Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri ile Ödeme Hizmeti Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğ

TebliğNo: 39081Resmî Gazete: 01.12.2021 / 31676

Bu mevzuatla ilgili sorunuz mu var? AvAi yapay zekâ asistanı madde madde açıklar, ilgili içtihatları bulur.

Ücretsiz deneyin

Tam metin

ÖDEME VE ELEKTRONİK PARA
KURULUŞLARININ BİLGİ SİSTEMLERİ İLE


ÖDEME HİZMETİ SAĞLAYICILARININ ÖDEME
HİZMETLERİ ALANINDAKİ


VERİ PAYLAŞIM SERVİSLERİNE İLİŞKİN
TEBLİĞ


 


BİRİNCİ BÖLÜM


Amaç, Kapsam, Dayanak ve Tanımlar


Amaç ve kapsam


MADDE 1 – (1) Bu Tebliğin amacı, ödeme
kuruluşları ve elektronik para kuruluşlarının faaliyetlerinin yürütülmesinde
kullandıkları bilgi sistemlerinin yönetimi ve yetkilendirilmiş bağımsız denetim
kuruluşları tarafından denetlenmesi ile ödeme hizmeti sağlayıcılarının ödeme
hizmetleri alanındaki veri paylaşım servislerine ilişkin usul ve esasları
düzenlemektir.


Dayanak


MADDE 2 – (1) Bu Tebliğ, 20/6/2013
tarihli ve 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme
Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanunun 12 nci, 14 üncü,
14/A, 18 inci ve 21 inci maddelerine dayanılarak hazırlanmıştır.


Tanımlar ve kısaltmalar


MADDE 3 – (1) Bu Tebliğde yer alan;


a) Açık rıza: 24/3/2016 tarihli ve 6698 sayılı
Kişisel Verilerin Korunması Kanununun 3 üncü maddesinin birinci fıkrasının (a)
bendinde tanımlanan açık rızayı,


b) Alıcı: Ödeme işlemine konu fonun ulaşması istenen
gerçek veya tüzel kişiyi,


c) Anonim ön ödemeli araç: Herhangi bir şekilde ödeme
hesabına bağlı olmayan ve kimlik tespiti veya doğrulaması yapılmamış, (Ek
ibare:RG-7/10/2023-32332) 9/4/2008 tarihli ve 26842 sayılı Resmî
Gazete’de yayımlanan Mali Suçları Araştırma Kurulu Genel Tebliği (Sıra No:
5)’nin 2.2.9 uncu maddesinin birinci paragrafında ve 2.2.11 inci maddesinin
birinci paragrafında belirtilen parasal sınırlar dahilinde kalan, önceden
ödeme ya da yükleme yapılması suretiyle kullanılabilir hale gelen, tekrar
yükleme yapılma imkanı bulunan veya bulunmayan şekilde ihraç edilebilen ve
yüklenen bakiye kadar kullanıma izin verilen ön ödemeli aracı,


ç) API: Farklı yazılımların birbirleri üzerinde
tanımlanmış servisleri kullanabilmesi ve aralarında veri alışverişi yapabilmesi
için belirli koşul ve kurallar çerçevesinde oluşturulmuş arayüzleri,


d) Aydınlatma: 6698 sayılı Kanunun 10 uncu maddesi
kapsamında yapılacak bilgilendirmeyi,


e) Bağımsız denetim kuruluşu: Kamu Gözetimi, Muhasebe
ve Denetim Standartları Kurumu tarafından yetkilendirilmiş bağımsız denetim
kuruluşlarından Bankacılık Düzenleme ve Denetleme Kurumu tarafından yayımlanan
Bankalarda Bilgi Sistemleri Denetimi Yapmaya Yetkili Bağımsız Denetim
Kuruluşları listesinde yer alan bağımsız denetim kuruluşunu,


f) Banka: Türkiye Cumhuriyet Merkez Bankası Anonim
Şirketini,


g) Banka ödeme sistemi: Banka tarafından işletilen
ödeme sistemlerini,


ğ) Bilgi sistemleri: Ödeme hizmetine ilişkin
faaliyetlerin yürütülmesi amacıyla ödeme hizmeti sağlayıcısının bilgi ve
verilerle ilgili olarak mevzuatla belirlenmiş sorumluluklarının yerine
getirilmesini sağlayan donanım, yazılım, veri, süreç ve insan kaynağından oluşan
yapının tamamını,


h) Bilgi varlığı: Kurumsal bilgiye erişimde ve bu
bilginin işlenmesinde, iletilmesinde, saklanmasında, korunmasında ve imhasında
kullanılan donanım, yazılım, belge, veri ve insan gibi her türlü kaynağı,


ı) Birincil merkez: Birincil sistemlerin tesis
edildiği yapıyı,


i) Birincil sistemler: Kanun, Yönetmelik, bu Tebliğ
ve Bankaca Kanun kapsamında çıkarılacak ilgili diğer düzenlemelerde yer alan
hususlarla ilgili bütün bilgilerin, elektronik ortamda güvenli ve istenildiği
an erişime imkân sağlayacak şekilde saklanıldığı sistemler ile faaliyetlerin
yürütülmesinde kullanılan altyapı, donanım, yazılım ve veriden oluşan sistemin
tamamını,


j) Biyometrik veri: Kimlik doğrulama işlemlerinin
gerçekleştirilmesi esnasında kullanılan retina, iris, yüze ait karakteristik
özellikler, ses ve parmak izi benzeri kişiye özgü ölçülebilir biyolojik veya
davranışsal karakteristiği,


k) BKM: Bankalararası Kart Merkezi Anonim Şirketini,


l) BKM-API Geçidi: Kanunun 12 nci maddesinin birinci
fıkrasının (f) ve (g) bentlerinde yer alan ödeme hizmetlerinin sunulması için
Yönetmeliğin 59 uncu maddesinin beşinci fıkrası uyarınca BKM tarafından
kurulacak yapıyı,


m) (Değişik:RG-7/10/2023-32332) BSİSBDHY:
31/12/2021 tarihli ve 31706 altıncı mükerrer sayılı Resmî Gazete’de yayımlanan
Bilgi Sistemleri ve İş Süreçleri Bağımsız Denetimi Hakkında Yönetmeliği,


n) Değişiklik yönetimi: Önceden belirlenmiş
prosedürlerin kullanımı yoluyla bilgi sistemleri ile ilgili tüm değişikliklerin
etkin ve güvenli bir şekilde ve zamanında gerçekleştirilmesini sağlamayı ve bu
değişikliklerden kaynaklanabilecek olayların sayısı ile bu olayların sunulan
hizmetler üzerindeki etkisini asgari düzeye indirmeyi amaçlayan bilgi sistemleri
hizmet yönetimi disiplinini,


o) Denetim izleri: Bir finansal ya da operasyonel
işlemin başlangıcından bitimine kadar adım adım takip edilmesini sağlayacak
kayıtlar ile bilgi varlıklarına kimin eriştiğini veya erişmeye çalıştığını ve
kullanıcının hangi işlemleri gerçekleştirdiğini gösteren kayıtları,


ö) Dış hizmet sağlayıcı: Kuruluşun, Yönetmeliğin 21
inci maddesi çerçevesinde münhasıran kendisi tarafından yapılması gerekenler
dışında kalan faaliyetlerini kuruluş adına gerçekleştiren ya da gerçekleştirilmesinde
kuruluşa yardımcı nitelikte hizmet veren tüzel kişiyi,


p) Elektronik kanal: Müşterilerin ödeme hizmeti
sağlayıcısının fiziksel şube ve temsilcilerine gitmeden uzaktan ödeme hizmeti
alabildikleri mobil uygulama, internet şubesi, telefon hizmetleri, ATM, kiosk
cihazı, API ve benzeri her türlü elektronik hizmet yöntemini,


r) Elektronik para: Elektronik para ihraç eden
kuruluş tarafından kabul edilen fon karşılığı ihraç edilen, elektronik olarak
saklanan, Kanunda tanımlanan ödeme işlemlerini gerçekleştirmek için kullanılan
ve elektronik para ihraç eden kuruluş dışındaki gerçek ve tüzel kişiler
tarafından da ödeme aracı olarak kabul edilen parasal değeri,


s) Elektronik para ihraç eden kuruluş: Elektronik
para kuruluşlarını, 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanunu
kapsamındaki bankaları ve Posta ve Telgraf Teşkilatı Anonim Şirketini,


ş) Elektronik para kullanıcısı: Gönderen, alıcı veya
her ikisi sıfatıyla elektronik para ihraç eden kuruluşların sunduğu elektronik
para ihracı ve fona çevirme hizmetlerinden faydalanan gerçek veya tüzel kişiyi,


t) Elektronik para kuruluşu: Kanun kapsamında
elektronik para ihraç etme yetkisi verilen tüzel kişiyi,


u) Fon: Banknot, madeni para, kaydi para veya
elektronik parayı,


ü) Gönderen: Kendi ödeme hesabından veya ödeme hesabı
bulunmaksızın ödeme emri veren gerçek veya tüzel kişiyi,


v) Güçlü kimlik doğrulama: Kimlik doğrulamada
kullanılan ve bir bileşenin ele geçirilmesinin diğer bileşenin güvenliğini
tehlikeye atmayacağı en az iki bileşenden oluşan, bu iki bileşenin de
müşterinin bildiği, sahip olduğu veya biyometrik bir karakteristiği olan
bileşen sınıflarından farklı ikisine ait olacak şekilde seçildiği yöntemi,


y) Güvenli bileşen: İçinde barındırdığı gizli
verilerin yetkisiz kişilerce erişilmesine, kopyalanmasına ve kendi dışına
çıkarılmasına imkân vermeyen SIM kart, akıllı kart gibi bileşeni,


z) Hassas müşteri verisi: Ödeme emrinin verilmesinde
veya müşterinin kimliğinin doğrulanmasında kullanılan ve üçüncü kişilerce ele
geçirilmesi veya değiştirilmesi halinde dolandırıcılık ya da müşteri adına
sahte işlem yapılmasına imkân verebilecek kişisel veriler ile müşteri güvenlik
bilgilerini,


aa) Hesap bilgisi hizmeti: Kanunun 12 nci maddesinin
birinci fıkrasının (g) bendinde tanımlanan hizmeti,


bb) Hesap bilgisi hizmeti sağlayıcısı - HBHS: Kanunun
12 nci maddesinin birinci fıkrasının (g) bendinde tanımlanan ödeme hizmetini
sunan tüzel kişiyi,


cc) Hesap hizmeti sağlayıcısı (HHS): Nezdinde ödeme
hesabı bulunan (Ek ibare:RG-28/3/2025-32855) , Yönetmeliğin 59 uncu
maddesi uyarınca BKM API Geçidi’ne bağlanarak gerekli altyapıyı sağlamakla
yükümlü kılınan ve aynı maddenin dokuzuncu fıkrasında belirlenen ödeme
hizmeti sağlayıcısı,


çç) Hizmet seviyesi: Hizmetlerin maliyeti ile söz
konusu hizmetleri alanların gereksinim ve beklentilerinin göz önünde
bulundurulması suretiyle, hizmeti sunan tarafından hizmetin içeriği ile
kalitesine ilişkin yazılı olarak önceden belirlenen ve ilgili taraflarla
paylaşılan seviyeyi,


dd) İkincil merkez: Birincil merkezin kullanılamadığı
durumlarda, birincil ve ikincil sistemlere kullanıma hazır olacak şekilde
erişilebildiği, personelin çalışmasına imkân tanıyacak ve birincil merkezin
tesis edildiği yapı ile aynı riskleri taşımayacak şekilde oluşturulmuş yapıyı,


ee) İkincil sistemler: Birincil sistemler aracılığı
ile yürütülen faaliyetlerde bir kesinti olması halinde, bu faaliyetlerin iş
sürekliliği planında belirlenen kabul edilebilir kesinti süreleri içerisinde
sürdürülür hale getirilmesini ve Kanun, Yönetmelik, bu Tebliğ ve Bankaca Kanun
kapsamında çıkarılacak ilgili diğer düzenlemelerde yer alan hususlarla ilgili
bütün bilgilere erişilmesini sağlayan birincil sistem yedeklerini,


ff) İnsansız hizmet noktası: Müşterilerin, ödeme
işlemi ya da elektronik para ile ilgili işlemleri kendi kendine yapabildiği,
sahipliği bir veya birden fazla kuruluşa ait olan ve fiziki bir lokasyonu
bulunan ATM, kiosk gibi cihazları,


gg) İnternet şubesi: Müşterilerin, ödeme hizmeti
sağlayıcılarının Kanun kapsamında sundukları hizmetlere, kullandıkları cihaz ya
da platformdan bağımsız olarak, internet yoluyla ulaşabildiği ve kendilerine
ait finansal veya kişisel verileri görüntüleyebildiği, değiştirebildiği ya da
finansal sorumluluk yaratacak işlemler gerçekleştirebildiği ve hizmetlerin
internet sitesi üzerinden sunulduğu elektronik kanalları,


ğğ) İşlem bilgisi: Gerçekleştirilen işleme ilişkin
işlem zamanını, işlemin niteliğini ve ödeme işlemi için ödeme emrinin masraf,
komisyon ve ücretler de dahil hesabın borçlandırılacağı toplam tutarını ve
ödemenin göndereni ile alıcısını veya toplu ödeme emrinin masraf, komisyon ve
ücretler de dahil hesabın borçlandırılacağı toplam tutarını ve göndereni ile
alıcılarını içeren bilgiyi,


hh) İşlem doğrulama kodu: Kimlik doğrulama yöntemlerinden
biriyle kendisini sisteme tanıtan bir müşterinin gerçekleştirmek istediği
işleme özgü olmak ve belirli bir geçerlilik süresi içinde işlem onayında
kullanılmak üzere oluşturulan, finansal sonuç doğuran işlemlerde kişiye onay
anında ilgili işlem bilgisi ile birlikte gösterilen ve alıcı veya tutarın
değişmesiyle geçersiz hale gelen bilgiyi,


ıı) İşyeri: Ödeme hizmeti sağlayıcısı ile yaptığı
sözleşme çerçevesinde ödeme hizmeti kapsamına giren bir ödeme yöntemi ile mal
ve hizmet satmayı kabul eden gerçek veya tüzel kişiyi,


ii) Kanun: 20/6/2013 tarihli ve 6493 sayılı Ödeme ve
Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para
Kuruluşları Hakkında Kanunu,


jj) Karşılıklı doğrulama: İletişimde bulunan bilgi
sistemlerinin birbirlerinin kimliklerinden emin olmalarını sağlamak amacıyla
kullanılan, iki tarafın da kendi kimliğini diğer tarafa doğruladığı kimlik
doğrulama yöntemini,


kk) Kesinti: Planlı olanlar dışında, ödeme hizmeti sağlayıcısının
Kanun kapsamındaki faaliyetlerine ilişkin operasyonel iş ve süreçlerinin
sekteye uğramasını,


ll) Kimlik doğrulama: Bildirilen bir kimliğin
gerçekten bildiren kişiye ait olduğuna dair güvence sağlayan mekanizmayı,


mm) Kimlik tanımlayıcı: Ödeme hizmeti sağlayıcısı
tarafından kimliğinin belirlenmesi ve diğer kullanıcılardan ayırt edilmesi
amacıyla müşteriye özgülenen sayı, harf veya sembollerden oluşan kombinasyonu,


nn) Kişisel veri: 6698 sayılı Kanunun 3 üncü
maddesinin birinci fıkrasının (d) bendinde tanımlanan bilgiyi,


oo) Kullanıcı: Personel veya müşteri gibi ödeme
hizmeti sağlayıcısının bilgi sistemleri üzerinde işlem gerçekleştirmek üzere
kendilerine hesap tanımlanmış olan her türlü kullanıcıyı,


öö) Kuruluş: Ödeme kuruluşları ve elektronik para
kuruluşlarını,


pp) Mobil uygulama: Akıllı telefon veya tablet gibi
mobil bir cihazda bulunan ödeme hizmeti sağlayıcısına ait uygulama üzerinden
müşterilerin Kanun kapsamına giren işlemlerini gerçekleştirebildikleri
özelleşmiş elektronik kanalı,


rr) Mobil uygulama etkinleştirme: Mobil uygulama için
müşterinin mobil cihazının müşteri ile eşleştirilmesini,


ss) Müşteri: Ödeme hizmeti kullanıcısı ile elektronik
para kullanıcısını,


şş) Müşteri bilgisi: Müşterilere ait, işlem bilgisi,
bakiye bilgisi, kişisel veri, kimlik tanımlayıcısı, unvan dahil olmak üzere
müşterinin kişisel ve finansal durumuna ilişkin doğrudan veya dolaylı yoldan
edinilen her türlü bilgiyi,


tt) Müşteri güvenlik bilgileri: Kimlik doğrulama
işleminin yapılması amacıyla ödeme hizmeti sağlayıcısı tarafından müşterisine
verilen veya müşteri tarafından belirlenerek ödeme hizmeti sağlayıcısı ile
mutabık kalınan özelleştirilmiş bilgiyi,


uu) Olay: Bilgi sistemlerinin işleyişinde bir
kesintiye ya da siber olay dâhil hizmet kalitesinde düşüşe neden olan her türlü
gelişmeyi,


üü) Oturum: Kullanıcıların elektronik kanallar
üzerinden kimlik doğrulama mekanizması ile bilgi sistemlerine dâhil
olmalarından işlemlerini tamamlayıp sistemden ayrılmalarına kadar geçecek tüm
süreci kapsayacak şekilde tesis edilen, veri aktarımı, sunuşu veya
gerçekleştirilecek finansal işlemler için taraflar arasında kurulan mantıksal
bağı,


vv) Ödeme aracı: Ödeme hizmeti sağlayıcısı ile
müşteri arasında belirlenen ve müşteri tarafından ödeme emrini vermek için
kullanılan kart, cep telefonu, şifre ve benzeri kişiye özel aracı,


yy) Ödeme emri: Müşteri tarafından ödeme işleminin
gerçekleşmesi amacıyla ödeme hizmeti sağlayıcısına verilen talimatı,


zz) Ödeme emri başlatma hizmeti: Kanunun 12 nci
maddesinin birinci fıkrasının (f) bendinde tanımlanan hizmeti,


aaa) Ödeme emri başlatma hizmeti sağlayıcısı - ÖBHS:
Kanunun 12 nci maddesinin birinci fıkrasının (f) bendinde belirtilen ödeme
hizmetini sunan tüzel kişiyi,


bbb) Ödeme hesabı: Müşteri adına açılan ve ödeme
işleminin yürütülmesinde kullanılan hesabı,


ccc) Ödeme hizmeti: Kanunun 12 nci maddesi
çerçevesinde ödeme hizmeti olarak kabul edilen hizmetleri,


ççç) Ödeme hizmeti kullanıcısı: Gönderen, alıcı veya
her ikisi sıfatıyla belirli bir ödeme hizmetinden faydalanan gerçek veya tüzel
kişiyi,


ddd) Ödeme hizmeti sağlayıcısı: 5411 sayılı Kanun
kapsamındaki bankalar, elektronik para kuruluşları, ödeme kuruluşları ve Posta
ve Telgraf Teşkilatı Anonim Şirketini,


eee) Ödeme işlemi: Gönderen veya alıcının talimatı
üzerine gerçekleştirilen fon yatırma, aktarma veya çekme faaliyetini,


fff) Ödeme kuruluşu: Ödeme hizmeti sağlamak ve
gerçekleştirmek için Kanun kapsamında yetkilendirilmiş tüzel kişiyi,


ggg) Ön ödemeli araç: Müşterinin ödemelerde
kullanılabilecek fonu ödeme aracını ihraç eden ödeme hizmeti sağlayıcısına
harcama yapmadan önce ödediği ve ödenene eşdeğer tutarda fonun elektronik para
olarak ödeme hizmetlerinde kullanılmasına imkân veren fizikî veya fizikî
varlığı bulunmayan ödeme aracını,


ğğğ) Parola: Kimlik doğrulamada kullanılan, harf,
rakam ve/veya özel işaretlerden oluşan ve gizli olan karakter dizisini,


hhh) Personel: Kuruluş personeli, temsilci personeli
ve dış hizmet sağlayıcı çalışanı gibi kuruluşun bilgi sistemleri üzerinde işlem
gerçekleştirmek üzere kendilerine yetki verilmiş olan her türlü kullanıcıyı,


ııı) Proje yönetimi: Önceden belirlenmiş
metodolojilerin kullanımı yoluyla bilgi sistemleri projelerinin, öngörülen
zaman planına, bütçeye ve kalite düzeyine uygun olarak tamamlanmasını temin
edecek şekilde planlanmasını, organizasyonunu ve yürütülmesini sağlayan süreci,


iii) Rekabete duyarlı veri: Ücret, komisyon, faiz
gibi fiyat ile ilişkilendirilebilir her türlü niceliksel veriyi,


jjj) Risk bazlı kimlik doğrulama: Çeşitli risk faktörlerinin
dinamik bir şekilde değerlendirilmesi suretiyle kimlik doğrulama sürecinin
düşük risk profili için kolaylaştırılması, yüksek risk profili için daha
kapsamlı ve kısıtlayıcı hale getirilmesi yaklaşımını,


kkk) Sızma testi: Bilgi sistemlerinin güvenlik
açıklarını istismar edilmeden önce tespit etmek ve düzeltmek amaçlı
gerçekleştirilen testi,


lll) Siber olay: 11/11/2013 tarihli ve 28818 sayılı
Resmî Gazete'de yayımlanan Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev
ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğin 3 üncü maddesinde
tanımlanan siber olayı,


mmm) Siber olaya müdahale: Siber Olaylara Müdahale
Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında
Tebliğin 3 üncü maddesinde tanımlanan siber olaya müdahaleyi,


nnn) SMS OTP: Elektronik haberleşme işletmecilerinin
sunduğu SMS servisi aracılığıyla iletilen tek kullanımlık parolayı,


ooo) Sorun: Bir veya daha fazla olayın kök nedenini,


ööö) Sürekli iş ilişkisi: 10/12/2007 tarihli ve
2007/13012 sayılı Bakanlar Kurulu Kararı ile yürürlüğe konulan Suç Gelirlerinin
Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında
Yönetmelikte tanımlanan sürekli iş ilişkisini,


ppp) Tek kullanımlık parola: Kimlik doğrulamada
sadece bir kez kullanılmak üzere rastgele oluşturulan harf, rakam ve/veya özel
işaret dizisini,


rrr) Temsilci: Kuruluş adına ve hesabına hareket eden
gerçek veya tüzel kişiyi,


sss) Terminal: Ödeme aracı üzerindeki bilgiler ile
hassas müşteri verilerini esas alarak her türlü mal ve hizmet alımı veya nakit
ödeme belgesi düzenlenmesi işlemleri ile ödeme işlemlerinin ve elektronik para
ile ilgili işlemlerin gerçekleştirilmesinde kullanılan, ödeme hizmeti sağlayıcı
tarafından temin edilen elektronik cihaz ya da yazılımı,


şşş) Uçtan uca güvenli iletişim: İletişime konu
veriye sadece alıcısının erişebilmesi amacıyla, söz konusu verinin gönderen
tarafından sadece alıcının çözebileceği şekilde şifrelenerek iletilmesini,


ttt) Uzaktan iletişim aracı: Mektup, katalog,
telefon, faks, (Mülga ibare:RG-7/10/2023-32332) elektronik posta mesajı,
internet, SMS hizmetleri gibi fiziksel olarak karşı karşıya gelinmeksizin
sözleşme kurulmasına imkan veren her türlü araç veya ortamı,


uuu) Üst yönetim: Kuruluşun yönetim kurulu üyeleri,
genel müdür ve genel müdür yardımcıları, iç kontrol ve risk yönetimi
birimlerinin yöneticileri ile başka unvanlarla istihdam edilseler dahi,
danışmanlık birimleri dışındaki birimlerin, yetki ve görevleri itibarıyla genel
müdür yardımcısına denk veya daha üst konumlarda görev yapan yöneticilerini,


üüü) Veri paylaşım servisleri: Müşteriler adına
hareket eden tarafların API’ler vasıtasıyla HHS’nin sunduğu ödeme hizmetlerine
uzaktan erişerek Kanun kapsamına giren işlemleri gerçekleştirebildikleri veya
bu tür işlemlerin gerçekleştirilmesi için HHS’ye talimat verdikleri elektronik
kanalı,


vvv) Yama: Programlarda tespit edilen güvenlik
açıkları veya programın içeriğindeki hatalı bir fonksiyonu düzeltme amaçlı
hazırlanan program eklentisini,


yyy) Yönetmelik: 1/12/2021 tarihli ve 31676 sayılı
Resmî Gazete’de yayımlanan Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme
Hizmeti Sağlayıcıları Hakkında Yönetmeliği,


zzz) (Ek:RG-7/10/2023-32332) MASAK: Hazine ve
Maliye Bakanlığı Malî Suçları Araştırma Kurulu Başkanlığını,


aaaa) (Ek:RG-7/10/2023-32332) Yakın alan
iletişimi: Elektronik cihazlar arasında iletişimi sağlamak için bu cihazların
birbirine temas ettirilmesiyle veya yakın mesafede temassız olarak
yaklaştırılmasıyla ortaya çıkan manyetik alan üzerinden veri iletiminin
sağlandığı kısa menzilli kablosuz bağlantı teknolojisini,


ifade eder.


İKİNCİ BÖLÜM


Bilgi Sistemleri Yönetiminde Esas
Alınacak İlkeler


Bilgi sistemleri yönetimine ilişkin genel hükümler


MADDE 4 – (1) Kuruluş, bilgi sistemlerine
ilişkin faaliyetlerini yürütürken işleyişinden sorumlu olduğu hizmetin
kesintisiz, güvenli, etkin ve verimli bir şekilde çalışması amacını öncelikli
olarak gözetir.


(2) Kuruluş, bilgi sistemlerini Kanun kapsamında
yürütmekte olduğu faaliyetlerin konusu, hacmi, karmaşıklığı ve kapsamı ile
uyumlu ve kişisel verilerin güvenliğine yönelik gerekli idari ve teknik
tedbirlere uygun şekilde tesis eder ve teknolojik gelişmeleri de dikkate alarak
günceller.


(3) Kuruluş, bilgi sistemleri yönetimine ilişkin
politikaları, ana strateji ve hedefleri ile uyumlu şekilde yazılı olarak
oluşturur, yılda en az bir defa olmak üzere düzenli olarak gözden geçirir ve
gerekli durumlarda günceller. Bilgi sistemleri yönetimine ilişkin politikaların
yönetim kurulu tarafından onaylanması zorunludur.


(4) Kuruluş, Kanun kapsamındaki faaliyetleri ile
ilgili her türlü yönetim faaliyetlerini bilgi sistemleri yönetimini de
kapsayacak şekilde, bütüncül bir yaklaşım içerisinde ve kurumsal yönetim
uygulamaları çerçevesinde gerçekleştirir ve bilgi sistemleri yönetimine ilişkin
unsurları organizasyon yapısı içerisinde, kuruluşun büyüklüğü ile
faaliyetlerinin karmaşıklığını gözeterek uygun yere yerleştirir.


(5) Kuruluş, bilgi sistemleri ile ilgili olarak organizasyon
yapısı içerisinde yer alan birimlerin görev ve sorumlulukları ile bu
birimlerdeki personelin görev tanımlarını açık, anlaşılır ve yazılı olarak
oluşturur. Bu fıkra uyarınca hazırlanan dokümanlar yönetim kurulunca onaylanır.
Dokümanların uygunluğu yılda en az bir defa gözden geçirilir.


(6) Bilgi sistemlerinin yönetimi konusunda görev alan
personelin kendilerine atanan görev ve sorumluluklarla ilgili
farkındalıklarının oluşturulması ile görev ve sorumluluklarda meydana gelecek
değişikliklerden haberdar olması sağlanır.


(7) Kuruluş, bilgi sistemleri yönetimine ilişkin
görev, yetki ve sorumlulukları açıkça belirler ve bilgi sistemleri yönetimi
için gerekli her türlü kaynağı sağlar.


(8) Kuruluş, bilgi sistemleri yönetimine ilişkin
faaliyetlerin politika, düzenleme ve genel kabul görmüş ilgili uluslararası
standartlara uyumlu olduğunu kontrol etmek üzere Yönetmeliğin 26 ncı maddesi
uyarınca oluşturulan iç kontrol sisteminin içerisinde gerekli fonksiyonu
oluşturur. Bu konularda çalışacak personelin gerekli deneyim ve bilgi
birikimine sahip olması gerekir.


(9) Bilgi sistemleri yönetiminin bu Tebliğde yer alan
hükümlere uygun şekilde yürütülmesinden kuruluşun yönetim kurulu sorumludur.


(10) Yönetmeliğin 11 inci maddesi uyarınca faaliyet
izni başvurusunda bulunulduğunda, nihai onay aşamasından önce olmak üzere,
bilgi sistemleri altyapısından sorumlu yöneticinin atamasının yapılmış olması
gerekir. Ataması yapılacak yöneticinin bilgi sistemleri sektöründe benzer
ölçekteki proje ekiplerinde yer almış olması gerekir.


(11) Yönetmeliğin 11 inci maddesi uyarınca faaliyet
izni başvurusunda bulunulduğunda, nihai onay aşamasından önce olmak üzere, bir
yıllık iş planının gerektirdiği bilgi sistemleri altyapısının üretim ortamının
kurulmuş olması gerekir.


Bilgi sistemlerine ilişkin risk yönetimi


MADDE 5 – (1) Kuruluş, bilgi
sistemlerinin sorunsuz şekilde işlemesini tehlikeye sokabilecek tüm risklerin
tespit edilmesini, ölçülmesini, izlenmesini ve etkin bir şekilde yönetilmesini
sağlamak amacıyla risk yönetim çerçevesi ve yeterli araç zenginliğine sahip bir
yapıyı tesis eder. Kuruluş, risk yönetim çerçevesi kapsamında riskleri yönetmek
amacıyla uygulanması gereken önlemlere ilişkin usul ve esaslar ile tesis
edilmesi gereken kontrolleri içerir politika, prosedür ve süreç dokümanlarını
yazılı olarak oluşturur. Bu fıkra uyarınca hazırlanan dokümanlar yönetim
kurulunca onaylanır.


(2) Kuruluş, tesis edeceği risk yönetim çerçevesini
oluştururken, bilgi sistemlerine ilişkin riskleri ve ilgili mevzuat ile ulusal
ve uluslararası standartları göz önünde bulundurur.


(3) Birinci fıkra uyarınca bilgi sistemlerine ilişkin
riskler değerlendirilirken, Kuruluşun ana faaliyetleri ile diğer faaliyetleri,
varsa temsilci ve dış hizmet sağlayıcıların faaliyetleri, üçüncü taraflara olan
bağımlılıkları ve Kuruluşun diğer ödeme hizmeti sağlayıcıları ve ödeme
sistemleri ile olan bağlantıları da göz önünde bulundurulur.


(4) Kuruluş, bilgi sistemlerinde meydana gelecek
önemli değişikliklerden önce ve yılda en az bir defa olmak üzere bilgi
sistemlerine ilişkin kapsamlı bir risk değerlendirmesi yapar ve değerlendirme
sonuçlarını ve bunlara ilişkin alınacak aksiyonları içerir raporu, herhangi bir
değişikliğe bağlı olmadan ve her yıl Ocak ayı sonuna kadar bir önceki yıla
ilişkin olacak şekilde hazırlar ve yönetim kurulu ile Bankaya sunar.


(5) Birinci fıkra uyarınca oluşturulacak dokümanlarda
yer alan önlem ve kontrollerin etkin bir şekilde uygulanabilmesi için kuruluş,
organizasyon yapısı, personel ve diğer kaynaklara ilişkin gerekli tedbirleri
alır ve 4 üncü maddenin beşinci fıkrası çerçevesinde oluşturulacak görev
tanımlarında birinci fıkra uyarınca oluşturulacak dokümanlarda yer alan önlem
ve kontrollerin uygulanmasına ilişkin sorumlulukların açık bir şekilde
belirlenmesini sağlar.


Bilgi sistemleri işletimi


MADDE 6 – (1) Kuruluş, tanımlanan hizmet
seviyeleri çerçevesinde bilgi sistemlerinin işleyişinin güvenilirliğine,
dayanıklılığına ve sürekliliğine ilişkin hedefleri yazılı olarak açıkça
belirler ve bu hedefler doğrultusunda bilgi sistemlerinin işletiminin etkin ve
verimli yapılabilmesi amacıyla sağlayıcı veya üretici firma desteği süren
güncel yazılım sürümlerinin kullanılması da dahil olmak üzere gerekli
tedbirleri alır.


(2) Kuruluş, birinci fıkra kapsamında belirlediği
hedeflere uyum düzeyini yılda en az bir defa olmak üzere düzenli aralıklarla
ölçer ve sonuçların yönetim kurulu tarafından değerlendirilmesini ve uyum
sağlanamayan durumlarda konuyla ilgili alınacak aksiyonların belirlenmesini
sağlar. Süreç sonucunda ortaya çıkan doküman her yıl için en geç takip eden
yılın Ocak ayı sonuna kadar Bankaya raporlanır.


(3) Kuruluş, bilgi sistemlerini tanımlanan hizmet
seviyeleri için yeterli kapasiteye sahip olacak şekilde tesis eder, kapasitenin
ölçeklenebilir olmasını öncelikli olarak gözetir ve bilgi sistemlerine yönelik
etkin bir kapasite yönetimi yapar.


(4) Kuruluş, bilgi sistemleri envanterinin ve
konfigürasyon bilgisinin oluşturulmasını, güvenli bir şekilde saklanmasını,
güncellenmesini ve üst yönetime raporlanmasını sağlar. Kuruluş, bu çalışmalar
kapsamında;


a) Masaüstü, dizüstü, mobil cihazlar ve sunucular
üzerindeki işletim sistemi, veritabanları ve uygulamalar ile güvenlik
duvarları, yönlendirici ve anahtarlama cihazları gibi ağ cihazları için
sıkılaştırılmış ve test edilmiş güvenli standart konfigürasyon bilgilerini
oluşturur. Söz konusu standart konfigürasyon bilgilerini, standart
konfigürasyondan sapmaları veya standart konfigürasyondaki güncellemeleri
değişiklik yönetiminin bir parçası olarak kayıt altına alır ve onay
mekanizmasına tabi tutar. Güvenli standart konfigürasyonun dışında kalan her
türlü değişiklik isteği için iş gereksinimi, gereksinim süresi ve bu iş
gereksinimine ihtiyaç duyan iş sorumlusunun kim olduğu gibi bilgileri kayıt
altına alır.


b) Masaüstü, dizüstü, mobil cihazlar ve sunucular üzerindeki
işletim sistemleri için bu işletim sistemlerinin tipi, sürüm numarası, yama
seviyesi ve üzerinde yüklü olan veritabanları ve uygulamaların listesini
gösterecek şekilde bir yazılım envanteri oluşturur.


c) (b) bendi uyarınca oluşturulan yazılım envanterinin
aynı zamanda donanım envanteri ile de entegre olmasını ve tek bir noktadan
hangi donanım üzerinde hangi yazılımların olduğu bilgisinin takip edilebilir
olmasını sağlar.


(5) Kuruluş, bilgi sistemleri ile ilgili yapılacak
her türlü değişikliği, süreci belirlenmiş ve üst yönetimce onaylanmış
değişiklik yönetimi prosedürlerine uygun olarak gerçekleştirir.


(6) Kuruluş, kurum içi geliştirme veya dış alım
yoluyla bilgi sistemlerinde gerçekleştirilecek her türlü projeyi, genel kabul
görmüş ilgili uluslararası standartlara ve en iyi uygulama örneklerine uygun
olarak belirlemiş olduğu proje yönetimi prosedürlerine uygun olarak yürütür.
Yazılım geliştirme süreçlerinde geliştirme, test ve üretim ortamlarının
birbirinden ayrı olması ve görevler ayrılığı prensibine uygun olarak
geliştirme, test ve üretime geçiş süreçlerinin farklı kişiler tarafından
yürütülmesi sağlanır.


(7) Kuruluş, Kanun kapsamındaki faaliyetleri ile
ilgili süreç ve sistemleri, kritik bir işlemin tek bir kişi tarafından
başlatılması, onaylanması ve tamamlanmasına imkân vermeyecek şekilde tasarlar
ve işletir.


(8) Kuruluş, bilgi sistemleri unsurlarının sağlayıcı
veya üretici firma desteği bittiğinde veya bu unsurların güncel durumları günün
şartlarına göre gerekli güvenlik ve güvenilirlik seviyesini sağlayamadığında
ilgili bilgi sistemleri unsurunu kullanımdan kaldırır.


Olay yönetimi ve siber olaylar


MADDE 7 – (1) Kuruluş, önceden
belirlenmiş prosedürler çerçevesinde müşteri şikâyetlerini de kapsayacak
şekilde olayların zamanında tespit edilmesini, makul bir süre içerisinde
müdahale edilmesini, kayıt altına alınmasını, raporlanmasını, olayın potansiyel
boyutunun, etkisinin, hasarının ve etkilenen müşterilerin tespit edilmesini
içerecek şekilde analiz edilmesini, mümkün olan en kısa sürede ve en az hasarla
bilgi sistemleri hizmetleri normal işleyişine döndürülecek şekilde çözülmesini
ve olay hakkında ilgili tüm paydaşların zamanında bilgilendirilmesini
sağlayacak şekilde olay yönetimi yapar.


(2) Kuruluşun müşterilerinin bir kısmının ya da
tamamının olaydan etkilenmesi durumunda, müşterilerle iletişime geçilerek olay
hakkında bilgi verilir ve varsa konuyla ilgili müşterilerin yapması gereken
hususlar aktarılır.


(3) Kuruluş, müşterileri ve Kişisel Verileri Koruma
Kurulunu, hassas müşteri verilerinin ya da kişisel verilerin sızmasına ya da
ifşasına yol açan bir siber olayın yaşanması veya kişisel verilerin kanuni
olmayan yollarla başkaları tarafından elde edilmesi hallerinde mümkün olan en
kısa süre içerisinde bilgilendirir.


(4) Kuruluş, her önemli olaydan sonra olayın
ayrıntılı olarak incelenmesini, kök neden analizinin yapılmasını, etkilerinin
belirlenmesini ve olaya ilişkin sorunun takibini ve raporlamasını içerecek
şekilde sorun yönetimi yapar.


(5) Kuruluş, siber olayları da olay yönetimi
kapsamında ele alır ve mevzuata uygun şekilde tesis edeceği siber olay yönetimi
ve siber olaya müdahale süreci kapsamında Bankaya gerekli bildirimleri yapar.


(6) Kuruluş, siber olayları önemlilik düzeyine göre
sınıflandırmak üzere sınıflandırma kriterlerini yazılı olarak hazırlar,
gerçekleşen siber olayın bu kapsamda belirlenen önem düzeyine uygun sürede ele
alınması ve çözüme kavuşturulmasına yönelik prosedürler ile müdahale planlarını
oluşturur. Müdahale planları kapsamında birinci fıkrada yer alan unsurlara
ilişkin tüm süreçler ele alınır.


(7) Oluşturulan müdahale planları yılda en az bir
defa düzenli olarak test edilir ve test sonuçları yönetim kuruluna raporlanır.


(8) Kuruluş tarafından siber olay yönetimi ve siber
olaya müdahale süreci kapsamında yapılması gerekenlere ilişkin usul ve esaslar
Banka tarafından çıkarılacak Tebliğ ile belirlenir.


Bilgi güvenliği ve bilgi güvenliği yönetimi


MADDE 8 – (1) Kuruluş, genel kabul görmüş
ilgili uluslararası standartları ve en iyi uygulama örneklerini de göz önünde
bulundurarak, faaliyetlerine ilişkin bilgi sistemlerinin gizliliğini,
bütünlüğünü ve kullanılabilirliğini sağlamak amacıyla kural, ilke ve
politikaları içeren bilgi güvenliği yönetim çerçevesi oluşturur.


(2) Kuruluş, birinci fıkra kapsamında oluşturduğu
bilgi güvenliği yönetim çerçevesine uygun bir bilgi güvenliği yönetim sistemi
oluşturur.


(3) Kuruluş, bilgi güvenliği yönetim sisteminin
oluşturulmasına, yönetilmesine, yılda en az bir defa düzenli olarak gözden
geçirilmesine ve gerekli hallerde güncellenmesine ilişkin görev, yetki ve
sorumlulukları açıkça belirler.


(4) Bilgi güvenliği yönetim sistemi kapsamında her
kademedeki personelin bilgi güvenliğine ilişkin görev, yetki ve sorumlulukları
açıkça belirlenir ve ilgili personelin bundan haberdar olmasını sağlayacak
şekilde gerekli bilgilendirmeler yapılır.


(5) Kuruluş, bilgi güvenliği yönetim sistemi
kapsamında bilgi güvenliği ihlallerine ilişkin olayların izlenmesi ve
raporlanmasına ilişkin gerekli mekanizmaları oluşturur.


(6) Kuruluş, güvenlik gereksinimleri doğrultusunda
bilgi varlıklarına ilişkin olarak uygun kontroller tesis etmek için yönetim
kurulu tarafından onaylı bir bilgi varlıkları sınıflandırma kılavuzu hazırlar.
Her bir sınıftaki bilgi varlıklarına ilişkin erişim hakları ile saklama, iletme
ve imha etme prosedürlerini açıkça belirler, sınıflandırma ve bununla ilgili
yükümlülükler konusunda tüm personeli bilgilendirir.


(7) Kuruluş tüm bilgi varlıklarını, önem seviyesini
ve yasal yükümlülükleri de dikkate alarak bilgi varlıkları sınıflandırma
kılavuzuna uygun olarak sınıflandırır. Bilgi varlığının sınıfı belirlenirken
gizlilik derecesi, bütünlük gereksinimi, kullanılabilirlik gereksinimi, saklama
süresi ve asgari yedekleme sıklığı ile veriler özelinde hassas müşteri verisi,
müşteri bilgisi ya da kişisel veri olup olmadığı gibi kriterler göz önünde
bulundurulur.


(8) Bilgi güvenliği yönetim sisteminde, personelin
işe başlaması, görev ve pozisyon değiştirmesi ve işten ayrılması da dahil olmak
üzere personele ilişkin tüm hususlar bilgi güvenliğini etkileyen yönleriyle
değerlendirilir ve gerekli tedbirler alınır.


(9) Kuruluş, bilgi güvenliği yönetim sistemi
kapsamında faaliyetleri ile ilgili kendi nezdindeki her türlü donanım ile
altyapının ve bunlarla ilgili fiziksel çevrenin güvenliğini sağlar. Kuruluş,
faaliyetleri ile ilgili kendi nezdinde bulunmayan donanım ile altyapının ve
bunlarla ilgili fiziksel çevrenin güvenliğinin sağlanması için gerekli özeni
gösterir ve güvenliğin sağlandığını kontrol eder.


(10) Kuruluş, iç ve dış ağlar arasında Kanun
kapsamındaki faaliyetler ile ilgili gerçekleşen her türlü iletişim sürecinin ve
ana faaliyetlerine ilişkin operasyonel işlemlerin, güvenlik kontrolleri ve
araçları kullanılarak gerçekleşecek şekilde tasarlanmasını sağlar. Güvenlik
kontrolleri ve araçlarının tesis edilmesinde, bir güvenlik katmanının aşılması
halinde diğer güvenlik katmanının devreye girdiği katmanlı güvenlik mimarisi
esas alınır ve güncel teknolojiye uygun çözümler kullanılır.


(11) Kuruluş, iç ağdan gelebilecek tehditlerin
etkisini azaltmak ve iç ağın farklı güvenlik hassasiyetine sahip alt
bölümlerini birbirinden ayırarak kontrollü geçişi temin etmek üzere ağ
segmentasyonu yapar. İç ağdaki her bir servise ilişkin trafiğin yalnızca
kendisi için gerekli olan ağ segmentlerine ulaşması, farklı ağ segmentleri
arasındaki veri trafiğinin güvenliği ve iç ağa sadece yetkilendirilmiş
cihazların bağlanması sağlanır. Kritik ağ segmentlerine yapılan bağlantılar
düzenli olarak tespit edilerek bu bağlantıların her biri için gereksinim
değerlendirmesi yapılır ve gereksiz bağlantıların sonlandırılması sağlanır.


(12) Hassas müşteri verileri veya müşteri bilgilerine
sahip sistemlerin özel iç ağda bulunması ve hiçbir şekilde doğrudan internetten
erişilemiyor olması sağlanır. Özel iç ağdaki sistemlere yalnızca vekil
uygulamalar veya güvenlik duvarı cihazları üzerinden iletişim kurulur. İnternet
üzerinden veya Kuruluş dış ağından görünür olan sunucu veya sistemler, görünür
olmalarını gerektirecek geçerli bir iş ihtiyacı olup olmadığının tespit
edilmesi amacıyla düzenli olarak kontrol edilir ve eğer gerekli değilse bu
sunucu ve sistemlerin Kuruluş iç ağına taşınması ve iç ağ IP adreslerine sahip
olması sağlanır.


(13) Ağ üzerindeki kimlik ve erişim yönetimine
yönelik kurulan etki alanı yönetim sunucuları gibi yapıların Kuruluşa özgü
oluşturulmuş olması ve Kuruluş dışındaki başka bir etki alanı ya da benzerinin
bir parçası olmaması esastır.


(14) Kuruluş, iç ağından dış ağa akan trafik
içeriğini kontrol eder. Yapılacak içerik kontrolünün, zararlı IP adreslerine
olan trafik akışını ve hassas müşteri verileri ile müşteri bilgilerinin
sızdırılmasını engelleyecek nitelikte olması ve oturum bilgilerini kayıt altına
alarak olağan dışı uzun süreli oturumları tespit edecek ve bunlar için uyarı
üretebilecek yetenekte olması sağlanır.


(15) Ağa bağlı her bir sistem üzerindeki portların,
protokol ve servislerin sadece gerekliliği onaylanmış iş ihtiyaçlarına
istinaden açık ve çalışıyor olması sağlanır. Bu doğrultuda, güvenli bir baz
konfigürasyonu temel alınarak önemli sunucu ve sistemler için düzenli olarak
port taraması gerçekleştirilir ve güvenli baz konfigürasyonunda bulunmadığı
halde açık durumda olan portların kapatılması sağlanır.


(16) Kuruluş, bilgi sistemleri ile ilgili yapılacak
her türlü değişiklikte bilgi güvenliğine gereken özeni göstermekle yükümlüdür.


(17) Bilgi güvenliği yönetim sistemine ilişkin görev,
yetki ve sorumluluk verilmiş olan personel, bilgi güvenliği yönetim sisteminin
bilgi güvenliği konusundaki mevzuata, standartlara ve birinci fıkra kapsamında
oluşturulan bilgi güvenliği yönetim çerçevesine uyum durumunu sürekli olarak
izler, uyumun sağlanması için gerekli tedbirleri alır ve uyum durumunu
Kuruluşun yönetim kuruluna yılda en az bir defa düzenli olarak raporlar.


(18) Kuruluş, personelin bilgi güvenliği hususlarında
farkındalığını arttıracak, ilgili mevzuat ve yönergeler hakkında bilgi sahibi
olmalarını sağlayacak gerekli faaliyetleri yürütür ve bu çalışmalarını
belgeler.


(19) Kuruluş, telefonda verdiği hizmetlerin
müşterilere sunulmasında görev alan personele sosyal mühendislik saldırıları ve
bilinen diğer dolandırıcılık yöntemleri konusunda periyodik eğitimler aldırmak
ve bu çalışanların güvenlik farkındalıklarını artırıcı çalışmalar yapmakla
yükümlüdür.


(20) Kuruluş, internet aracılığıyla sunulan
hizmetlerde, arayüzün kuruluşa ait olduğunun doğrulanmasını sağlayacak
mekanizmaları tesis eder.


(21) Kuruluş, elektronik kanal üzerinden sunduğu
hizmetlere ilişkin tüm yazılım ve mobil uygulamaların kaynağının kendisi
olduğunun müşteri tarafından doğrulanabilmesini sağlar.


(22) Kuruluş, elektronik kanal üzerinden sunduğu hizmetlere
ilişkin tüm yazılım ve mobil uygulamaların bilgi güvenliğini tehlikeye sokacak
hususlar içermemesini sağlayacak önlemleri almakla ve güvenlik açıklarını
giderecek gerekli yamaları ve güncellemeleri sağlamakla yükümlüdür.


(23) Kuruluş, mobil uygulamalarının kullandığı hassas
müşteri verileri ile müşteri bilgilerinin, mobil uygulamanın kullanıldığı
cihazda yer alan diğer yazılım ve uygulamalar tarafından erişilemez olmasını
sağlayacak önlemler alır.


(24) Kuruluş, mobil uygulamalarının kullanıldığı cihazın
kaybolması, çalınması, ele geçirilmesi gibi durumlarda, bu durumun müşteri
tarafından kuruluşa bildirilmesini müteakip derhal cihazda bulunan hassas
müşteri verileri ve müşteri bilgilerinin yetkisiz kişilerce erişilemez olmasını
sağlamakla ve bu kapsamda doğabilecek riskleri azaltmak için günün
teknolojisine uygun önlemleri almakla yükümlüdür.


(25) Personelin iç ağdaki uygulama ve sistemlere
kuruluşun dışından uzaktan erişim gerçekleştirmesine, ilgili kontrol
mekanizmalarından geçerek işin ve günün şartlarının gerekleri doğrultusunda
onaylanmadığı sürece izin verilmez. Uzaktan erişime izin verildiği durumlarda
güçlü kimlik doğrulamaya dayanan güvenli bağlantı yöntemleri uygulanır,
erişimlere ilişkin denetim izleri tutulur, bağlantının süresi ve bağlantının
yapılabileceği cihazlar kısıtlanır ve personel belli aralıklarla kimliğini
tekrar doğrulamaya zorlanır.


(26) Kuruluş, faaliyetleri ile ilgili olarak görevler
ayrılığı ve görevin gerektirdiği kapsam kadar yetki prensipleri ile tutarlı
etkin bir kimlik doğrulama ve erişim yönetimi yapısı oluşturmakla yükümlüdür.


(27) Kuruluş, bilgi güvenliği yönetim sisteminin
etkinliğini yılda en az bir defa düzenli olarak test eder, test sonuçlarını
kayıt altına alır ve üst yönetime raporlar.


(28) Kuruluş, kullanmakta olduğu veya ihtiyaç
duyabileceği uygulamalar için bir beyaz liste oluşturur ve bilgi sistemleri
unsurlarında sadece ihtiyaç duyulan uygulamaların yüklü olmasını sağlar, bu
unsurlara beyaz liste dışındaki uygulamaların yüklenmesini ve bu uygulamaların
çalıştırılmasını engelleyecek önlemleri alır.


(29) Kuruluş, bilgi sistemleri unsurları üzerinde
beyaz listede yer almayan herhangi bir uygulamanın yüklü olup olmadığına
yönelik düzenli olarak tarama gerçekleştirir.


(30) Kuruluş, bilgi sistemleri unsurlarını gerekli
sıklıkta ve düzenli bir şekilde kontrol ederek zararlı yazılımların ve güvenlik
açıklarının tespit edilmesini sağlayacak altyapıyı oluşturur.


(31) Kuruluş, e-posta sunucusuna gelen ve giden
e-postaları tarayarak zararlı yazılım barındıran ya da kuruluşun iş ihtiyaçları
doğrultusunda gereksiz olan eklentiler içeren e-postaları engelleyecek çözümler
kullanır. Kuruluştan gönderilen e-postalar için e-posta sunucularında gönderici
kimliğini doğrulayıcı teknikler kullanılır.


(32) Kuruluşun bilgi sistemleri unsurları, bu
unsurlara taşınabilir bir medya veya harici cihaz takıldığında otomatik olarak
içeriği oynatmayacak şekilde yapılandırılır ve zararlı yazılım engelleme
araçları bu tür cihazlar takıldığında otomatik olarak bu cihazları tarayacak
şekilde ayarlanır. Bunun yanında bu tür harici cihazların bağlanacağı bağlantı
arayüzlerinin ön tanımlı olarak kullanıma kapatılarak bu tür cihazların
kullanımının yalnızca iş gereksinimi olan personelle sınırlı tutulması ve
harici cihazları kullanma denemesi yapılan durumların da takip edilmesi
sağlanır.


(33) Personelin, zorunlu iş gereksinimi olmadıkça
yerel yönetici yetkisine sahip olmasına izin verilmez. Buna yönelik bir ihtiyaç
olması durumunda iş birimi ve bilgi sistemleri yöneticisinin onayını müteakip
söz konusu yetkinin tanımlı ve kayıtlı prosedürler çerçevesinde ve iş bitiminde
tekrar geri alınacak şekilde verilmesi sağlanır.


Veri güvenliği ve mahremiyeti


MADDE 9 – (1) Kuruluş, faaliyetlerinin
yürütülmesi sırasında edindiği ve bilgi sistemleri aracılığıyla işlediği,
ilettiği veya sakladığı hassas müşteri verileri ve müşteri bilgilerinin
gizliliğini ve güvenliğini sağlamaya ve kuruluş dışına sızmasını önlemeye
yönelik politika ve prosedürleri yazılı olarak oluşturur ve bu amaçla gerekli
tedbirleri alır.


(2) Kuruluş, faaliyetleri ile ilgili olarak
kullandığı bilgi sistemlerinde verilerin gizliliğini sağlayacak önlemleri alır.
Verilerin gizliliğini sağlamak üzere alınan önlemlerin, verilerin gizlilik
derecesine uygun olması gerekir.


(3) (Değişik cümle:RG-7/10/2023-32332) Hassas
müşteri verileri ve müşteri bilgilerinin şifrelenmiş bir şekilde ya da güvenli
bileşenlerde saklanması esastır. Kullanılacak şifreleme tekniklerinin günün
teknolojisi, ulusal ve uluslararası standartlar ile uyumlu olması, veri
güvenliği ve mahremiyeti konusunda makul güvence sağlaması ve güvenilirliğini
yitirmemiş olması esastır.


(4) Hassas müşteri verileri, müşteri bilgileri ve
rekabete duyarlı verilerin kablosuz biçimde veya internet üzerinden iletilmesi
halinde, bu iletim uçtan uca güvenli iletişim ile gerçekleştirilir.


(5) Veri barındıran bilgi sistemleri unsurlarının
kullanımının durdurulması durumunda, içerdikleri verilerin gizlilik derecesine
uygun olarak güvenli bir şekilde gecikmeksizin imha edilmesi sağlanır.


(6) Hassas müşteri verileri, Kanun, Yönetmelik ve bu
Tebliğ kapsamında izin verilen haller saklı kalmak kaydıyla, dış hizmet
sağlayıcılar ve kanunlarla açıkça yetkili kılınan merciler dışındaki taraflara
verilemez. Müşteri bilgileri, kanunla açıkça yetkili kılınan merciler dışındaki
taraflara, ancak müşterinin paylaşım sınırları hakkında aydınlatılması ve
müşterilerin açık rızasının alınması kaydıyla verilebilir. Müşterinin açık
rızası, 6698 sayılı Kanuna uygun şekilde güvenli yöntemlerle alınır. Elektronik
ortamdaki bir sözleşme ile alınacak onay yalnızca ilk defa oturum açılırken ve
müşterinin açıkça bilgilendirilmesi kaydıyla gerçekleştirilebilir. Müşterinin
bilgilerini paylaşmaya dair rıza göstermesi verilecek hizmet için bir ön şart
haline getirilemez.


(7) Kanun kapsamına giren işlemler ile ilgili olarak
kişisel verilerin işlenmesi faaliyetlerinde, 6698 sayılı Kanun ve bu Kanun
uyarınca yapılan düzenlemelerde yer alan hükümler öncelikli olarak uygulanır ve
bu hükümler kapsamında belirlenmiş olan usul ve esaslara uyulması zorunludur.


Kimlik doğrulama


MADDE 10 – (1) Kuruluş, bilgi
sistemlerinde gerçekleştirilen işlemlerde kullanılmak üzere yeterli ve etkin
bir kimlik doğrulama sistemi kurar. Kurulacak kimlik doğrulama sistemi
çerçevesinde personele tanımlanan roller ve sorumluluklar açık bir şekilde
yazılı olarak oluşturulur.


(2) Kullanılacak kimlik doğrulama tekniklerine,
sekizinci fıkra hükümleri saklı kalmak kaydıyla, yapılacak risk değerlendirmesi
sonucuna göre karar verilir. Risk değerlendirmesi, bilgi sistemleri üzerinden
gerçekleştirilmesi planlanan işlemlerin türü, niteliği, varsa doğuracağı
finansal ve finansal olmayan etkilerin büyüklüğü, işlemin gerçekleştirilmesinde
kullanılan ödeme aracı, işlem çeşitleri, işleme konu verinin hassaslık
derecesi, talimata dayalı düzenli ödeme olması, müşterinin işlem limitleri,
işlemin karşı tarafının güvenli alıcılar listesinde olması, kimlik doğrulama
tekniğinin kullanım kolaylığı ve acil duruma özgü yetkilendirme ihtiyacı dâhil
olmak üzere gerekli hususlar göz önünde bulundurularak gerçekleştirilir.


(3) Kuruluş, kimlik doğrulama sisteminin bilgi
sistemlerinin hangi alt unsurları için geçerli olacağını ve kimlik doğrulama
sisteminde hangi alt unsur için hangi kimlik doğrulama tekniklerinin
kullanılacağını açıkça belirler.


(4) Kimlik doğrulama için günün teknolojisine uygun
ve güvenli bir parola politikası belirlenir. Kimlik doğrulamada kullanılacak
tek kullanımlık parolaların, ihtiyaç duyulan güvenlik seviyesini sağlayacak
kadar uzun olması, yetkisiz kişilerce tespit ve tahmin edilmesine ilişkin
riskleri asgari düzeye indirecek yöntemleri gözetmesi ve belirli bir süre için
geçerli olması gerekir.


(5) Kimlik doğrulama için kullanılacak parola,
değişken parola, tek kullanımlık parola cihazı, şifreleme gizli anahtarı,
akıllı kart ve işlem doğrulama kodu gibi bileşenlerin güvenliği üretim
aşamasından başlayarak kullanıcıya ulaştırılmasına dek sağlanır. İşlem
doğrulama kodu aracılığıyla güçlü kimlik doğrulama unsurlarından hiçbiri
hakkında bilgi edinilememesi, bilinen bir işlem doğrulama kodu ile geçerli
başka işlem doğrulama kodlarının türetilememesi, işlem doğrulama kodlarının
taklit edilememesi sağlanır. İşlem doğrulama kodunun üretilmesinde hata meydana
gelmesi ya da üretilememesi halinde, kimlik doğrulama teşebbüsünde bulunan kişi
tarafından hatanın hangi kimlik doğrulama unsurundan kaynaklandığının
anlaşılamamasını sağlayacak önlemler alınır.


(6) Kuruluş, kimlik doğrulama için kullanılan
verilerin gizliliğinin, bütünlüğünün ve güvenliğinin sağlanarak saklanması ve
aktarılması için gerekli altyapının oluşturulmasını sağlar. Kimlik doğrulama
işlemleri esnasında, müşterinin bildiği kimlik doğrulama unsurları ile tek
kullanımlık parola veya işlem doğrulama kodu gibi bileşenlerin, personelin
dahli ve erişimi olmadan ilgili kanal üzerinden girişinin yapılması sağlanır.


(7) Kimlik doğrulamada;


a) Kullanıcıya sisteme girdiği anda önceki başarısız
kimlik doğrulama teşebbüsleri hakkında bilgi verilmesi,


b) Başarısız teşebbüslerin belirli bir sayıyı aşması
halinde ilgili kullanıcı erişiminin bloke edilmesi,


c) Başarısız kimlik doğrulama teşebbüsleri
sonrasında, kullanıcı adının sistemde olmadığı veya parolanın hatalı girildiği
gibi bilgilerin verilmemesi,


ç) Belli bir süre işlem yapılmayan veya güvenli bir
şekilde çıkış yapılmadığından arka planda çalışır şekilde kalan oturumun
belirli bir süre sonra sonlandırılması,


d) Birden fazla müşterinin aynı ödeme hesabını
kullanmaları ya da aynı anda farklı oturumlar açabilmeleri konusunda
yetkilendirildiği durumlar hariç olmak üzere, aynı müşteri için aynı anda
birden fazla oturum açılmaya çalışılması durumunda buna izin verilmemesi ve
müşterinin uyarılması,


gerekir.


(8) Müşteriler tarafından elektronik kanal üzerinden
yapılan ve finansal sonuç doğuran veya finansal sonuç doğurmayan işlemlerde,
düzenlemelerde açıkça aksine imkan tanınmadığı sürece güçlü kimlik doğrulama
kullanılması esastır. Güçlü kimlik doğrulama esnasında müşterinin sahip olduğu
bileşenin müşteriye özgü olması ve taklit edilememesi esastır. Kimlik
doğrulamada T.C. Kimlik Kartının kart PIN'i veya biyometrik veri ile birlikte
kullanılması veya güvenli elektronik imzanın kullanılması hallerinde bu
fıkranın gerekleri yerine getirilmiş sayılır. Kuruluşun mobil uygulamasının
kontrolünde olmayıp cihaz üreticisi kontrolünde olan parola, PIN ya da
biyometrik veriler, bu fıkra kapsamında güçlü kimlik doğrulama unsurları olarak
kullanılamaz.


(9) 11/10/2006 tarihli ve 5549 sayılı Suç
Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanuna ilişkin yükümlülükler
kapsamında, 22 nci maddeye göre sözleşme kurulması sonrasında kimlik tespiti
gerektiren müteakip ödemeler elektronik kanaldan başlatıldığında, güçlü kimlik
doğrulama yöntemi kullanılır.


(10) Ödeme aracının ve kimlik doğrulama aracının
müşteriye ulaştırılmasında kullanılan telefon numarası ve adres gibi
bilgilerin, müşteri tarafından tanımlanan güvenli alıcılar listesinin ve tek
bileşene dayalı kimlik doğrulama kullanılarak yapılabilecek işlem listesinin
değiştirilmesinde güçlü kimlik doğrulama yöntemi kullanılır.


(11) Hassas müşteri verilerine erişim sağlandığında
veya düzenli ödeme talimatı verilirken güçlü kimlik doğrulama yöntemi
kullanılır.


(12) 5549 sayılı Kanuna ilişkin yükümlülükler saklı
kalmak üzere, dokuzuncu fıkraya göre güçlü kimlik doğrulama ile
gerçekleştirilmesi gereken işlemler için müşterinin sözleşme ile ya da güvenli
yöntemlerle onayının alınmış olması ve ödeme işleminin güvenli alıcılar
listesindeki bir alıcı ile gerçekleştirilmesi halinde güçlü kimlik doğrulama
uygulanması zorunlu değildir.


(13) Müşteri tarafından gerçekleştirilecek finansal
işlemler için kuruluş tarafından müşteri onayını almak üzere işlem doğrulama
kodu üretilir ve işlem bilgisi ile birlikte müşteriye sunularak müşteri onayı alınır.
Finansal sonuç doğurmayan işlemler için ise işlem doğrulama kodu kullanılıp
kullanılmayacağına kuruluş tarafından yapılacak ikinci fıkrada belirtilen risk
değerlendirmesine göre karar verilir ve işlem doğrulama kodu kullanılmayan
işlemlerle ilgili olarak gerçekleştirilen işlemin müşteri tarafından
yapıldığını ispat etme yükümlülüğü kuruluşa ait olur. Tek bileşene dayalı
kimlik doğrulama yapıldığında, işlem doğrulama kodunun kimlik doğrulamada
kullanılandan farklı bir bileşen oluşturacak şekilde müşteriye onay için
sunulması ile güçlü kimlik doğrulama yerine getirilmiş kabul edilir.


(14) Kuruluşun bu madde uyarınca gerekli hallerde
güçlü kimlik doğrulama mekanizması sunmaması halinde, gerçekleştirilen
işlemlerin müşteri tarafından yetkilendirilmiş olduğunu ispat yükümlülüğü
kuruluşa aittir.


(15) Anonim ön ödemeli araçlarla ilgili işlemlerde
güçlü kimlik doğrulama zorunluluğu yoktur.


(16) Müşterinin kimliğini tespit etmeye yarayan ve
resmi kimlik belgesi yerine geçen belgeler üzerinde yer alan bilgiler ile anne
kızlık soyadı, elektronik kanallar üzerinden sunulan Kanun kapsamındaki
faaliyetlerin sunulması esnasında hiçbir aşamada kimlik doğrulama amacıyla
kullanılamaz. Kimlik doğrulamada müşterinin bildiği bileşen olarak bir güvenlik
sorusunun kullanılması durumunda, güvenlik sorusunun resmi kimlik belgesi
yerine geçen belgeler üzerinde yer alan bilgilerden birine ilişkin olmaması ve
cevabının müşterinin kendisi tarafından belirleniyor olması gerekir.


(17) Bir kimlik doğrulama bileşeninin bir müşteri ile
ilk defa ilişkilendirilmesi uzaktan gerçekleştirilecekse, ilişkilendirme
güvenli yöntemlerle ve güçlü kimlik doğrulama gerçekleştirilerek yapılır.


(18) Kuruluş, Kanun kapsamında gerçekleştirilen
işlemler için inkâr edilemezliği sağlayacak teknolojik ve hukuki altyapıyı
oluşturur.


(19) Kuruluş, bilgi sistemlerinin kullanımında oturum
güvenliğini sağlayacak tedbirleri ve kimlik doğrulama bilgisinin oturumun
başından sonuna kadar doğru olmasını garanti edecek önlemleri alır.


(20) Kuruluş güçlü kimlik doğrulama kapsamında
müşterisinin tercih ettiği kimlik doğrulama bileşenlerinin farklı bileşen
sınıflarına ait olmasını temin eder. Kuruluş, güçlü kimlik doğrulama sürecinde
müşterinin sahip olduğu bileşen sınıfı olarak SMS OTP ya da SMS ile işlem
doğrulama kodu kullanabilir. Kuruluşun mobil uygulamasını yükleyerek
etkinleştirmiş olan müşterinin güçlü kimlik doğrulaması kapsamında oturum
açılması ya da oturumun devamında herhangi bir işlemin doğrulanması için SMS
OTP ya da SMS ile işlem doğrulama kodu kullanılması halinde bu faktör güçlü
kimlik doğrulamada müşterinin sahip olduğu bileşen olarak sayılamaz. Kuruluşun
mobil uygulamasının ilk kurulumu, etkinleştirilmesi, yeniden etkinleştirilmesi
aşamalarında ya da kuruluşun mobil uygulamasının kullanılamaz hale gelmesi durumunda
güçlü kimlik doğrulama kapsamında müşterinin sahip olduğu bileşen olarak SMS
OTP ile ya da SMS ile işlem doğrulama kodu kullanılması bu fıkra hükmüne
aykırılık teşkil etmez.


(21) Kimlik doğrulama esnasında SMS teknolojisinin
kullanılması durumunda, kuruluş, elektronik haberleşme işletmecileriyle SIM
kart değişikliği gerçekleştirmiş veya numara taşıma yoluyla elektronik
haberleşme işletmecisini değiştirmiş müşterileri tespit edebilmek için gerekli
altyapıyı oluşturur ve bu tür değişiklikler yapmış müşteriye, yapılan
değişikliğe ilişkin müşterinin açık teyidi alınmadığı sürece, değişikliğin
yapıldığı tarihten itibaren 90 gün boyunca elektronik kanallar üzerinden
gerçekleşecek işlemler kapsamında yapılacak kimlik doğrulamada SIM karta dayalı
bir yöntem kullanılamaz. Aksi durumda gerçekleştirilen her türlü işlem için
gerçekleştirilen işlemin müşteri tarafından yapıldığını ispat etme yükümlülüğü
kuruluşa aittir.


(22) Güçlü kimlik doğrulamada kullanılacak müşterinin
bildiği bileşenin, mobil uygulama veya internet tarayıcısı tarafından
hatırlanarak veya başka lokal kimlik doğrulama yöntemlerine bağlanarak otomatik
olarak gönderilmemesi gerekir ve müşterinin bildiği bileşenin müşteri
tarafından girilmesi zorunlu tutulur.


(23) İnternet şubesinde kimlik doğrulama işlemi
gerçekleştirilirken, oturum açılmadan önce, müşteri tarafından güçlü kimlik
doğrulama ile önceden belirlenmiş olan bir karşılama mesajının veya resminin,
müşteriye gösterilmesi sağlanır.


(24) İnternet şubesinde güçlü kimlik doğrulama işlemi
gerçekleştirilirken, müşteriye atanmış bir şifreleme gizli anahtarı ile
imzalanacak şekilde işlem doğrulama kodu üretilir. İşlem doğrulama kodunun,
müşteriye atanmış bir şifreleme gizli anahtarı ile imzalanmasının mümkün
olmadığı hallerde, yirminci fıkra hükümleri saklı kalmak kaydıyla, müşteriye
SMS ile doğrulama kodu iletilebilir.


(25) Mobil uygulama için tanımlanan uygulama PIN'inin
veya kimlik doğrulama unsuru olarak belirlenmiş olan müşteriye ait bir
biyometrik verinin müşteriye özgü bir şifreleme anahtarına erişmek üzere
kullanılması ve bu şifreleme anahtarı yoluyla müşteriyle ilintili biricik bir
bilginin kuruluş nezdinde çevrim içi olarak doğrulanması halinde, güçlü kimlik
doğrulama yerine getirilmiş kabul edilir.


(26) Mobil uygulamanın etkinleştirilerek müşterinin
sahip olduğu bir kimlik doğrulama unsuru olarak kullanılması şartıyla,
müşterinin yalnızca mobil uygulama aracılığıyla müşteri ve hesap bilgilerini
görüntülemek istemesi, ödemenin göndereni ve alıcısının aynı olması, müşterinin
talimatına istinaden gerçekleştirilen düzenli bir ödeme olması, ödeme işleminin
daha önce tanımlanmış güvenli alıcılar listesindeki bir alıcı ile
gerçekleştirilmesi ve kuruluşun ikinci fıkrada belirtilen risk değerlendirmesi
sonucunda bu yönde karar verdiği, bu madde başta olmak üzere ilgili
düzenlemelerde güçlü kimlik doğrulamanın kullanılmasının zorunlu tutulmadığı
diğer ödeme işlemleri esnasında ilave bir kimlik doğrulama unsuruna gerek
kalmadan tek bileşene dayalı kimlik doğrulama sekizinci fıkraya aykırılık
teşkil etmez. Tek bileşene dayalı kimlik doğrulama yapılan bu işlemlerle ilgili
olarak gerçekleştirilen işlemin müşteri tarafından yapıldığını ispat etme
yükümlülüğü kuruluşa ait olur. Müşterinin mobil uygulamada ilk defa oturum
açması veya güçlü kimlik doğrulama ile açtığı son oturumun üzerinden 90 günden
daha fazla bir süre geçmiş olması halinde, güçlü kimlik doğrulamaya tabi
tutulması esastır.


(27) Finansal olmayan işlemler dahil olmak üzere
telefon ile gerçekleştirilecek işlemlerde güçlü kimlik doğrulama uygulanması
esastır. Güçlü kimlik doğrulama uygulanmadan telefon aracılığıyla hizmet vermek
üzere müşteriyi karşılayan personelin müşteriye ilişkin bilgileri görememesi
veya müşteriye ilişkin işlem menüsünün aktif olmaması sağlanır. Müşterinin
kendi hesapları arasındaki finansal işlemler ile finansal olmayan işlemlerin
gerçekleştirilmesi için uygulanacak kimlik doğrulamada PIN bilgisi müşterinin
bildiği unsur olarak kullanılabilir.


(28) Kayıp, çalıntı ve dolandırıcılık gibi riskli
işlem bildirimi durumunda, personele bağlanan müşterilerin kimlik doğrulaması
yapılmaksızın personelin bilmesi gerektiği kadar müşteri bilgisine erişebilmesi
sağlanır ve gerekli güvenlik önlemleri alınır.


(29) Telefon bağlantısı olmaksızın ya da bağlantının
sonlanması halinde kayıp, çalıntı ve dolandırıcılık gibi riskli işlem bildirimi
haricinde müşteriye ilişkin herhangi bir işlem gerçekleştirilemez.


(30) Müşterinin telefon kanalıyla, elektronik kanallarda
kullandığı kimlik doğrulama veya telefon bilgilerinde değişiklik
gerçekleştirmek istemesi halinde bu değişikliğin personelin dahli ve erişimi
olmadan otomatik sistemler üzerinden gerçekleştirilmesi sağlanır.


(31) Müşterinin telefon ile aranmasının gerektiği
durumlarda, arama gerçekleştirilmeden önce telefonun başka bir numaraya
yönlendirilmemiş olduğuna ilişkin kontroller işletilir.


(32) Banka, bu maddede düzenlenen kimlik doğrulama
kuralları bakımından istisna getirmeye veya ilave güvenlik önlemleri ihdas
etmeye yetkilidir.


Erişim yönetimi


MADDE 11 – (1) Kuruluş, personelin
sisteme dâhil olan ağlara, alt sistemlere, uygulamalara, verilere ve fiziksel
ortamlara erişimine ilişkin yetki ve sınırlandırmaları, personelin görev,
yetki, sorumluluk ve ayrıcalıkları kapsamında işin gerektirdiği bilgiye
erişimine imkân verecek şekilde açıkça belirler ve yetkisiz erişimleri
engellemek üzere gerekli tedbirleri alır.


(2) Kuruluş, uygulanacak erişim kontrollerini ve
atanacak yetkileri açık bir şekilde belirler ve yazılı olarak oluşturur. Bilgi
sistemlerine erişim yetkisi olan kişilerin bu yetkileri yılda en az bir defa
düzenli olarak gözden geçirilir.


(3) Erişim yönetimi kapsamında oluşturulacak
kuralların görevler ayrılığı prensibini gözetmesi ve erişim yetkilerinin talep
edilmesi, yetkilendirilmesi ve yönetilmesi görevlerinin birbirinden ayrılması
sağlanır. Görevlerin tam manasıyla ve uygun şekilde ayrıştırılmasının mümkün
olmadığı durumlarda, bu durumdan kaynaklanabilecek hata ve suiistimalleri
önlemeye yönelik risk azaltıcı veya telafi edici ilave kontroller tesis edilir.


(4) Erişim yönetimi kapsamında yetkilendirmelerin,
personelin görev ve sorumlulukları göz önünde bulundurularak, sadece ihtiyaç
duydukları kapsam ve süre ile sınırlı olacak şekilde yapılması esastır.


(5) Kuruluş, erişim yönetimi kapsamında olağandışı
saatlerde yapılan girişleri, normal giriş sürelerine ilişkin aşımları, genel
olarak çalışılan bilgisayar dışındaki bir bilgisayardan gerçekleştirilen
işlemleri takip ederek olağandışı durumları tespit edebilmek ve uzun süredir
hiç bir aktivite göstermeyen pasif hesapları tespit ederek artık bu yetkiye
ihtiyaç duyulmaması durumunda yetkiyi kaldırabilmek için gerekli önlemleri
alır.


(6) Erişim yönetimi kapsamında mümkün olduğu ölçüde
ayrıcalıklı yetkiler tanımlanmaması esastır. Ayrıcalıklı yetkilerin
tanımlanması durumunda ise bu tür yetkilerin sadece mutlak suretle ihtiyaç
duyulması durumunda atanması ve sadece ihtiyaç duyulan konularla sınırlı olacak
şekilde kullanılması, bu yetkilerin kullanımı esnasında kimlik doğrulama ile
birlikte ilave güvenlik kontrollerinin tesis edilmesi, bu tür yetkilerin
ortaklaşa kullanımının engellenmesi ve ortak kullanım gerektiren durumlarda
yetkiyi kullanan kişilere sorumluluk atayacak tekniklerin kullanılması esastır.


(7) Acil durumlara özgü yetkilendirmeler geçici ve
tüm süreç kayıt altına alınarak yapılır.


(8) Personelin görev ve pozisyon değiştirmesi ve
işten ayrılması da dâhil olmak üzere personele ilişkin tüm değişiklikler
sonrasında, erişim yönetimi kapsamında gerekli değişiklikler gecikmeksizin
yapılır.


(9) Kuruluş, bilgi sistemleri üzerinde işlem yapma
yetkisi bulunan tüm personel için biricik tanımlama kodları belirler ve zorunlu
olmadığı müddetçe ortak veya ön tanımlı hesaplar kullanılmaz. Ortak veya ön
tanımlı hesapların kullanımının zorunlu olduğu durumlarda ise bu hesaplar ile
işlemi yapan kişiye sorumluluk atamaya yönelik ilave kontroller tesis edilir.


(10) Kritik bilgi sistemleri, uygun güvenlik
engelleri ve giriş kontrollerine sahip veri merkezleri, sistem odaları, ağ
ekipman odaları gibi güvenli alanlarda barındırılır. Bu alanlara erişim, sadece
erişim yetkisine sahip olması gerekenlerle sınırlandırılır, erişim yetkileri
yılda en az bir defa düzenli olarak gözden geçirilir ve güncellenir.


(11) Onuncu fıkra kapsamında yetkilendirilenler
dışında kalan personel, ziyaretçi, dış hizmet sağlayıcı çalışanı ya da
yüklenici firma personelinin veri merkezlerine ve kritik bilgi sistemlerine
erişimleri onay mekanizmasına tabi tutulur, veri merkezindeki çalışmaları boyunca
faaliyetleri yakından izlenir ve kendilerine refakat edilir.


(12) Veri merkezlerine ve sistem odalarına yapılan
fiziksel erişimlerin denetim izleri tutulur. Bu alanlarda kör nokta içermeyecek
ve en az bir yıl süreyle kayıt saklayacak şekilde kamera kayıt sistemleri
kullanılır. Kamera kayıt sistemleri tarafından kaydedilen görüntülerin farklı
bir yerleşkede yedeklenmesi sağlanır. Herhangi bir uyuşmazlık veya şüpheli
durum halinde ilgili kayıtların saklama süresi söz konusu durum giderilinceye
kadar uzatılır.


Güvenlik açıkları ve ihlalleri


MADDE 12 – (1) Kuruluş, bilgi güvenliği
yönetim çerçevesi ile uyumlu bir şekilde, bilgi sistemlerine yönelik olası
güvenlik ihlallerinin araştırılmasını, güvenlik ihlallerinin önlenmesi için
alınması gereken uygun tedbirlerin belirlenmesini, güvenlik ihlalinin
gerçekleşmesi halinde ihlalin tespit edilerek zamanında müdahale edilebilmesi
için gerekli tedbirlerin alınmasını, gerçekleşen güvenlik ihlallerinin ve
tespit edilen güvenlik açıklarının değerlendirilerek kayıt altına alınmasını
sağlar.


(2) Kuruluş, sahip olduğu ve sistemle ilişkili olan
tüm sunucular ile iletişim ağını ilk işletime alınmadan önce ve sonrasında
düzenli aralıklarla yılda en az altı defa zafiyet taramasından geçirir.


(3) Kuruluş, bilgi sistemlerinin, bilgi güvenliği
gereklerinin yerine getirilmesi hususunda herhangi bir görevi bulunmayan ve
sızma testi konusunda ulusal veya uluslararası belgeye sahip gerçek veya tüzel
kişiler tarafından, gerçekleşebilecek iç ve dış tehditleri kapsayan senaryolar
doğrultusunda yılda en az bir defa düzenli olarak sızma testine tabi
tutulmasını sağlar.


(4) Sızma testleri EK-5’te yer alan usul ve esaslar
çerçevesinde uygulanır.


(5) Kuruluş, olası ve gerçekleşmiş güvenlik
ihlallerinin değerlendirilmesi ile zafiyet taraması ve sızma testleri sonucunda
tespit ettiği öncelikli bulguları, bulguların önem derecelerini, birlikte
oluşturabilecekleri riskleri, tespit edildiği varlıkların değerini ve sızma
testi raporlarında yer alan önerileri dikkate alarak mümkün olan en kısa süre içerisinde
giderir ve bu bulgular giderilinceye kadar uygun koruyucu tedbirlerin
alınmasını sağlar. Bulguların makul bir süre içerisinde giderilmesi, bu amaçla
oluşturulan ve kuruluş yönetim kurullarınca onaylanan bir eylem planı
çerçevesinde takip edilir. Alınan tedbirlerin tespit edilmiş olan güvenlik
açığını giderdiği veya güvenlik açığından kaynaklanan riskleri kabul edilebilir
düzeye indirdiği kontrol edilir.


(6) Kuruluş, gerçekleşen güvenlik ihlallerini, sızma
testinin sonuçlarını ve tespit edilen kritik güvenlik açıklarını, bunların
giderilmesine yönelik alınan tedbirleri ve sonuçlarını içeren raporu yılda en
az bir defa Bankanın uygun gördüğü yöntemle Bankaya sunar.


(7) Kuruluş, gerçekleşen güvenlik ihlalleriyle ilgili
delilleri en az on yıl süreyle güvenli bir şekilde muhafaza eder.


Denetim izlerinin oluşturulması


MADDE 13 – (1) Kuruluş, müşteri bilgileri
ve bilgi sistemlerine gerçekleştirilen fiziksel veya mantıksal erişimler ile
yetkisiz erişim teşebbüslerine ve bilgi sistemlerinde gerçekleşen Kanun
kapsamındaki faaliyetler ile ilgili yapılan işlemlerin takibine imkân verecek
şekilde denetim izi kayıt sistemi oluşturur.


(2) Denetim izleri, ayrıntılı incelemeye ve taramaya
imkân verecek, denetime hazır, gizliliği, bütünlüğü, güvenliği sağlanarak yedekli
bir şekilde ve zaman damgalı olarak en az on yıl süreyle saklanır.


(3) Denetim izi kayıt sisteminde tutulacak kayıtlar
asgari olarak, erişimin veya işlemin niteliğine göre;


a) İşlemin türü ve işlemin ayırt edici tanımlayıcısı,


b) İşlem tutarı, işlem tarihi, işlem saati,


c) Anonim ön ödemeli araçlar ile gerçekleşen işlemler
hariç olmak üzere müşteri tanımlayıcı bilgisi,


ç) Personelin, aracı personelin ve dış hizmet
sağlayıcı çalışanının kimlik bilgisi,


d) (Değişik:RG-7/10/2023-32332) Erişimin veya
işlemin gerçekleştiği uygulama, iletişim ağı protokolü, zaman ve kaynak ile
hedef port ve IP bilgileri,


e) Kaydı oluşturan işlem ya da olayla birlikte,
gerçekleştirilen değişikliğin ne olduğunu gösteren bilgi,


hususlarını içerir.


(4) Personelin kendi faaliyetlerine ilişkin denetim
izlerine müdahalesi engellenir.


(5) Kuruluşun, web servisleri, API ya da benzeri
metotlarla diğer kurum veya kuruluşlar nezdinde tutulan verilere ilişkin yaptığı
sorgulamalar ve bu sorgulamaları hangi amaçla yaptığına ilişkin denetim izleri
de bu madde kapsamında değerlendirilir.


(6) Denetim izleri güvenilir ortamlarda yedeklenir ve
ihtiyaç duyulması halinde 24 saatten fazla olmayacak şekilde makul bir sürede bu
yedeklerden geri dönüş sağlanarak inceleme yapılmasına imkân verecek şekilde
kuruluş nezdinde saklanır.


(7) Denetim izi kayıt sisteminin durdurulmasını
önlemeye veya durdurulması halinde bu durumu tespit etmeye yönelik teknikler
kullanılır.


(8) Herhangi bir nedenden denetim izi kayıt
sisteminin durması halinde, denetim izi kayıt sistemi tekrar devreye alınana
kadar herhangi bir işlemin gerçekleşmesine (Değişik
ibare:RG-7/10/2023-32332) izin verilmemesi esastır. (Ek
cümleler:RG-7/10/2023-32332) Denetim izi kayıt sistemi tekrar devreye
alınana kadar gerçekleşen işlemlere ait denetim izlerinin, denetim izi kayıt
sisteminin süreklilik hedefleri kapsamında tekrar devreye alındıktan sonra
güvenliği ve bütünlüğü korunarak denetim izi kayıt sistemine kaydedilmesi
sağlanır. Denetim izi kayıt sistemi durduğunda işlemlerin gerçekleşmeye devam
ettiği durumlarda, gerçekleştirilen her türlü işlem için gerçekleştirilen
işlemin yetkili kişiler tarafından Yönetmelik ve bu Tebliğ hükümlerine uygun
şekilde yapıldığını ispat etme yükümlülüğü kuruluşa aittir. Yönetmeliğin 54
üncü maddesi hükümleri saklı kalmak kaydıyla, bu işlemler sebebiyle herhangi
bir tarafın zarara uğraması durumunda kuruluş, tarafların uğradığı zararı
tazmin etmekle yükümlüdür.


(9) Bilgi sistemleri konusunda kuruluş tarafından dış
hizmet alınması halinde, dış hizmet sağlayıcının denetim izi kayıt sisteminin
bu madde hükümlerine uygunluğundan kuruluş sorumludur.


(10) Telefonla verilen hizmetlerde müşterinin
gerçekleştirdiği işlemlere ilişkin ses kayıtları için bu maddede belirtilen
hükümler uygulanır. Ses kayıtlarının güvenilir delillerin elde edilmesine imkan
verecek ve sorumlulukların açıkça belirlenmesini sağlayacak nitelik ve kalitede
olması esastır.


Bilgi sistemleri süreklilik planı


MADDE 14 – (1) Kuruluş, Yönetmeliğin 30
uncu maddesi uyarınca oluşturulan iş sürekliliği planının bir parçası olarak
bilgi sistemleri süreklilik planı hazırlar.


(2) Bilgi sistemleri süreklilik planı;


a) İş sürekliliği planı ile uyumlu olacak şekilde
belirlenecek bilgi sistemleri süreklilik hedeflerini ve bu hedeflere ulaşmayı
sağlamak üzere oluşturulacak yedekleme ve hatadan kurtarma prosedürleri ile
kullanılacak kaynakları,


b) Planın hayata geçmesini gerektiren olayın
kaynağını, yarattığı hasarı, potansiyel boyutunu ve etkisini, etkilediği
tarafları tespit etmeye ve tespitlerin ilgili yönetim birimlerine
ulaştırılmasını sağlamaya yönelik süreçleri,


c) Planın hayata geçirilmesine ilişkin karar alma
süreciyle ilgili kriter ve prosedürler ile plan devreye girdiğinde rol alacak
kişi veya grupların görev, yetki ve sorumluluklarını,


ç) İlgili paydaşlar ile iletişim yöntemini,


d) Plan kapsamında verilen kararların ve hayata
geçirilen eylemlerin kayıt altına alınma yöntemini,


içerir.


(3) Bu madde uyarınca hazırlanacak bilgi sistemleri süreklilik
planı kapsamında, bilgi sistemleri unsurlarının ve bunlar üzerinde bulunan
verilerin önem düzeyi değerlendirilerek her bir unsur için kabul edilebilir
kesinti süreleri ile kabul edilebilir veri kayıpları belirlenir ve belirlenen
bu limitler doğrultusunda unsurlara ilişkin kurtarma prosedürleri geliştirilir.


(4) Kuruluş, bilgi sistemleri süreklilik planı
kapsamında gerekliliklerin ortadan kalkmasının ardından ikincil merkezden
birincil merkeze herhangi bir kayıp olmadan geri dönüşün sağlanmasına yönelik
prosedürleri hazırlar.


(5) Kuruluş, bilgi sistemleri süreklilik planının
etkinliğini yılda en az bir defa düzenli olarak test eder. Test, faaliyetlerin
bir günlük işleyişinin ikincil merkez üzerinden sorunsuz bir şekilde
gerçekleştirilmesini de kapsar. 15 inci maddenin dördüncü fıkrası uyarınca
ikincil merkezi bulunmayan kuruluşlar testlerini uzaktan çalışma şeklinde icra
edebilir. Kuruluş, bu testleri temsilci ve şubeleri ile bilgi sistemlerine
bağlantısı bulunan diğer kuruluşları ve üçüncü taraf hizmet sağlayıcıları da
dâhil edecek şekilde planlar.


İkincil merkez, ikincil sistem ve veri yedekleme
merkezi


MADDE 15 – (1) Kuruluş, faaliyetlerinin kesintisiz
devam etmesini sağlamak amacıyla ikincil merkez ve sistemleri kurmak ve bunları
dönemsel olarak test etmek zorundadır.


(2) İkincil sistemlerin tasarımının, acil ve beklenmedik
durumlar karşısında birincil sistemlerde yaşanabilecek sorunların yedek
sistemlerde de yaşanmasını engelleyecek şekilde yapılmasına özen gösterilir.


(3) Kuruluş, acil ve beklenmedik durumlar sonucunda
birincil sistemde bulunan verilerin kaybının önlenmesi amacıyla veri yedekleme
merkezi oluşturmakla yükümlüdür. Veri yedekleme merkezi, veriye yetkisiz erişim
riskleri dikkate alınarak tasarlanır ve asgari olarak birincil sistemlerle aynı
seviyede güvenlik özellikleri içerir.


(4) Kuruluş, acil ve beklenmedik durumların ortaya
çıkması nedeniyle birincil merkezin kullanılamaz hale gelmesi durumunda
faaliyetlerinin kesintisiz devam etmesini sağlamak amacıyla birincil merkezden
farklı bir yerde ikincil bir merkez oluşturur, bu durumlarda görev alacak acil
durum personelini ve bunların görevlerini belirler ve acil durum personelinin
bu merkezde çalışabilmesi için gerekli önlemleri alır. İkincil merkezin, acil
durum personelinin yedek sistemleri ve veri yedekleme merkezlerini de etkin bir
şekilde kullanabilmesini sağlayacak şekilde tasarlanması şarttır. Uzaktan
çalışma imkanlarının olması ve acil ve beklenmedik durumların ortaya çıkması
nedeniyle birincil merkezin kullanılamaz hale geldiği hallerde faaliyetlerinin
kesintisiz devam etmesini sağlayacak önlemleri almış olmak kaydıyla ikincil
merkez oluşturulması şartı uygulanmayabilir.


(5) İkincil merkezin, ikincil sistemlerin ve veri
yedekleme merkezinin yeri, acil ve beklenmedik durumların yedekleri birincil
sistem ve merkezlerle aynı anda ve oranda etkilemesini engelleyecek şekilde
belirlenir.


Bilgi sistemlerine ilişkin dış hizmet alım
sürecinin yönetimi


MADDE 16 – (1) Kuruluş, bu maddede yer
alan şartlar ile Kanun ve ilgili alt düzenlemelerin gerektirdiği
yükümlülüklerin yerine getirilmesi bakımından, bilgi sistemleri yönetimi,
içerik tasarımı, erişim, kontrol, güncelleme, bilgi ve rapor alma gibi
fonksiyonlarda karar alma gücünün ve sorumluluğun kuruluşta olması şartıyla
bilgi sistemlerinin bütünü veya bir kısmı için dış hizmet alımı yapabilir.


(2) Kuruluş üst yönetimi, bilgi sistemleri kapsamında
dış hizmet alımına ilişkin olarak, söz konusu hizmetin dış hizmet alımı yoluyla
gerçekleştirilmesinin kuruluş açısından doğuracağı risklerin yeterli düzeyde
değerlendirilmesi, yönetilmesi ve dış hizmet sağlayıcı ile ilişkilerin etkin
bir şekilde yürütülebilmesine olanak sağlayacak yeterli bir gözetim yapısı
oluşturur. Bu kapsamda kuruluş üst yönetimi, dış hizmet alımı yoluyla
gerçekleştirilen servisler için asgari olarak; servisin erişilebilirliğini,
performansını, kalitesini, bu servis kapsamında gerçekleşen güvenlik ihlali
olayları ile dış hizmet sağlayıcının güvenlik kontrollerini, finansal
koşullarını ve sözleşmeye uygunluğunu takip eder ve yılda bir kez yönetim
kuruluna raporlar. Performans göstergesi olarak asgari düzeyde bu maddenin
dokuzuncu fıkrasında belirtilen dış hizmet alım sözleşmesinde yer alan hizmet
seviyesi tanımları kullanılır.


(3) Kuruluş, bilgi sistemlerine ilişkin konularda
dışarıdan hizmet alımı yolunu seçtiğinde aşağıdaki kurallar geçerlidir:


a) Kuruluşun ve kuruluş üst yönetiminin sorumluluğu
devam eder.


b) Kuruluşun ilgili taraflara karşı yükümlülükleri
devam eder.


c) Kanun ve Yönetmelik kapsamında kuruluşa faaliyet
izni verilmesi ve faaliyet izninin sürdürülmesi konusunda kuruluşun uyacağı koşullarda
herhangi bir değişiklik olmaz.


(4) Kuruluş, birinci fıkra uyarınca dışarıdan hizmet
aldığında;


a) Dış hizmet sağlayıcı kuruluşun seçiminde gerekli
özeni göstermekle,


b) Dışarıdan hizmet alımını, iç kontrol ve risk
yönetim çerçevesinin kalitesini düşürmeyecek ve Bankanın kuruluşa ilişkin
denetim faaliyetlerinin etkinliğini azaltmayacak şekilde yapmakla,


c) Dış hizmet alımına ilişkin hususları iş
sürekliliği planını da göz önünde bulundurarak düzenlemekle,


ç) Dış hizmet sağlayıcı kuruluşun yükümlülüklerini
sözleşme ile netleştirmekle,


d) Dışarıdan hizmet alımının doğuracağı ilave
riskleri göz önünde bulundurarak bu riskleri etkin bir şekilde yönetmek için
gerekli önlemleri almakla,


e) Dış hizmet alımlarında kendisine, personeline ve
müşterilerine ilişkin verilerin gizliliği ve güvenliği için gerekli önlemleri
almakla,


f) Dış hizmet alımının, planlananın dışında
sonlanması veya kesintiye uğraması durumlarına ilişkin risklerin yönetilmesine
uygun bir çıkış stratejisinin belirlenmesini sağlamakla,


yükümlüdür.


(5) Dış hizmet sağlayıcılara verilen erişim hakkı
tipleri özel olarak değerlendirilir. Fiziksel veya mantıksal olabilecek bu
erişimler için risk değerlendirmesi yapılır; buna göre, eğer gerekiyorsa ek
kontroller tesis edilir. Risk değerlendirmesi yapılırken ihtiyaç duyulan erişim
tipi, erişilen verinin değeri, dış hizmet sağlayıcı kuruluş tarafından
yürütülmekte olan kontroller ve bu erişimin kuruluş bilgilerinin güvenliği
üzerindeki etkileri dikkate alınır.


(6) Kuruluş dış hizmete konu edilen faaliyetler
bakımından dış hizmet sağlayıcının işlemlerinden sorumludur.


(7) Kuruluş her türlü veriyi işlemek, saklamak ve
iletmek için bir dış hizmet olarak yurt içinde tesis edilmiş bulut bilişim
hizmetlerini kullanabilir. Ancak hassas müşteri verilerini, rekabete duyarlı
verileri, kişisel verileri veya müşteriyle ilintilendirilebilir ve onu belirli
ya da belirlenebilir kılan her türlü bilgiyi işleyecek, saklayacak ve iletecek
şekilde bulut bilişim hizmetinin alınması, bu dış hizmetin ancak sadece
kuruluşa tahsis edilmiş donanım ve yazılım kaynakları üzerinden sunulduğu özel
bulut hizmet modeli ile alınması halinde mümkündür. Banka tarafından uygun
görülen dış hizmet sağlayıcılar tarafından sunulması durumunda kuruluş, sadece
ödeme hizmeti sağlayıcılarına veya bilgi sistemlerine ilişkin faaliyetleri
ilgili mevzuat çerçevesinde yetkili bir otorite tarafından düzenlenen ve
denetlenen diğer kredi kuruluşları veya finansal kuruluşlara tahsis edilmiş
donanım ve yazılım kaynaklarının fiziksel olarak paylaşıldığı ancak mantıksal
olarak her ödeme hizmeti sağlayıcısına özgü ayrı kaynağın atandığı topluluk
bulutu hizmet modeliyle dış hizmet alabilir. Topluluk bulutu hizmetinin,
kuruluşun ana ortağı, iştiraki veya ana ortağının iştiraki olan ve bilgi
sistemlerine ilişkin faaliyetleri ilgili mevzuat çerçevesinde yetkili bir
otorite tarafından düzenlenen ve denetlenen bir kredi kuruluşu veya finansal
kuruluş (Ek ibare:RG-7/10/2023-32332) ya da bunlara bilgi sistemleri
ile alakalı olarak hizmet sunan bağlı ortaklıkları tarafından verilmesi,
sadece ana ortak, iştirakleri ve ana ortağın iştiraklerine tahsis edilmiş
donanım ve yazılım kaynaklarının fiziksel olarak paylaşıldığı ancak mantıksal
ayrıma gidilerek kuruluşa özgü ayrı bir kaynak atanması koşuluyla bu fıkra
hükümlerine aykırılık teşkil etmez. Kuruluşun müşteri verisi içermeyen test ve
geliştirme ortamları ve sistemleri için gerekli güvenlik tedbirlerini alarak
bulut bilişim hizmeti alması halinde bu fıkra hükmü uygulanmaz.


(8) Dış hizmet sağlayıcılara verilecek erişim, işin
gerektirdiği bilgiyle sınırlandırılır.


(9) Dış hizmet alımına ilişkin sözleşme, asgari
olarak aşağıdaki hususları içerir:


a) Hizmetin kapsamına ve hizmet seviyelerine ilişkin
tanımlamalar ile kuruluşun ve dış hizmet sağlayıcının hak ve yükümlülükleri.


b) Hizmetin sonlanma koşulları ile hizmetin sona
ermesi durumunda dış hizmet sağlayıcının dış hizmet sunarken elde ettiği veri,
bilgi, belge ve kayıtları imha etmesine ilişkin hükümler.


c) Dış hizmet sağlayıcının ve kuruluşun bilgi
sistemleri süreklilik planı kapsamında yükümlülükleri.


ç) Dış hizmet alımı kapsamındaki tüm sistem ve
süreçlerin kuruluşun kendi risk yönetimi, güvenlik ve gizlilik politikalarına
uygun olmasını sağlayacak hükümler.


d) Sözleşmeye konu ürün ve hizmetlerin sahipliği ve
fikri mülkiyet haklarına ilişkin hükümler.


e) Sözleşmede dış hizmet sağlayıcılar için yükümlülük
teşkil eden hükümlerin, alt yükleniciler ile yapılacak olan sözleşmelerde de
bağlayıcı maddeler olarak yer almasını sağlayacak hükümler.


f) Dış hizmet alımının, planlananın dışında
sonlanmasından veya kesintiye uğramasından kaynaklanacak risklerin
yönetilmesine ilişkin hükümler.


g) Kuruluşun tabi olduğu mevzuat hükümlerinin alınan
hizmet çerçevesinde dış hizmet sağlayıcı kuruluşlar için de uygulanmasını
sağlayacak hükümler.


ğ) Dış hizmet alımı kapsamındaki faaliyetlerin
kuruluş bünyesinde gerçekleştirilmesi durumunda, bağımsız denetim açısından
hangi denetimlere tabi tutulması öngörülüyorsa, kapsam daraltılmasına
gidilmeden aynı denetimlere tabi tutulmasını sağlayacak hükümler.


h) Dış hizmet sağlayıcıların, gerçekleştirdiği
faaliyetlere ilişkin olarak Bankaca talep edilen her tür bilgi ve belgeyi
zamanında ve doğru olarak vermekle ve bunlara ilişkin her türlü elektronik,
manyetik ve benzeri ortamlardaki kayıtları ve bu kayıtlara erişim ve kayıtları
okunabilir hale getirmek için gerekli tüm sistem ve şifreleri incelemeye hazır
bulundurmak ve işletmekle yükümlü olduğuna ilişkin hükümler.


ı) Banka, kuruluş ve bağımsız denetim kuruluşunun,
dış hizmet alınan konuyla ilgili olarak dış hizmet sağlayıcıdan her türlü bilgi
ve belgeyi talep etme yetkisinin bulunduğuna ilişkin hükümler.


i) Bankanın talimatı ile kuruluşun bilgi sistemleri
üzerinde gerçekleştirilmesi gereken değişikliklerin, alınan hizmet kapsamında
dış hizmet sağlayıcı tarafından talimat süresi içerisinde yerine getirilmesini
sağlayacak hükümler.


j) Dış hizmet alımı yoluyla gerçekleştirilen
işlemlere ilişkin bilgi, belge ve kayıtların mülkiyetinin kuruluşa ait olduğuna
ve kuruluşa ait bilgi, belge ve kayıtların gizliliğine ilişkin hükümler.


k) Sözleşme hükümlerinin herhangi bir nedenle ihlali
durumunda izlenecek prosedürlere ilişkin hükümler.


(10) Kuruluş, Kanun kapsamında sunmakta olduğu
hizmetlere yönelik reklam hizmeti almak istediği arama motoru, sosyal medya
platformu gibi sağlayıcıların kuruluş adına verilen sahte reklamları
engellemeye yönelik tedbirleri alıp almadığını kontrol eder ve uygun tedbirleri
almayan sağlayıcılardan reklam hizmeti alamaz. Kuruluş, reklam hizmeti aldığı
arama motoru, sosyal medya platformları gibi sağlayıcılarla yapacağı
sözleşmelerde, sahte reklam yayımlanması durumunda, müşteriyi korumak adına,
olaya özel gerekli bilgiyi alabileceğine dair hükümleri ekletmek zorundadır.
Kuruluşun bu kapsamda reklam hizmeti almak üzere anlaştığı aracı firmalar ile
yapılan sözleşmeler için de bu fıkra hükümleri geçerlidir.


(11) Banka, kuruluşun dışarıdan hizmet almasının
sistemin sorunsuz işleyişini olumsuz etkilediği kanaatine varması veya hizmeti sağlayan
kuruluşun Bankanın kuruluşun denetimi ile ilgili faaliyetlerini engellemesi
durumlarında, kuruluştan dış hizmet alımını durdurmasını istemeye yetkilidir.


(12) (Ek:RG-7/10/2023-32332) Verilerin
gizliliği, bütünlüğü ve erişilebilirliği ile kuruluşun sunduğu hizmetlerin
sürekliliğini etkileme potansiyeli olmayan, hassas müşteri verileri ve müşteri
bilgilerinin dış hizmet sağlayıcı ile paylaşılmasına sebebiyet vermeyen ve
kuruluşa özel olarak tasarlanıp sunulmayan hizmet alımlarına ilişkin olarak dokuzuncu
fıkra hükümleri niteliğiyle bağdaştığı ölçüde uygulanır.


(13) (Ek:RG-7/10/2023-32332) Kritik bilgi
sistemleri ve güvenlik kapsamında alınacak ürün ve hizmetlerin Türkiye’de
üretilmesi veya üreticilerinin ar-ge merkezlerinin Türkiye’de bulunması için azami
özen gösterilir ve dış hizmet alımında önemli bir kriter olarak
değerlendirilir. Bu tür sağlayıcıların ve üreticilerin Türkiye’de müdahale
ekiplerinin bulunması şarttır. Banka, kuruluşların kullanacağı güvenlik
ürünleri ve diğer bilgi teknolojileri unsurları hakkında ilave şartlar
belirlemeye yetkilidir.


Müşterilerin bilgilendirilmesi ve internet sitesi


MADDE 17 – (1) Kuruluş tarafından sunulan
hizmetlerden yararlanacak müşteriler; hizmetlere ilişkin şartlar, riskler ve
istisnaî durumlarla ilgili olarak açık bir şekilde bilgilendirilir. Kuruluş,
sunmakta olduğu hizmetlere ilişkin riskler ve tehditler hakkında müşterilerini
uyarır ve bu hususlarda müşteri farkındalığı oluşturulması için azami özen
gösterir.


(2) Birinci fıkra kapsamında asgari olarak aşağıdaki
hususlar müşterinin bilgisine sunulur:


a) Kuruluş tarafından müşterilere sunulan cihazlar,
yazılımlar ya da mobil uygulamalar ile ödeme araçları ve hassas müşteri
verisinin güvenli bir şekilde kullanımına ilişkin yönlendirici talimatlar.


b) Kuruluş tarafından müşterilere sunulan cihazlar,
yazılımlar ya da mobil uygulamalar ile ödeme araçları ve hassas müşteri
verisinin kaybedilmesi, çalınması, silinmesi ya da değiştirilmesinin gerekmesi
gibi durumlarda müşterilerin takip etmesi gereken adımlar.


c) Sunulan hizmetlerin taşıdığı riskler ile bu
hizmetlere ilişkin koşullar; müşterilerin ve kuruluşun hakları ve
sorumlulukları.


ç) Dolandırıcılık şüphesi ya da hizmetin alınması
sırasında herhangi bir problemle karşılaşılması halinde yapılması gerekenlere
ilişkin yönlendirici talimatlar, müşterilerin takip etmesi gereken adımlar.


(3) Müşteriler, ödeme hizmetlerinde iki saatten daha
uzun süreli bir kesinti, planlı bakım ve değişiklik gibi durumlarda önceden
bilgilendirilir.


(4) Bilgi sistemlerinden ve bunlara dayalı olarak
verilen hizmetlerden dolayı müşterinin yaşayabileceği sorunların takip
edilebileceği ve müşterilerin şikâyetlerini ulaştırmalarına imkân tanıyacak
mekanizmalar oluşturulur. Şikâyetlerin en kısa sürede değerlendirilerek
çözümlenmesi; bu kapsamda oluşturulacak şikâyet birimleri veya çağrı
merkezlerinde müşteriyi karşılayacak menülerde elektronik kanal üzerinden
sunulan hizmete ilişkin yaşanan dolandırıcılık vakalarının iletilmesi işleminin
ana menüde ve ilk sıralarda müşterinin dikkatine sunulması ve bu kapsamda
kuruluşa ulaştırılan bildirimlerin en kısa sürede giderilmesine yönelik gerekli
çalışmaların yapılması sağlanır.


(5) Kuruluş, müşterinin işlem bilgilerini ve bakiye
bilgilerini takip edebilmesine olanak sağlar. Bu bilgilerin kuruluşca sunulan
elektronik kanallar kullanılarak takip edilebilmesi için müşterilere gerekli
yönlendirmeler yapılır. Bu kapsamda, kuruluşun elektronik ortamda müşterilerine
ileteceği hassas müşteri verisi veya müşteri bilgisi içeren her türlü ekstre,
dekont, hesap özeti gibi belgelerin, kuruluşça sunulan elektronik kanallar
üzerinden sağlanması esastır. Müşterinin talep etmesi durumunda bu belgelerin,
müşterinin belirttiği iletişim veya elektronik posta adresine hassas müşteri
verisi içermeyecek şekilde gönderilmesi sağlanır.


(6) Kuruluşun internet sitesinde kuruluşun ticaret
unvanı, iletişim bilgileri, genel müdürlük adresi ile Bankanın iletişim
bilgilerine yer verilir. Kuruluşun internet sitesinde Bankanın iletişim
bilgileri verilirken, Bankanın iletişim bilgileri, farkındalık ve bilinilirlik
anlamında kuruluşun iletişim bilgilerinin önüne geçecek şekilde
konumlandırılamaz.


(7) Kuruluş, müşteriye özel duyuru, uyarı ve benzeri
sürekli bilgilendirme ihtiyaçlarını müşteri ile önceden mutabık kaldığı güvenli
bir kanal üzerinden gerçekleştirir. Bu kanal üzerinden gelmeyen bilgilere
itibar edilmemesi konusunda müşteriler bilgilendirilir.


(8) Erişilen internet sitesinin kuruluşa ait
olduğunun doğrulanmasını sağlayacak teknikler kullanılır.


(9) Bu Tebliğ ve Yönetmelik kapsamında tanımlanmış
olan müşterilerin bilgilendirilmesi için gerekli her türlü bilgi ve açıklama,
kuruluşun internet sitesi üzerinden müşteri erişimine daima açık tutulur.


(10) Sunulan ödeme hizmetleri, bu hizmetlerin erişime
açık olduğu gün ve saatler ile hizmetlere ilişkin diğer koşullar, sunulan
hizmetlerin doğurabileceği riskler, bu risklerden korunmak için müşterilerin
kullanması gereken yöntemler, müşteri farkındalığını artıracak yönlendirici
güvenlik kılavuzları ile bu hizmetlerden yararlanacak müşterilerin sorumluluk
ve haklarına ilişkin hususlar ile Yönetmelik kapsamında müşterilere yapılması
gereken diğer genel bilgilendirmelere internet sitesinde yer verilir.


(11) Sunulan hizmetlere ilişkin bilgi ve
açıklamaların açık ve anlaşılır olması, internet sitesinde dikkat çekici bir
yere yerleştirilmesi gerekir ve ilgili ödeme hizmetinden yararlanmaya
başlamadan önce müşterilerin bunları en az bir kere tam olarak okunabilir
şekilde görüntülemesini garanti edecek şekilde yönlendirmeler ile sistemsel
kısıtlamalar uygulanması sağlanır.


(12) Kuruluş tarafından elektronik kanal üzerinden
sunulan Kanun kapsamındaki hizmetlerde, müşterilerin yanlış işlem yapma
ihtimalini en aza indirecek kontrollerin bulunması, müşterilerin başlattıkları
işlemlere ilişkin ödemekle yükümlü oldukları her türlü tutar, komisyon ve ücret
bilgilerinin işlem anında açıkça müşterinin bilgisine sunulması ve müşterinin
bunları onaylaması halinde söz konusu işlemlerin gerçekleştirilmesi temin
edilir.


(13) Kuruluş, yapacağı pazarlama faaliyetleri,
reklâmlar veya yayınlarda, müşterilerine sunmakta olduğu herhangi bir hizmetin
mutlak manada güvenli olduğu veya bu hizmetlerde hiçbir güvenlik riskinin
bulunmadığı izlenimini ve bilgisini verecek ifadeler kullanmaktan kaçınır.


(14) Kuruluş Kanun kapsamında sunduğu hizmetler için
bu Tebliğ kapsamında yapılması gereken bilgilendirmelerin, hizmetin verildiği
platformdan ya da müşterinin hizmeti alırken kullandığı cihazdan kaynaklanan
nedenlerle bilgilendirme olanakları açısından yetersiz kalması durumunda,
müşterinin söz konusu bilgilere farklı kanallar üzerinden ulaşması için gerekli
yönlendirmeleri yapar.


Elektronik sertifikalar


MADDE 18 – (1) Kuruluş internet sitesinin
kimliğinin doğrulanması ve 23 üncü maddedeki veri paylaşım servisleri
kapsamında tarafların güvenli bir şekilde tanımlaması amacıyla 15/1/2004
tarihli ve 5070 sayılı Elektronik İmza Kanununda açıklanan elektronik
sertifikaları kullanır.


(2) Elektronik sertifikada Banka tarafından raporlama
yaparken kullanması için kuruluşa verilen kod ve kuruluşun türüne dair bilgiler
yer alır.


Yüksek riskli işlemlerin takibi


MADDE 19 – (1) Kuruluş, sahtekârlık ya da
dolandırıcılık amaçlı işlemler ile mali suç kapsamında değerlendirilebilecek
işlemleri tespit etmek ve önlemek amacıyla işleme taraf müşteriler ile
temsilciler, işyerleri ve insansız hizmet noktalarından gerçekleştirilen tüm
işlemler için takip mekanizmaları tesis eder. Bu kapsamda şüpheli veya yüksek
riskli işlemleri detaylı olarak değerlendirir. Kuruluş, gerçekleşen işlemlere
yönelik işleme taraf işyeri ve sunduğu hizmete yönelik etkin bir takip
yürütmekle sorumludur. Bu kapsamda kuruluş, işyerine yönelik risk değerlendirme
çalışması yapmak, işyerinin sunduğu hizmetin sosyal mühendislik faaliyetlerine
konu olmadığı ve belirtilen hizmet ile gerçekte sunulan hizmetin uyumluluğu
konusunda bilgi sahibi olmak, hizmetlere ilişkin yoğun müşteri şikâyeti olması
durumunda risk değerlendirmesini gözden geçirerek gerekli tedbirleri almaktan
sorumludur.


(2) 5549 sayılı Kanuna ilişkin yükümlülükler saklı
kalmak üzere kuruluş, olağan dışı, şüpheli ya da yüksek riskli işlemlerin
gerçekleştirildiğini tespit etmesi halinde telefon ya da SMS gibi uygun
yöntemlerle müşterilerin en kısa sürede uyarılmasını sağlar. Müşteriye kısa sürede
ulaşılabilecek bir iletişim bilgisinin kuruluş ile paylaşılmamış olması halinde
bu fıkra hükmü uygulanmaz.


(3) Düşük değerli olan ödeme işlemlerinin kısa bir
süre içinde sıklıkla gerçekleştirilmesi ya da düşük değerli ödeme aracının kısa
bir süre içinde sıklıkla kullanılması yüksek riskli işlem olarak
değerlendirilir.


(4) Kuruluş, Kanun kapsamında elektronik kanallar
üzerinden sunduğu hizmetlerle ilgili olarak gerçekleşen olağan dışı,
sahtekârlık amaçlı veya dolandırıcılık riski bulunan işlemleri tespit etmeye ve
bunları önlemeye yönelik işlem takip mekanizmaları kurar. İşlem takip
mekanizması kapsamında uygun olan durumlarda asgari olarak aşağıdaki risk
unsurları takip edilir:


a) Finansal sonuç doğuran işlemlere yönelik bilinen
dolandırıcılık yöntemleri.


b) Gerçekleştirilen her bir ödeme işleminin tutarı ve
bu tutarlara göre müşterinin, fiziki ortamlarda gerçekleştirilen tüm
işlemlerde, elektronik kanallar üzerinden gerçekleştirilen işlemlerde ise
müşterinin onay vermesi durumunda konum bilgisi de kullanılarak normal dışı bir
ödeme, fon transferi ya da davranış deseni gösterip göstermediği.


c) Kaybolmuş, çalınmış ya da yetkisiz kişilerce ele
geçirilmiş kimlik doğrulama unsurlarının listesi.


ç) Her bir kimlik doğrulama oturumuna yönelik olarak
zararlı yazılımların bulaşmış olabileceğini gösteren belirtiler.


d) Mümkün olması durumunda, müşterinin ve müşterinin
ödeme yaptığı veya fon transfer ettiği tarafların daha önce sahtekârlık amaçlı
veya dolandırıcılık kapsamına giren ödeme işlemleri gerçekleştirip gerçekleştirmediğine
ilişkin kayıtlar.


e) (Değişik ibare:RG-7/10/2023-32332) MASAK
tarafından yayımlanan rehberlerde yer alan şüpheli işlem tipleri kapsamında
uygun görülen senaryolar.


(5) Kuruluş, yüksek riskli işlemleri filtreleyerek
değerlendirir ve bu filtrelere takılan müşterileri daha yakından takip eder.


(6) Kuruluş, yürütmekte olduğu risk yönetimi
faaliyetleri kapsamında, kuruluş tarafından Kanun çerçevesinde sunulan
hizmetlerin, yasa dışı bahis başta olmak üzere yasa dışı faaliyetlerde
kullanılıp kullanılmadığının tespiti için sosyal medya ve çevrim içi
platformlar dâhil gerekli araştırmaların yapılması ve bu tür işlemlerin
önlenmesi için uygun tedbirlerin alınmasını sağlar.


(7) Altıncı fıkra uyarınca alınacak tedbirler
kapsamında kuruluş bu işten doğrudan sorumlu olacak yeterli sayıda personeli
görevlendirir ve;


a) Görevlendireceği personel tarafından sosyal medya
ve çevrim içi platformlar başta olmak üzere yasa dışı bahis ve benzeri yasa
dışı faaliyetlerin gerçekleşmesine imkân tanıyan sanal mecralarda kuruluş
üzerinden para transferi yapılmasına ilişkin yer alan linkler kullanılarak
kuruluş nezdinde hangi kişilerin, hesapların, kartların, işyerlerinin yasa dışı
faaliyetlerde kullanıldığının tespit edilmesini,


b) Tespit edilen müşterilere ödeme hizmeti sunulmasının
ivedi olarak sonlandırmasını, bu müşterilere para gönderen veya bu müşteriler
tarafından para gönderilen kişilerin, hesapların, kartların, işyerlerinin de
tespit edilerek yakın takibe alınması ve yasa dışı bahis başta olmak üzere yasa
dışı faaliyetlerde kullanıldığına veya rol aldığına ilişkin şüphe oluşması
durumunda bu müşterilere de ödeme hizmeti sunulmasının sonlandırılmasını,


c) (a) bendinde yer alan adımların, yasa dışı bahis
ve benzeri yasa dışı faaliyetlerin gerçekleşmesine imkân tanıyan sanal
mecralarda kuruluş üzerinden para transferi yapılmasına ilişkin diğer
kişilerin, hesapların, kartların, işyerlerinin kullanılmadığına ilişkin makul
görüş oluşuncaya kadar tekrarlanmasını,


ç) Bu madde uyarınca tespit edilen kişilerin,
hesapların, kartların, işyerlerinin ve bunlarla ilgili olarak gerçekleştirilen
tüm işlemlerin kayıt altına alması, kayıt altına alınan söz konusu müşterilerin
ve bu müşteriler üzerinden gerçekleşen işlemlerin Bankaya ve yasa dışı işlemin
mahiyetine bağlı olarak başta (Değişik ibare:RG-7/10/2023-32332) MASAK
olmak üzere ilgili kamu otoritelerine raporlanmasını,


d) Kontrolü yapılan ve yasa dışı bahis ve benzeri
yasa dışı faaliyetlerin gerçekleşmesine imkân tanıdığı tespit edilen sanal
mecraların da kayıt altına alınarak Bankaya ve (Değişik
ibare:RG-7/10/2023-32332) MASAK’a bildirilmesini,


sağlar.


(8) Kuruluş tarafından yedinci fıkra uyarınca görevlendirilecek
personelin sayısının kuruluşun işlem adet ve tutarları ile faaliyet gösterdiği
ödeme hizmeti türleri göz önünde bulundurularak yeterli kontrol mekanizmasının
sağlanmasını temin edecek şekilde belirlenmesi gerekmektedir. Banka, kuruluşun
işlem adet ve tutarlarını gözeterek kuruluştan yedinci fıkra uyarınca
görevlendirilecek personelin bu işe özgü olarak atanmasını istemeye yetkilidir.


(9) Münhasıran Yönetmeliğin 4 üncü maddesinin birinci
fıkrasının (g) bendinde yer alan ödeme hizmetlerini sunan kuruluşlar bu
maddedeki yükümlülüklerden muaftır.


İşyerleri, temsilciler ve insansız hizmet
noktaları


MADDE 20 – (1) Kuruluş, işyerleri ve
temsilciler ile yapacağı sözleşmelerde;


a) Hassas müşteri verilerinin gizliliğinin ve
güvenliğinin sağlanması hususunda gerekli önlemlerin alınmasına,


b) Hizmetlerin gerçekleştirilmesi için gerekli olan
terminaller ve kuruluş arasındaki iletişim haricinde, kendi nezdinde hassas
müşteri verisini tutmamasına, işlememesine veya kaydetmemesine,


c) Önemli bir güvenlik olayı yaşanması halinde bu
durumun ivedilikle kuruluşa bildirilmesine,


ilişkin hükümlerin yer almasını sağlamakla
yükümlüdür.


(2) Kuruluş, işyerleri ve temsilciler ile yapacağı
sözleşmelerde yer alacak birinci fıkra kapsamındaki hükümlerin gereklerinin
yerine getirildiğini gözetmekle ve gereğinin yerine getirilmediğinin
anlaşılması halinde sözleşmeyi feshetmekle yükümlüdür. Müşterilerin,
işyerlerinin hassas müşteri verilerini tutması, işlemesi veya kaydetmesi
hususunda aydınlatılması suretiyle açık rızasının alındığı durumlarda birinci
fıkranın (b) bendine uyum şartı aranmaz.


(3) Ödeme işlemlerinin veya elektronik para ile
ilgili işlemlerin gerçekleştirilmesini sağlayan API, fiziki veya sanal
terminaller ve insansız hizmet noktaları ile kuruluş arasında karşılıklı
doğrulama ve uçtan uca güvenli iletişim olması esastır. Terminaller ve insansız
hizmet noktalarında işleme tabi tutulan hassas müşteri verilerine yetkisiz
fiziki veya elektronik erişim engellenir.


(4) Kuruluş, temsilcilerine güncel sahtekârlık ve
dolandırıcılık yöntemleri ile 5549 sayılı Kanun kapsamında alınması gereken
önlemler konusunda eğitim vermekle ve kullanıcılarını insansız hizmet
noktalarının güvenli kullanımı hususunda bilgilendirmekle yükümlüdür.


(5) Kuruluş, insansız hizmet noktalarına ilişkin
hırsızlık, sahtekârlık ve dolandırıcılık gibi tehditlere karşı gerekli
önlemleri almakla yükümlüdür. Bu kapsamda insansız hizmet noktaları üzerine
yabancı aparatlar veya kart kopyalama cihazları, sahte klavye, kamera gibi
başka cihazların yerleştirilmesini önleyici ve bunları tespit edici kontroller
tesis edilir.


(6) İnsansız hizmet noktaları üzerinde ön tanımlı
olarak gelen her türlü parola kolaylıkla tahmin edilemeyecek şekilde
değiştirilir.


(7) İnsansız hizmet noktaları ve terminallere, her
türlü yetkisiz erişimi ve bunlar üzerine zararlı içerikli programların
yüklenmesini engelleyecek tedbirler alınır.


(8) İnsansız hizmet noktaları ve terminallerde
sağlayıcı veya üretici firma desteği olan güncel yazılım sürümleri kullanılır
ve güvenlik açıklıklarını gidermek amacıyla gerekli güncellemeler vakit
kaybetmeksizin yapılır.


(9) İnsansız hizmet noktalarında gerçekleştirilen
işlemler için kimlik doğrulama hükümleri uygulanır; işlem tipi, sayısı ve
limiti gibi hususlar dikkate alınarak şüpheli işlem gerçekleştirilmesi
ihtimaline karşı kontrol ve takip mekanizması tesis edilerek gerekli
bildirimlerin yapılması sağlanır.


(10) Kuruluş, insansız hizmet noktalarının bulunduğu
yerlere güvenlik kamerası koyar. Güvenlik kamerası kayıtları kişilerin
kimliklerinin tespit edilmesine yetecek görüntü kalitesinde en az altı ay
süreyle saklanır ve kamera teçhizatının sağlıklı çalışıp çalışmadığı düzenli
olarak kontrol edilir. Görüntüleme alanı bakımından insansız hizmet noktasını
da kapsayan ve bu fıkradaki koşulları karşılayan bir güvenlik kamerası
altyapısının varlığı durumunda ayrıca bir güvenlik kamerası kurulmaz. Kamu
güvenlik ve istihbarat kurumlarının faaliyet bölgesinde bulunan insansız hizmet
noktaları için güvenlik kamerası kurulma şartı, ilgili kamu güvenlik ve istihbarat
kurumlarından izin alınabilmesi koşuluyla yerine getirilir.


Bilgi sistemlerine ilişkin sınırlamalar


MADDE 21 – (1) Kuruluşların birincil ve
ikincil sistemleri ile veri yedekleme merkezlerini yurt içinde bulundurmaları
zorunludur. Bu maddenin uygulanmasında, Yönetmeliğin 19 uncu maddesinin on
üçüncü fıkrası hükümleri saklıdır.


(2) Aynı kuruluşun müşterileri ya da farklı
kuruluşların müşterileri arasındaki ödeme işlemlerinin yürütülmesinde
kullanılan tüm bilgi sistemleri ve bunların yedeklerinin yurt içinde bulunması
esastır. Bu kapsamda dış hizmet alınması halinde, dış hizmet sağlayıcının söz
konusu hizmete ilişkin faaliyetleri yürütmede kullandığı bilgi sistemleri ve
bunların yedekleri de yurt içinde tutulur.


(3) Ödeme işleminin taraflarından birinin, kuruluşun
müşterisi olmadığı durumlarda, kuruluş işlemin kendi tarafında gerçekleşen
kısımları için bu Tebliğ hükümlerine tabidir.


(4) (Ek:RG-7/10/2023-32332) Ödeme işleminin
taraflarından birinin (kendisinin veya hizmet sağlayıcısının) yurt dışında bulunduğu
durumlarda kuruluş; verilerin yurt içinde saklanmaya devam edilmesi kaydıyla,
sadece ödeme işleminin sorunsuz şekilde gerçekleşebilmesinin gerektirdiği
kadarıyla sınırlı olmak şartıyla ve ölçülülük ilkesine uygun olarak ihtiyaç
duyulan veriyi, ödeme işlemine ilişkin müşteriden gelen talep ya da talimata
bağlı olarak ve 6698 sayılı Kanunun 9 uncu maddesine ilişkin yükümlülükler
saklı kalmak üzere yurt dışındaki ilgili üçüncü kişilerle paylaşabilir. Banka,
yapacağı değerlendirme neticesinde ödemeler alanının gelişimini olumsuz
etkileyeceğine karar vermesi durumunda, bu fıkra uyarınca yapılan paylaşımları
durdurabilir veya bunlara ilişkin ilave sınırlandırma getirebilir.


Uzaktan iletişim aracı ile yürütülecek süreçler


MADDE 22 – (Değişik:RG-7/10/2023-32332)


(1) Kuruluş, uzaktan iletişim aracı ile yürütülecek
kimlik tespiti ve sözleşme ilişkisinin kurulması süreçlerinde, Banka tarafından
uygun bulunan merkezi bir yapının kullanılmaması durumunda uzaktan kimlik
tespitine ve kimliği tespit edilecek kişinin doğrulanmasına imkân verecek
internet tabanlı yöntemleri kullanır ve asgari olarak aşağıdaki hususları
yerine getirir:


a) Kimlik tespitinin yapılabilmesi için kimliği
tespit edilecek kişiden alınması gerekli bilgi ve belgelerin temin edilmesi.


b) Uzaktan kimlik tespiti için temin edilen belgenin
ve belgede bulunan veri ve bilgilerin doğruluğunun esas olarak yakın alan
iletişimi kullanılarak kontrol edilmesi, beyaz ışık altında görsel olarak ayırt
edilebilen güvenlik ögeleri, fotoğraf ve imza başta olmak üzere söz konusu
belgenin ve belgede bulunan veri ve bilgilerin orijinallik, bütünlük, yıpranma
ile tahrif edilme durumlarına ilişkin testlerinin yapılması ve belgenin ön ve
arka yüzünün görsel ögeler yönünden kontrolü sürecinin kesintisiz bir şekilde
kayıt altına alınması.


c) (b) bendi uyarınca yakın alan iletişimi
kullanılarak doğrulamanın herhangi bir nedenle yapılamaması halinde, söz konusu
belgenin ve belgede bulunan veri ve bilgilerin doğruluğunun optik karakter
tanıma, kart okuyucu veya MASAK’ın görüşü alınarak Banka tarafından belirlenen
diğer yöntemlerden en az birisi kullanılarak kontrol edilmesi, beyaz ışık
altında görsel olarak ayırt edilebilen güvenlik ögeleri, fotoğraf ve imza başta
olmak üzere söz konusu belgenin ve belgede bulunan veri ve bilgilerin
orijinallik, bütünlük, yıpranma ile tahrif edilme durumlarına ilişkin testlerin
yapılması ve belgenin ön ve arka yüzünün görsel ögeler yönünden kontrolü
sürecinin kesintisiz bir şekilde kayıt altına alınması.


ç) Uzaktan kimlik tespitinin yapılabilmesi için
biyometrik verilerin kullanımına ve sözleşme sürecinin uzaktan iletişim aracı
ile yürütüleceğine ilişkin kimliği tespit edilecek kişinin onayının ve açık
rızasının kayıt altına alınması.


d) Kimliği tespit edilecek kişinin çevrim içi gerçek
zamanlı video, çevrim içi gerçek zamanlı hareketli fotoğraf veya çevrim içi
görüntülü görüşme yöntemleri kullanılarak canlılık testinin yapılması ve uzaktan
kimlik tespiti sürecinde kişinin yüzü ile kimlik belgesinden yakın alan
iletişimi kullanılarak alınabilmesi halinde temassız yongadaki fotoğrafın,
alınamaması halinde ise kimlik belgesi üzerinde yer alan fotoğrafın biyometrik
karşılaştırmasının yapılması ve kimlik belgesindeki fotoğrafın ve kişisel
bilgilerin kişi ile uyuştuğunun doğrulanması.


e) Işık ve gürültü seviyesi, sinyal gücü ve benzeri
kıstaslar açısından cihaz ve ortam kontrolünün yapılması.


f) Uzaktan iletişim aracı olarak kullanılacak yöntem
ile ilgili iletişim bilgilerinin uygun yöntemlerle doğrulanması.


(2) Birinci fıkra uyarınca yapılan canlılık testi
işlemlerinde çevrim içi gerçek zamanlı video veya çevrim içi gerçek zamanlı
hareketli fotoğraf yöntemlerinin kullanılması halinde, kimliği tespit edilecek
kişi tarafından söz konusu video veya hareketli fotoğrafın yapılacak
yönlendirmelere uygun şekilde anlık olarak çekilmesi, bu kapsamda önceden
çekilen bir video veya hareketli fotoğraf kaydının canlılık testine dahil
edilmesine izin vermeyecek bir yapı oluşturulması ve bu kapsamda yapılacak tüm
kayıtların gerçek zamanlı olarak kuruluş sunucularında kaydedilmesinin
sağlanması zorunludur. Kimliği tespit edilecek kişinin canlılık testinin
yapılması esnasında kimliği tespit edilecek kişiye üçüncü taraflarca
öngörülemezliği sağlayacak şekilde belirlenmiş olan seçenekler arasından
rastgele verilecek komutlar çerçevesinde en az üç görüntü üzerinden gerekli
kontrollerin yapılması ve söz konusu sürecin kesintisiz bir şekilde kayıt
altına alınması gerekir.


(3) Anonim ön ödemeli araçlar, 5549 sayılı Kanun ve
ilgili mevzuat hükümleri kapsamında kimlik tespiti yapılması zorunlu olmayan ve
sürekli iş ilişkisi kapsamına girmeyen tek seferlik ödeme işlemleri ile Mali
Suçları Araştırma Kurulu Genel Tebliği (Sıra No: 5)’nin 2.2.11 inci maddesinin
üçüncü paragrafı kapsamında sanal terminal hizmeti sunan tüzel kişiler için
gerekli bilgi, sözleşme, dekont ve benzeri belgelere ilişkin süreçlerin
işletilmesi esnasında uzaktan iletişim aracı kullanılması halinde birinci fıkra
hükümlerinin uygulanması zorunlu değildir.


(4) Birinci fıkra kapsamında uzaktan iletişim aracı
ile yürütülen süreçler, personelin manuel müdahalesinin bulunduğu hallerde
görevler ayrılığı prensibine uygun olarak, tek bir kişi tarafından başlatılması,
onaylanması ve tamamlanmasına imkân verilmeyecek şekilde tasarlanır ve
işletilir. Bu madde kapsamında uzaktan iletişim aracı ile yürütülen süreçlerde
kullanılan bilgi sistemleri 16 ncı maddenin on üçüncü fıkrası kapsamında kritik
bilgi sistemi olarak kabul edilir.


(5) Birinci fıkra kapsamında uzaktan iletişim aracı
ile yürütülen süreçler, tüm adımları içerecek şekilde kayıt altına alınır ve
elde edilen veriler, Kanun, Yönetmelik ve bu Tebliğ ile diğer ilgili
düzenlemelere uygun bir şekilde saklanır. Uyuşmazlık durumunda, uzaktan
iletişim aracı ile yürütülen süreçler esnasında Yönetmelik ve bu Tebliğde yer
alan hükümlere uygun işlem tesis edildiğinin ispatından kuruluş sorumludur.


(6) Kuruluş, birinci fıkra kapsamında uzaktan
iletişim aracı ile yürütülecek süreçlere ilişkin izlenecek süreç ve
prosedürleri yazılı olarak oluşturur, oluşturulan süreç ve prosedürleri yılda
en az iki defa olmak üzere düzenli olarak test eder ve test sonuçlarında ortaya
çıkan eksiklik, hata, zayıflık ve açıklara ilişkin olarak teknolojik ve
operasyonel gereklilikler başta olmak üzere tüm önlemleri alır ve gerekli
güncellemeleri yapar.


(7) Birinci fıkra kapsamında uzaktan iletişim aracı
ile yürütülecek süreçlerde kimliği tespit edilecek kişiden alınacak belgeler,
bu belgelerin doğrulanması esnasında dikkat edilecek güvenlik ve doğrulama
özellikleri ile bu kapsamda kullanılacak kriterler ve kimliği tespit edilecek
kişinin doğrulanması esnasında dikkate alınacak güvenlik ve doğrulama
özellikleri ile bu kapsamda kullanılacak kriterler yazılı olarak dokümante
edilir.


(8) Birinci fıkra kapsamında uzaktan iletişim aracı
ile yürütülecek süreçlerde, görüşme esnasında kimliği tespit edilecek kişinin
kimlik tespitinin yapılması, doğrulanması ve sözleşmenin başka bir tarafın zoru
ya da zorlamasıyla yapılmadığından emin olunabilmesi için sorulacak sorular ve
yönlendirme amacıyla kullanılacak ifadeler; görüşmenin seyrine ilişkin aşamalar
ile her aşamada sorulacak sorular ve yönlendirme amacıyla kullanılacak ifadeler
yazılı olarak oluşturulur ve güncel gelişme ve tehditler çerçevesinde düzenli
olarak güncellenir.


(9) Kuruluş, birinci fıkra kapsamında belirtilen
yöntemler yoluyla yürütülecek süreçlerde aşağıdaki şartları yerine getirmekle
yükümlüdür:


a) Sürecin gerçek zamanlı ve kesintisiz şekilde
yürütülmesi gerekir.


b) Süreç uçtan uca güvenli iletişim ile
gerçekleştirilir.


c) Kullanılan yöntemdeki görüntü ve ses kalitesinin,
bu madde uyarınca gerekli kontrollerin etkin bir şekilde yapılmasını sağlayacak
şekilde yeterli seviyede olması sağlanır ve süreç boyunca görüntü kalitesinin
istenilen seviyede olduğunu gösterecek kontroller oluşturulur. Görüntü
kalitesinin ölçülmesinde asgari olarak, görüşme yapılan kişinin görsel olarak
net bir şekilde görüntülenebilmesinin, sunulan belgenin beyaz ışık altında
görsel olarak doğrulanabilmesinin ve sunulan belgenin tahrif edilmemiş
olduğunun kontrol edilebilmesinin mümkün olmasına dikkat edilir.


ç) Süreç esnasında kimliği tespit edilecek kişi
tarafından sunulan belgenin geçerliliği hususunda ya da dolandırıcılık veya
sahtecilik teşkil edebilecek eylemlerden şüphe edilmesi durumunda, süreç
sonlandırılır.


(10) Bu maddede yer alan şartlara uyulmadığı
durumlarda birinci fıkranın (d) bendinde belirtilen yöntemler yoluyla sözleşme
kurulamaz, bu şekilde kurulan sözleşmelerde yetkilendirilmemiş, hatalı
gerçekleşmiş veya benzeri sorunlu işlemlerde tüm sorumluluk kuruluşa ait olur.


(11) Kuruluş, uzaktan iletişim aracı ile kimlik
tespiti yaptığı kişileri ve kurduğu sözleşmelere taraf müşterilerini farklı bir
risk profilinde izler. Bu müşterilerce yapılan işlemlerin türüne ve tutarına
bağlı olarak ilave güvenlik ve kontrol yöntemleri uygulanır.


(12) Birinci fıkra uyarınca uzaktan iletişim aracı
ile kurulacak sözleşmelerde, uzaktan kimlik tespitinin yapılmasının ya da
müşteri kimliğinin yüz yüze tespit edilmesinin ardından, müşterinin sözleşmeyi
kuran irade beyanının, çevrim içi görüntülü görüşme ya da sözleşme ilişkisinin
elektronik kanal üzerinden kurulmasının tercih edilmesi durumunda 10 uncu madde
kapsamında güçlü kimlik doğrulama yapılması sonrasında aynı elektronik kanal
üzerinden alınması şarttır. Bu fıkranın uygulanmasında Yönetmeliğin dördüncü
kısmının ikinci bölümünde yer alan hükümler saklıdır.


(13) Bu maddede yer alan şartlar dâhilinde uzaktan
kimlik tespitinin yapılması halinde 10 uncu madde kapsamında güçlü kimlik
doğrulamanın gerekleri yerine getirilmiş sayılır.


(14) Bu maddenin uygulanmasında 30/4/2021 tarihli ve
31470 sayılı Resmî Gazete’de yayımlanan Mali Suçları Araştırma Kurulu Genel
Tebliği (Sıra No: 19) hükümleri öncelikli olarak uygulanır.


(15) Banka, ihtiyaç duyulması halinde bu madde
kapsamında uygulanacak diğer usul ve esasları belirlemeye yetkilidir.


ÜÇÜNCÜ BÖLÜM


Ödeme Hizmetlerinde Kullanılan Veri
Paylaşım Servisleri


Veri paylaşım servisi


MADDE 23 – (1) HHS, Yönetmeliğin 4 üncü
maddesinin birinci fıkrasının (f) ve (g) bentlerinde yer alan faaliyetler
kapsamında Yönetmeliğin 59 uncu maddesinin beşinci fıkrasına uygun olarak
gerekli bağlantıları yaparak veri paylaşım servislerini HBHS ve ÖBHS’ye sunar.


(2) Ödeme emri başlatma hizmetinde veri paylaşım
servisinin tarafları ÖBHS ile HHS’dir.


(3) Ödeme hesabı bilgisi sağlama hizmetinde veri
paylaşım servisinin tarafları HBHS ile HHS’dir.


(4) Veri paylaşım servisinde taraflar Bankanın
belirlediği elektronik sertifikaları kullanır ve tarafların Bankaca
yetkilendirilmiş olduğu kontrol edilir.


(5) Veri paylaşım servislerine ilişkin faaliyetlerde
hassas müşteri verileri, müşteri bilgileri ve rekabete duyarlı veriler başta
olmak üzere ilgili tüm verilerin gizliliği, bütünlüğü, güncelliği ve güvenliği
sağlanır.


(6) Veri paylaşım servisleri, Yönetmeliğin 59 uncu
maddesinde yer alan hükümler ile aynı maddenin birinci fıkrası uyarınca Banka
tarafından belirlenen teknik ve operasyonel gerekliliklere uygun olarak
yürütülür.


(7) Müşteri tarafından Yönetmeliğin 4 üncü maddesinin
birinci fıkrasının (f) ve (g) bentlerinde belirtilen hizmetlerle ilgili her bir
bilgi talebi ve ödeme emri başlatma işlemi için ayrı ayrı onay verilir. Hesap
bilgisi sağlama hizmeti için ilgili hesaplar ve bu hesaplar üzerinde tanımlanan
işlemler için ise onay düzenlenen sözleşme ile de verilebilir.


Veri paylaşım servisine ilişkin HHS’nin
yükümlülükleri


MADDE 24 – (1) HHS, Yönetmeliğin 59 uncu
maddesi uyarınca BKM API Geçidi’ne bağlanır, nezdinde bulunan ödeme hesaplarına
ilişkin Yönetmeliğin 4 üncü maddesinin birinci fıkrasının (f) veya (g)
bentlerinde yer alan ödeme hizmetlerinin sunulması için talepte bulunan tüm
diğer yetkili ödeme hizmeti sağlayıcılarına gerekli altyapıyı sağlar.


(2) HHS, hesap bilgisi hizmeti ile ödeme emri
başlatma hizmeti kapsamında gelen istekleri gecikmeksizin gerçekleştirir.


(3) HBHS ve ÖBHS’nin gerçekleştirdiği işlemlerde hata
oluşması durumunda HHS, hatanın sebebini açıkça ilgili HBHS ve ÖBHS’ye
bildirir.


(4) HHS, Yönetmeliğin 4 üncü maddesinin birinci
fıkrasının (f) ve (g) bentlerinde yer alan ödeme hizmetlerinin sunulması ile
ilgili olarak, Yönetmelik, bu Tebliğ ve Yönetmeliğin 59 uncu maddesi uyarınca
belirlenen teknik ve operasyonel gerekliliklere uygun şekilde geliştirmeleri
yapmak, bunlara ilişkin teknik özellikleri belgelemek ve bu teknik özelliklerde
yapılacak herhangi bir değişiklik konusunda ilgili tüm tarafları 3 ay öncesinde
bilgilendirmekle yükümlüdür.


(5) HHS, Yönetmeliğin 4 üncü maddesinin birinci fıkrasının
(f) ve (g) bentlerinde yer alan ödeme hizmetlerinin sunulması ile ilgili olarak
HBHS ve ÖBHS’lere yazılımlarını ve uygulamalarını test etmelerini sağlamak için
test ortamı sağlar. Test ortamı aracılığıyla hassas müşteri verisi paylaşılmaz.


(6) Yönetmeliğin 4 üncü maddesinin birinci fıkrasının
(f) ve (g) bentlerinde yer alan ödeme hizmetlerinin, bu madde kapsamındaki
hizmetlerle sınırlı olmak üzere HHS tarafından sunumu, kullanılabilirliği,
performansı ve içerdiği destek hizmeti, HHS’nin müşteriye sağladığı ödeme
hesabına doğrudan çevrim içi erişiminden farksız olmalıdır.


(7) HHS, Yönetmeliğin 4 üncü maddesinin birinci
fıkrasının (f) ve (g) bentlerinde yer alan ödeme hizmetlerinin sunulması ile
ilgili olarak, Yönetmelik, bu Tebliğ ve Yönetmeliğin 59 uncu maddesi uyarınca
belirlenen teknik ve operasyonel gereklilikler kapsamında tanımlanan temel
performans göstergeleri ile hizmet seviyesi hedeflerine uyum sağlar. Performans
göstergeleri ile hizmet seviyesi hedeflerine ilişkin istatistikler düzenli olarak
Bankanın belirleyeceği yöntemle yayımlanır.


(8) HHS, Yönetmeliğin 4 üncü maddesinin birinci
fıkrasının (f) ve (g) bentlerinde yer alan ödeme hizmetlerinin sunulmasında
müşteriye sağladığı ödeme hesabına doğrudan çevrim içi erişim için belirlediği
kural ve gerekliliklere kıyasla, hizmetin amacı dışında akışlar ve pazarlama
faaliyetleri gibi ek zorluklar getiremez.


Oturum özellikleri ve denetim izleri


MADDE 25 – (1) Veri paylaşım servisinin
tarafları, müşteri ile olan bağlantılar da dâhil olmak üzere, uçtan uca güvenli
iletişim kurar ve tüm işlemlerin takip edilebilirliğini garanti eder.


(2) Müşterinin HBHS ve ÖBHS üzerinden HHS ile kurduğu
oturumlar kimlik doğrulamaya dayanır.


(3) Her oturum biricik oturum numarası ve zaman
damgası içerir.


(4) Oturumdaki işlemler işlem numarası, zaman damgası
ve ilgili tüm işlem verilerini içerecek şekilde kontrol alanı ölçüsünde ispat
yükümlülüğüne sahip olan taraflarca güvenli ve ayrıntılı olarak kayıt altına
alınır.


(5) Zaman damgası, 5070 sayılı Kanun kapsamında
tanımlanan zaman damgasına dayanır.


(6) Taraflar açtıkları oturumu kısa tutmaya çalışır
ve işlem biter bitmez kapatır.


Veri paylaşım servislerinde kimlik doğrulama ve
işlem güvenliği


MADDE 26 – (1) Hesap bilgisi hizmetinde,
müşterinin onayının alınması esnasında HHS tarafından müşteriye 10 uncu maddede
belirtilen hükümlere uygun olarak güçlü kimlik doğrulama uygulanır.


(2) Ödeme emri başlatma hizmetinde, HHS tarafından 10
uncu maddede belirtilen hükümlere uygun olarak müşteriye güçlü kimlik doğrulama
uygulanır ve işlem doğrulama kodu ile müşterinin onayı alınır.


(3) Ödeme emri başlatma hizmetinde HHS tarafından
müşteriye güçlü kimlik doğrulama uygulanmasına ilişkin istisna veya ilave
güvenlik önlemleri Banka tarafından Yönetmeliğin 59 uncu maddesi uyarınca
oluşturulan teknik ve operasyonel gereklilikler kapsamında belirlenir.


Veri paylaşım servislerine ilişkin olağanüstü
durum önlemleri


MADDE 27 – (1) HHS, sunduğu veri paylaşım
servislerinin kesintiye uğraması durumunda alacağı önlemleri içerecek
olağanüstü durum planlarını 14 üncü madde uyarınca hazırlayacağı bilgi
sistemleri süreklilik planı kapsamında hazırlar.


(2) Birinci fıkra uyarınca hazırlanacak olağanüstü
durum planları, HBHS ve ÖBHS’lerin bilgilendirilmesine ilişkin iletişim
planları ve kullanılabilecek alternatif erişim yöntemlerini içerir.


(3) HHS, HBHS ve ÖBHS’ler veri paylaşım servislerine
ilişkin önemli olayları Bankaya ivedilikle raporlar.


DÖRDÜNCÜ BÖLÜM


Bilgi Sistemlerinin Bağımsız Denetimi


Bilgi sistemlerinin bağımsız denetimi


MADDE 28 – (1) Bilgi sistemleri bağımsız
denetimi; kuruluşun bu Tebliğ hükümlerine uyum durumunun tespit edilmesi
amacıyla, bilgi sistemleri yönetimi kapsamında yer alan süreç, faaliyet, yazılım,
donanım gibi bilgi sistemi unsurları ile bu sistem ve süreçler dâhilinde tesis
edilen iç kontrollerin bağımsız denetim kuruluşları tarafından
değerlendirilmesi sonucunda, söz konusu iç kontrollerin etkinliği, yeterliliği
ve uyumluluğu hakkında görüş oluşturulması ve sonuçların rapora bağlanması
aşamalarından oluşan süreçtir.


(2) Birinci fıkra uyarınca kuruluşun bilgi
sistemlerine ilişkin yürütülecek denetim faaliyeti Bankacılık Düzenleme ve
Denetleme Kurumu tarafından yayımlanan Bankalarda Bilgi Sistemi Denetimi
Yapmaya Yetkili Bağımsız Denetim Kuruluşları listesinde yer alan bağımsız
denetim kuruluşlarınca yapılır. Banka, gerek görmesi durumunda kuruluş
tarafından, bu listede yer alan bir bağımsız denetim kuruluşundan bu madde
uyarınca bağımsız denetim hizmeti alınmamasına veya bu listede yer almayan bir
bağımsız denetim kuruluşunun kuruluş nezdinde bilgi sistemleri denetimi
yapabilmesine karar vermeye yetkilidir.


(3) Birinci fıkra uyarınca gerçekleştirilen denetim
faaliyetleri sonucunda oluşturulacak raporun denetim dönemini izleyen yılın
Şubat ayı sonuna kadar kuruluş tarafından Bankayla paylaşılması zorunludur.
Banka, kuruluşun talebi üzerine gerekli gördüğü hallerde ilave süre vermeye
yetkilidir. Banka, kuruluş tarafından yapılacak raporlamanın belirleyeceği
yönteme uygun bir şekilde elektronik olarak yapılmasına karar vermeye
yetkilidir. Banka, ihtiyaç duyması halinde bağımsız denetim faaliyetine ilişkin
hususlarda bağımsız denetim kuruluşundan veya kuruluştan ilave açıklama talep
edebilir.


(4) Bağımsız denetim kuruluşu, kuruluşun dış hizmet
alarak gerçekleştirdiği hizmetlerin, bilgi sistemlerini nasıl etkilediğini göz
önünde bulundurur, buna göre gerekli görmesi halinde denetimini dış hizmet
sağlayıcılarını da kapsayacak şekilde planlar ve etkin bir denetim yaklaşımı
geliştirir.


(5) Kuruluşta bilgi sistemleri denetimi iki yılda bir
yapılır. Yeni faaliyet izni alan bir kuruluşa ilişkin birinci fıkra uyarınca
yapılacak ilk denetim faaliyeti, kuruluşa faaliyet izni verilmesini takip eden
yılı kapsayacak şekilde yürütülür. Banka, gerekli gördüğü hallerde bilgi
sistemleri denetiminin kapsamını ve sıklığını farklılaştırabilir.


(6) Banka, bilgi sistemlerine ilişkin yürütülecek
bağımsız denetim faaliyetlerine ilişkin ilke, usul ve esasları belirlemeye
yetkilidir.


(7) 5411 sayılı Kanun kapsamındaki bankalar, Kanun
kapsamındaki faaliyetleri ile ilgili olarak kullandıkları bilgi sistemlerinin
bağımsız denetimi konusunda, sekizinci fıkra hükümleri saklı kalmak kaydıyla,
Bankacılık Düzenleme ve Denetleme Kurumu tarafından 5411 sayılı Kanuna
dayanılarak çıkarılmış olan mevzuata tabidir.


(8) Banka, gerekli durumlarda Posta ve Telgraf
Teşkilatı Anonim Şirketinin ve 5411 sayılı Kanun kapsamındaki bankaların bilgi
sistemlerinin Kanun kapsamındaki faaliyetleri ile ilgili olarak Kanun,
Yönetmelik ve bu Tebliğ hükümleri ile Bankanın talimat ve genelgeleri
çerçevesinde bağımsız denetim kuruluşlarınca denetlenmesini isteyebilir.


Yönetim beyanı


MADDE 29 – (1) Kuruluş, bu Tebliğ
hükümlerinin gereği olarak tesis ettiği iç kontroller hakkında denetim dönemi
itibarıyla güvence veren ve yönetim kurulu ve genel müdür tarafından onaylanmış
yönetim beyanını her denetim döneminde hazırlamakla yükümlüdür.


(2) Bağımsız denetim kuruluşu, denetim görüşünü
oluştururken yönetim beyanını ve bu beyana mesnet teşkil eden çalışmaları
inceler. Bağımsız denetim kuruluşu, bu inceleme sonucunda beyanda eksiklik veya
yanlışlık tespit ederse denetim raporunda bu tespitlere bulgu olarak yer verir.


(3) Denetlenen kuruluşun yönetim beyanını vermeyi
reddetmesi durumunda, bilgi sistemleri denetimi raporunu imzalamaya yetkili
kişiler şartlı görüş bildirebilir, görüş bildirmekten kaçınabilir veya 30 uncu
maddenin beşinci fıkrasında belirtilen şartlar çerçevesinde denetimden çekilmek
için bağımsız denetim kuruluşu yönetimine teklifte bulunabilirler. Bağımsız
denetim kuruluşunun çekilme kararı alması halinde durum gerekçeleri ile
birlikte kararın alındığı tarih itibarıyla en geç yedi iş günü içinde Bankaya
bildirilir.


Denetim görüşünün oluşturulması ve denetim mektubu


MADDE 30 – (1) Bağımsız denetim kuruluşu
tarafından kuruluşta gerçekleştirilen denetim sonucunda; olumlu, şartlı veya
olumsuz görüşe varılması hallerinde, sırasıyla EK-1, EK-2, EK-3’te yer alan
örneklere uygun olarak denetim mektubu düzenlenir. Görüş bildirmekten kaçınmayı
gerektirecek şartların varlığı halinde ise denetim mektubu EK-4’te yer alan
örneğe uygun olarak düzenlenir.


(2) Denetim raporunu imzalamaya yetkili kişiler,
yapılan denetim sonucunda herhangi önemli bir kontrol eksikliğinin bulunmaması
ve denetim kapsamında herhangi bir kısıtlama ya da engelleme ile
karşılaşılmaması durumunda, kendilerine bağlı bağımsız denetim ekiplerinin de
görüşlerini alarak, EK-1’de yer alan örneğe uygun olarak olumlu görüş
bildirirler.


(3) Denetim raporunu imzalamaya yetkili kişiler,
kendilerine bağlı bağımsız denetim ekiplerinin de görüşlerini alarak;


a) Yapılan denetim sonucunda en az bir önemli kontrol
eksikliğiyle karşılaşmalarına rağmen, bu eksikliklerin denetlenenin bilgi
sistemleri ile ödemeler alanı süreç ve sistemlerinin bütününü veya büyük bir
kısmını etkilemediğini düşündükleri,


b) Görüş bildirmekten kaçınmayı gerektirecek önemde
olmamakla birlikte, bilgi sistemleri denetimi faaliyetlerini sınırlayan
herhangi bir hususun varlığı veya yeni tesis edilmiş bir sistem veya süreç
hakkında yeterince bilgi edinememeleri veya,


c) Denetim görüşünün oluşturulması için yeterli ve
uygun denetim kanıtının elde edilememesi,


durumlarında EK- 2’de yer alan örneğe uygun olarak
şartlı görüş bildirirler.


(4) Denetim raporunu imzalamaya yetkili kişiler,
yapılan denetim sonucunda rastlanılan önemli kontrol eksikliklerinin tek
başlarına veya beraber değerlendirildiklerinde;


a) Denetlenenin bilgi sistemleri ile ödemeler alanı
süreçlerinin bütününü veya büyük bir kısmını etkilediğine ilişkin kanaat
edinmeleri veya,


b) Bağımsız denetim kuruluşunun denetlenen bünyesinde
gerçekleştirdiği denetim sonrasında önemli bir kontrol eksikliğinin bütün
önemli taraflarıyla eksik veya yanlış aktarılmasından kaynaklanan bir farklılık
bulunması,


durumlarında kendilerine bağlı bağımsız denetim
ekiplerinin de görüşlerini alarak, EK-3’te yer alan örneğe uygun olarak olumsuz
görüş bildirirler.


(5) Denetim raporunu imzalamaya yetkili kişiler,
denetim çalışmalarında karşılaşılan belirsizlik ve sınırlamaların görüş
belirtilmesini engelleyecek derecede önemli olduğunu düşündükleri durumlarda,
kendilerine bağlı bağımsız denetim ekiplerinin de görüşlerini alarak, bilgi
sistemleri ile ödemeler alanı süreçleri üzerindeki kontroller hakkında görüş
bildirmekten kaçınabilirler. Bu durumda denetim mektubu EK- 4’te yer alan
örneğe uygun olarak düzenlenir. Görüş bildirmekten kaçınma durumunda
düzenlenecek raporda, kaçınmaya yol açan nedenlere ilişkin bağımsız denetim
kuruluşu görüşlerine yer verilmesi şarttır.


(6) Banka, denetim görüşünün oluşturulması ve denetim
mektubuna ilişkin dikkat edilmesi gereken ilke, usul ve esasları belirlemeye
yetkilidir.


BEŞİNCİ BÖLÜM


Çeşitli ve Son Hükümler


Posta ve Telgraf Teşkilatı Anonim Şirketi ve
bankalar ile banka ve kredi kartları


MADDE 31 – (1) Posta ve Telgraf Teşkilatı
Anonim Şirketi sunduğu ödeme hizmetleri ve elektronik para ihracı ile ilgili
olarak 16 ncı madde hariç olmak üzere bu Tebliğ hükümlerine tabidir.


(2) 5411 sayılı Kanun kapsamındaki bankalar sundukları
ödeme hizmetleri ve elektronik para ihracı ile ilgili olarak ödeme
hizmetlerinde kullanılan veri paylaşım servisleri başlıklı üçüncü bölüm ve 28
inci maddenin yedinci ve sekizinci fıkraları hariç olmak üzere bu Tebliğ
hükümlerine tabi değildir.


(3) Banka ve kredi kartları ile ilgili olarak
23/2/2006 tarihli ve 5464 sayılı Banka Kartları ve Kredi Kartları Kanunu ve bu
Kanun uyarınca yapılan düzenlemelerde yer alan hususlara ilişkin olarak bu
Tebliğin ilgili hükümleri uygulanmaz.


Yürürlükten kaldırılan tebliğ


MADDE 32 – (1) 27/6/2014 tarihli ve 29043
sayılı Resmî Gazete’de yayımlanan Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının
Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ yürürlükten
kaldırılmıştır.


Geçiş hükümleri


GEÇİCİ MADDE 1 – (1) Bu Tebliğin
yürürlüğe girdiği tarih itibarıyla faaliyette bulunan kuruluşlar, bu Tebliğ ile
getirilen ve bu Tebliğin 32 nci maddesi uyarınca yürürlükten kaldırılan Ödeme
Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve
Denetimine İlişkin Tebliğde daha önce yer almayan hükümlere, (Değişik ibare:RG-27/6/2023-32234) 30/9/2023 tarihine kadar
uyumlu hale gelmekle yükümlüdür.


(2) Bu Tebliğin yürürlüğe girdiği tarih itibarıyla
nezdinde ödeme hesabı bulunduran ve Banka Ödeme Sistemlerinde 2020 yılı
içerisinde gerçekleştirilen hesaba ödeme işlemleri açısından, toplam adedine
göre ilk on katılımcı arasında yer alan ödeme hizmeti sağlayıcıları, bu
Tebliğin 24 üncü maddesinin birinci fıkrası kapsamında yerine getirmesi gereken
yükümlülükleri (Değişik ibare:RG-27/6/2023-32234) 30/9/2023 tarihine kadar yerine getirir. Banka,
bu süreyi, her defasında altı ayı aşmamak üzere iki kez uzatmaya yetkilidir. (Değişik üçüncü ve dördüncü cümle:RG-28/3/2025-32855)
Bu hükmün yürürlüğe girdiği tarih itibarıyla nezdinde ödeme hesabı bulunduran,
Fonların Anlık ve Sürekli Transferi Sistemine katılımcı olan ödeme hizmeti
sağlayıcıları, bu Tebliğin 24 üncü maddesinin birinci fıkrası kapsamında yerine
getirmesi gereken yükümlülükleri 31/12/2025 tarihine kadar yerine
getirir. Bu hükmün yürürlüğe girdiği tarih itibarıyla nezdinde ödeme hesabı
bulunduran, Fonların Anlık ve Sürekli Transferi Sistemine katılımcı olmayan ve
nezdinde bulunan ödeme hesapları için müşterilerine doğrudan çevrim içi erişim
imkanı sağlayan kuruluşlardan 2024 takvim yılı ödeme hacmi bakımından ilk on
arasında yer alanlar, bu Tebliğin 24 üncü maddesinin birinci fıkrası kapsamında
yerine getirmesi gereken yükümlülükleri 31/12/2025 tarihine kadar,
ilerleyen yıllarda ilk on arasında yer alacaklar ise içinde bulunulan yılın
sonuna kadar yerine getirir. (Ek cümleler:RG-7/10/2023-32332) Nezdinde
ödeme hesabı bulunduran ödeme hizmeti sağlayıcılarının, Kanunun geçici 3 üncü
maddesinin üçüncü fıkrası uyarınca Bankaya faaliyet izni başvurusunda bulunmuş
olup faaliyet izni değerlendirme süreci devam edenler ile Yönetmeliğin 4 üncü
maddesinin birinci fıkrasının (f) ve (g) bentlerinde belirtilen ödeme
hizmetlerini sunmak üzere Bankadan izin almış olan kuruluşlara bu Tebliğin 24
üncü maddesinin birinci fıkrası kapsamında teknik gereklilikleri belirlenmiş
veri paylaşım servisleri ile ilgili sunduğu hizmetleri, standart olmayan
servisleri kullanarak vermesi 30/6/2024 tarihine kadar bu fıkraya aykırılık
olarak değerlendirilmez.


(3) Bu Tebliğin 23 üncü maddesinin altıncı fıkrası
kapsamında teknik gereklilikleri belirlenmiş veri paylaşım servisleri
hizmetleri, (Değişik ibare:RG-27/6/2023-32234) 30/9/2023 tarihine kadar standart olmayan
servisler kullanılarak da verilmeye devam edilebilir. Banka, bu süreyi, altı
ayı aşmamak üzere uzatmaya yetkilidir. (Ek cümle:RG-7/10/2023-32332) Bu
fıkranın uygulanmasında aşağıdaki bentlerde yer alan istisnalar saklıdır:


a) (Ek:RG-7/10/2023-32332) Kanunun geçici 3
üncü maddesinin üçüncü fıkrası uyarınca Bankaya faaliyet izni başvurusunda
bulunmuş olup faaliyet izni değerlendirme süreci devam edenler, bu Tebliğin 24
üncü maddesinin birinci fıkrası kapsamında teknik gereklilikleri belirlenmiş
veri paylaşım servisleri hizmetlerini, 30/6/2024 tarihine kadar standart
olmayan servisleri kullanarak verebilir. Banka, bu süreyi, altı ayı aşmamak
üzere uzatmaya yetkilidir.


b) (Ek:RG-7/10/2023-32332) 5411 sayılı Kanun
kapsamındaki bankalar ile Yönetmeliğin 4 üncü maddesinin birinci fıkrasının (f)
ve (g) bentlerinde belirtilen ödeme hizmetlerini sunmak üzere Bankadan izin
almış olan kuruluşlar, Banka Ödeme Sistemlerinde 2020 yılı içerisinde
gerçekleştirilen hesaba ödeme işlemleri açısından, toplam adedine göre ilk on
katılımcı arasında yer almayan ödeme hizmeti sağlayıcıları nezdinde bulunan
ödeme hesapları ile ilgili olarak bu Tebliğin 24 üncü maddesinin birinci
fıkrası kapsamında teknik gereklilikleri belirlenmiş veri paylaşım servisleri
hizmetlerini 30/6/2024 tarihine kadar standart olmayan servisleri kullanarak
verebilir. Banka, bu süreyi, altı ayı aşmamak üzere uzatmaya yetkilidir.


(4) Bu Tebliğin 23 üncü maddesinin altıncı fıkrası
kapsamında teknik gereklilikleri belirlenmemiş veri paylaşım servisi
hizmetleri, gereklilikler belirleninceye kadar standart olmayan servisler
kullanılarak verilmeye devam edilir. Banka tarafından teknik ve operasyonel
gerekliliklerin belirlenmesinin ardından bu hizmetler için de en geç bir yıl
içerisinde uyum sağlanarak, hizmetler söz konusu gerekliliklere uygun olarak
yürütülmeye başlanır. Banka, bu süreyi, altı ayı aşmamak üzere uzatmaya
yetkilidir.


(5) Banka tarafından bu Tebliğin 28 inci maddesinin
altıncı fıkrası uyarınca gerekli düzenlemeler yapılıncaya kadar bu Tebliğ
uyarınca gerçekleşecek bilgi sistemleri bağımsız denetimi çalışmaları, bu
Tebliğin 28 inci maddesinin ikinci fıkrasındaki koşul hariç olmak üzere,
(Değişik ibare:RG-7/10/2023-32332) BSİSBDHY ile belirlenen usul ve
esaslar çerçevesinde gerçekleştirilir. (Değişik ibare:RG-7/10/2023-32332) BSİSBDHY
ile belirlenen usul ve esaslar bu Tebliğ çerçevesinde uygulanırken (Değişik
ibare:RG-7/10/2023-32332) BSİSBDHY’de geçen banka ve denetlenen
ibareleri kuruluşu, bilgi sistemleri denetimi ibaresi bu Tebliğin 28 inci
maddesinin birinci fıkrasında tanımlanan denetimi ifade eder.


(6) (Ek:RG-7/10/2023-32332) Kanunun yürürlüğe
girdiği tarih itibarıyla, Bankacılık Düzenleme ve Denetleme Kurumu tarafından
para havalesi işleminin taraflarından birinin hizmet sağlayıcısının yurt
dışında olduğu işlemlerin gerçekleştirilmesi, bunun dışında faaliyette
bulunulmaması ve bu faaliyetlerin sadece temsilcilerin gişeleri aracılığıyla
yürütülmesi başta olmak üzere çeşitli önkoşullara bağlı olarak Kanunun 12 nci
maddesinin birinci fıkrasının (ç) bendinde belirtilen ödeme hizmetinin
sunulmasına ilişkin sınırlı şekilde faaliyet izni verilmiş olan kuruluşlar, bu
Tebliğin 21 inci maddesi hükümlerine, Bankacılık Düzenleme ve Denetleme Kurumu
tarafından faaliyet izni verilirken ortaya konulan önkoşullara uyum sağlamaya
devam etmek şartı ile, 30/6/2024 tarihine kadar uyum sağlamakla yükümlüdür. Banka,
bu süreyi, her defasında altı ayı aşmamak üzere iki kez uzatmaya yetkilidir.


Yürürlük


MADDE 33 – (1) Bu Tebliğ yayımı tarihinde
yürürlüğe girer.


Yürütme


MADDE 34 – (1) Bu Tebliğ hükümlerini Türkiye
Cumhuriyet Merkez Bankası Başkanı yürütür.


 


Ekleri için tıklayınız.


 







 



Tebliğin Yayımlandığı Resmî Gazete’nin






Tarihi



Sayısı






1/12/2021



31676






Tebliğde Değişiklik Yapan Tebliğlerin Yayımlandığı
Resmî Gazetelerin






Tarihi



Sayısı






1.     
 



25/11/2022



32024






2.     
 



 28/2/2023



32118






3.     
 



29/4/2023 



32175






4.



 27/6/2023



32234 






5.



7/10/2023



32332






6.



28/9/2024



32676






7.



28/3/2025



32855









 

AvAi

Hukuki AI Asistanı
Merhaba! Ben AvAi, Avarsis Hukuki AI Asistanınız. Size nasıl yardımcı olabilirim?