. İş süreçlerinin belirlenmesi ve denetim kapsamına
dâhil edilmesinde, BSDHY’nin 5 inci maddesinde tanımlanan
önemlilik kriteri dikkate alınır.


(3) Denetçi, kuruluşun destek
hizmeti alarak gerçekleştirdiği hizmetlerin bilgi sistemlerini ve iş
süreçlerini nasıl etkilediğini göz önünde bulundurur, denetimini buna göre
planlar ve etkin bir denetim yaklaşımı geliştirir.


(4) İş süreçleri denetimi her
yıl, bilgi sistemleri denetimi iki yılda bir kez yapılır. Kurum, gerekli
gördüğü hallerde denetlenenlerden herhangi biri ya da tüm denetlenenler için,
bu denetimlerin kapsamını ve sıklığını farklılaştırabilir.


ÜÇÜNCÜ BÖLÜM


Çeşitli ve Son
Hükümler


Yürürlükten kaldırılan tebliğ


MADDE 8 – (1) 4/12/2013 tarihli
ve 28841 sayılı Resmî Gazete’de yayımlanan Bilgi Alışverişi, Takas ve
Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler
ile İş Süreçleri ve Bilgi Sistemlerinin Denetimine İlişkin Tebliğ yürürlükten
kaldırılmıştır.


Yürürlük


MADDE 9 – (1) Bu
Tebliğ yayımı tarihinde yürürlüğe girer.


Yürütme


MADDE 10 – (1) Bu
Tebliğ hükümlerini Bankacılık Düzenleme ve Denetleme Kurumu Başkanı yürütür.


 

AvAi

Hukuki AI Asistanı
Merhaba! Ben AvAi, Avarsis Hukuki AI Asistanınız. Size nasıl yardımcı olabilirim?