Elektronik Ödeme Sistemlerinde Veri Güvenliği ve Dayanıklılık

BT Direktörü Hakan Kantaş, Fintechtime Haziran sayısı için yazdı “Elektronik Ödeme Sistemlerinde Veri Güvenliği ve Dayanıklılık”.

“Günümüzde bu kadar yaygın ve kritik hale gelmiş olan elektronik ödeme sistemlerinin dayanıklılığını arttırmak adına şimdiye dek neler yapıldı?

Güvenli bir ödeme ortamının sağlanması ve müşteri güveninin korunması açısından kritik öneme sahip olan elektronik ödeme sistemlerinin sürekliliğini ve güvenliğini sağlamak için alınan önlemleri sizler için özetledim.”

1990’ların başında cep telefonları halk arasında yaygınlaşmaya başladı. O dönemde cep telefonları pahalıydı ve sınırlı bir kullanıcı kitlesi tarafından tercih ediliyordu. Bundan dolayı da her yeni Teknoloji ürünü gibi çok kısıtlı bir kullanıcı kitlesi vardı. Ancak gelişen ve ucuzlayan teknoloji ile 1990’ların ortalarında, cep telefonu kullanımı arttı ve daha fazla kişiye ulaşmaya başladı. Bu dönemde cep telefonlarının boyutları daha büyüktü ve genellikle çantalarda taşınırlardı. Cep telefonlarının işlevleri de daha sınırlıydı ve sadece sesli iletişim ve mesajlaşma için kullanılıyorlardı.

İlk cep telefonu operatörü olan Türk Telekom, hizmetlerini 1994 yılında sunmaya başlamasıyla birlikte hemen öncesinde ülkemize giriş yapmaya başlamış olan cep telefonlarının yaygınlaşma hızı arttı. Hatta 1995 yılında ben de ilk cep telefonumu böyle bir süreçte edinmiş oldum ve %99 oranında da konuşma için kullanmaya başladım.

Ülkemizde 1995’ten sonra yaygınlaşmaya başlayan mobil telefonlar artık hayatın vazgeçilmez bir parçası haline geldiler. İlk çıktıklarında ülkemizde 1000 USD civarında bir fiyata satılan Panasonic ve Nokia gibi örnekler, fiyatları düştükçe ve çeşitler arttıkça hemen herkesin ulaşabileceği cihazlar haline geldiler. O zamanlar tek amaç elbette konuşmak, ulaşılabilir olmaktı ve yıllarca sadece iletişim amacıyla kullanıldılar.

Zaman geçtikte gelişen Teknoloji, müşterilerin beklentileri, rekabet gibi unsurlar sebebiyle telefon dışında fotoğraf çekmek, oyun oynamak için de kullanılmaya başlandılar. 2000’lerin başında, cep telefonu teknolojisinde hızlı bir ilerleme yaşandı. Telefonların boyutları küçüldü, daha hafif hale geldi ve daha fazla özellik eklenmeye başlandı. Renkli ekranlar, MMS mesaj gönderme, melodiler ve basit oyunlar gibi özellikler cep telefonlarına entegre edildi.

GSM teknolojisi, cep telefonlarının iletişim ağlarına bağlanmasını sağladı ve kullanıcıların farklı operatörler arasında geçiş yapmasını kolaylaştırdı. Bu da cep telefonu kullanımını daha da yaygınlaştırdı ve rekabeti artırdı. Bu yıllarda Palm V gibi el bilgisayarları ile cep telefonunu Bluetooth ya da diğer yöntemler ile birbirine bağlayarak senkronize etmek ve günümüzün akıllı cep telefonları gibi kullanmaya çalıştığımı hatırlıyorum. Ancak gerek protokoller ve standartlar ve gerekse cihazların ve iletişim protokollerinin birbirleri ile uyumlu olmaması ne yazık ki bu işlemleri neredeyse imkansız kılıyordu. Hayalimdeki cihazı yani Palm V gibi bir cihazla cep telefonunun entegre edilmiş haline sahip olabilmek için 5-6 yıl kadar daha beklemem gerekiyordu.

2000’lerin ortalarında, akıllı telefonlar piyasaya sürüldü ve cep telefonlarına daha fazla işlevsellik ve internet erişimi sağladı. Bu dönemde, Blackberry, Nokia, Samsung ve iPhone gibi markaların akıllı telefon modelleri popüler hale geldi. Bugün cep telefonları, sadece iletişim aracı olmanın ötesine geçerek çok çeşitli işlevlere sahip cihazlar haline geldi. İnternet erişimi, sosyal medya, mesajlaşma uygulamaları, fotoğraf ve video çekme yetenekleri, oyunlar, müzik ve daha birçok özellik yanında artık mobil ödeme için hayatımızın finansal kısmına da dahil oldular.

Cep telefonları, özellikle son 10 yılda tüm dünyada büyük bir dönüşüm yaşamış ve hızla yaygınlaşmıştır. İnsanların iletişim şekillerini değiştirmiş iş ve kişisel yaşamlarında önemli bir rol oynamış ve teknolojinin gelişimiyle birlikte sürekli olarak yenilenmiştir. Mobil ödeme sistemleri, Türkiye’de 2000’li yılların başından itibaren gelişmeye başladı. İlk başlarda, cep telefonları sadece iletişim araçları olarak kullanılıyor ve ödeme işlemleri için kredi kartları ve nakit para tercih ediliyordu. Ancak, 2010’lu yılların başında mobil ödeme sistemleri Türkiye’de daha fazla popülerlik kazanmaya başladı. Mobil bankacılık uygulamalarının gelişmesi, kullanıcıların Banka hesaplarına cep telefonları aracılığıyla erişebilmelerini ve çeşitli finansal işlemleri gerçekleştirebilmelerini sağladı.

Özellikle akıllı telefonlardaki çok hızlı gelişmelerin de desteğiyle bu tarihlerden itibaren olaylar hızlanmaya başladı. 2013 yılında Türkiye’de Mobil Ödeme Hizmetleri Yönetmeliği yayınlandı. Bu yönetmelik, mobil ödeme hizmeti sağlayıcılarının faaliyetlerini düzenlemek ve güvence altına almak için oluşturuldu. 2014-2016 yılları arasında Türkiye’deki bankaların çoğu, kendi mobil cüzdan uygulamalarını piyasaya sürdü. Bu uygulamalar, kullanıcılara cep telefonları aracılığıyla ödemeler yapma, para transferi yapma, faturaları ödeme gibi işlemleri gerçekleştirme imkanı sağladı. İşte bu olay sürecin çok ciddi olarak hızlanmasına yol açtı.

Bugün sadece ülkemizde değil tüm dünyada mobil ödeme sistemleri giderek yaygınlaşmaktadır. Bankaların mobil uygulamaları, dijital cüzdanlar, QR kod ödemeleri ve NFC teknolojisi gibi çeşitli yöntemlerle mobil ödemeler yapılabilmekte. Ayrıca, bazı üçüncü taraf ödeme hizmet sağlayıcıları da pazarın büyümesiyle birlikte hizmetlerini sunmaya başladılar. Ülkemiz, Teknolojiyi çok hızlı kullanması ve uyarlaması alışkanlığını bu alanda da gerçekleştirmiş ve dünyanın sayılı Teknoloji kullanıcıları arasına girmiştir.

Sayısal ve görsel olarak birkaç istatistik vererek durumu daha detaylı olarak açıklamak isterim. Türkiye Bankalar Birliğinin (TBB) Mart-2023 raporunda yer alan aşağıdaki grafiğe dikkatinizi çekmek isterim. TBB raporuna göre tekleştirilmemiş bireysel ve kurumsal toplam aktif dijital bankacılık müşteri sayısı 99 milyon 519 bin kişiye ulaşmış durumda. Yine tablodan göreceğiniz gibi bunun çok çok büyük bir kısmı yani 87 milyon kişi, 2023’ün ilk çeyreğinde SADECE Mobil Bankacılık işlemi yapmışlar. Bu rakamlar inanılmaz… Evet ülkemiz genç bir nüfusa sahip ancak 100 milyon müşterinin 87 milyonunun sadece mobil işlem yapması bu alanın ne kadar hızlı büyükmekte olduğunu açık ve net olarak gösteriyor.

Aslında tüm bu bilgileri vermekteki amacım, ülkemiz mobil ödeme sistemlerinin değerlendirmesini yapmak değil. Dergimizin bu sayısında bu konu detaylı olarak ele alınıp bu konular kapsamlı olarak inceleniyor. Bu makalede, bankacılık sisteminde bu kadar yoğun kullanımı olan kritik sistemlerdeki veri güvenliğinin ve sürekliliğinin nasıl sağlandığından bahsetmek istiyorum.

Mobil ödeme sistemlerinin yaygınlaşmasında, kullanıcıların güvenliği ve kullanım kolaylığına odaklanılması çok önemli bir etkendir. Mobil ödeme işlemlerinin hızlı ve güvenli bir şekilde gerçekleşmesi için biyometrik kimlik doğrulama, şifreleme teknolojileri ve sahtecilik önleme yöntemleri gibi güvenlik önlemleri benimsenmiştir. Geçmişte bu alandaki tedbirlerin yetersiz olması bazı veri ve maddi kayıplara sebep olmuştu. Ancak kurumlar, bu alandaki yatırımlarını ve Teknoloji kullanımı arttırarak, veri güvenliği ve sürekliliğini ciddi oranda iyileştirmişlerdir.

Mobil ödeme sistemlerinin kritikliği sebebiyle veri güvenliğini ve sistem sürekliliğini sağlamak amacıyla çok sayıda tedbir alınmakta ve çeşitli çözümler uygulanmaktadır. Kullanımın bu kadar yaygın olduğu ve çok ciddi rakamların işlendiği bu yapıların dayanıklılığı tüm kurumların en önem verdiği başlıklardan biri olmak zorunda. Bu konuyu hemen aşağıdaki şekilde bir örnekle desteklemek isterim.

IMF’in 10 Aralık 2021 tarihli ve “Operational Resilience in Digital Payments: Experiences and Issues” adındaki dijital ödeme sistemleri konusundaki raporunda dünya çapındaki çok büyük ve kritik elekrik kesintileri yer alıyor. 2015 yılında ülkemizde de yaklaşık 10 saatlik bir kesinti yaşamıştık hatırlarsanız. İşte o kesinti de bu tabloda yer alıyor. Tüm ülkenin etkinlendiği bu tür olaylara karşı topyekün olarak hazırlıklı olmanın yanında kurumlar da kendi aksiyonlarını planlıyor ve Sürekliliği ve dayanıklılığı sağlamak amacıyla çeşitli tedbirler alıyorlar.

Kurumlarda veri güvenliğini ve kritik sistemlerin Sürekliliğini, yani tüm sistemin dayanıklılığını sağlamak amacıyla çok sayıda alanda çeşitli çalışmalar yürütülmekte, aksiyonlar alınmaktadır. Şimdi gelin bu konuda neler yapıldığı, ne tür aksiyonları alındığını kısaca inceleyelim:

Güvenlik ve Veri Koruma:

Mobil ödeme sistemleri, kullanıcıların finansal bilgilerini ve kişisel verilerini korumak için güçlü güvenlik önlemleri gerektirir. Ödeme kurumları ve bankalar, işlem güvenliğini Garanti altına almak ve veri sızıntısını önlemek amacıyla, müşteri verilerinin güvenliği için veri şifreleme tekniklerini kullanır. Bu teknikler, hassas bilgilerin transferi ve depolanması sırasında verilerin şifrelenmesini sağlar, böylece sadece yetkili kişilerin erişimine izin verilir.

Sistemi kullanan kişinin doğru kişi olduğunu güvence altına almak amacıyla ödeme kurumları ve bankalar güçlü mekanizmalar kullanır. Bunlar, kullanıcı adı ve şifre kombinasyonları, ikinci faktör doğrulama (SMS doğrulama kodları, mobil uygulamalarla doğrulama vb.) veya biyometrik doğrulama gibi yöntemleri içerebilir. Biyometrik doğrulama, parmak izi tarayıcıları, yüz tanıma veya parmak izi okuyucuları gibi özelliklerle kullanıcıların kimlik doğrulaması güçlendirilir. Sahtecilikle mücadele önlemleri olarak, sahtecilik algılama sistemleri ve otomatik olarak şüpheli işlemleri engelleyen yapay zeka tabanlı algoritmalar kullanılır. Tüm bu sistemler ve yapılar en kritik varlığımızı, veriyi korumak ve sadece ilgililerin ulaşabilmesini garanti altına almak amacıyla uygulanır.

Güvenlik Olayları İzleme ve İncelenmesi:

Mobil ödeme işlemlerinin güvenliği için kullanıcıların kimlik doğrulaması önemlidir. Bu nedenle, kullanıcıların güvenilir kimlik bilgileri veya biyometrik verileriyle işlem yapması kritiktir. İşlem sürecinde güvenlik kontrolleri yapılır ve potansiyel risklerin tespiti için analiz ve izleme sistemleri kullanılır. Mobil ödeme işlemlerinde kullanılan iletişim kanalları, güvenli protokollerle korunur. SSL (Güvenli Yuva Katmanı) ve Tokenizasyon teknolojileri bu güvenliği sağlayan en etkin yöntemler arasındadır.

Ödeme kurumları ve bankalar, tedbirleri daha da arttırmak amacıyla sürekli olarak güvenlik incelemeleri ve sızma testleri gerçekleştirir. Bu işlemler, sistemlerindeki güvenlik açıklarını tespit etmek ve düzeltici önlemler almak için yapılan kontrollerdir. Ayrıca, harici güvenlik uzmanları tarafından gerçekleştirilen sızma testleri, sistemin zayıf noktalarını belirlemek için yapılan etkili bir güvenlik değerlendirmesidir. Ödeme kurumları ve bankalar, güvenlik olaylarını izlemek ve incelenmek üzere bir güvenlik bilgi ve olay yönetim sistemi (SIEM) kullanır. Bu sistemler, ağ ve sistemlerdeki potansiyel güvenlik ihlallerini tespit etmek için log verilerini analiz eder ve hızlı yanıt sağlar. Güvenlik olaylarına hızlı müdahale edilerek saldırılar önlenir veya etkileri en aza indirilir.

Veri Güvenliği Standartları, İşbirliği ve Uyumluluk:

Mobil ödeme sistemleri, ulusal ve uluslararası güvenlik standartlarına uygun olarak tasarlanır ve işletilir. Örneğin, PCI DSS (Ödeme Kartı Endüstrisi Veri Güvenliği Standartları) gibi standartlar, kart verilerinin güvenliğini sağlamaya yönelik gereklilikleri belirler. Bağımsız denetimler ve sızma testleri gibi önlemler, mobil ödeme sistemlerinin güvenlik seviyelerinin değerlendirilmesini ve iyileştirilmesini sağlar. Bu tür denetimler, potansiyel güvenlik açıklarını tespit etmek ve düzeltici önlemler almak için düzenli aralıklarla gerçekleştirilir. Bu gereklilikleri karşılamak, kart bilgilerinin güvenliği konusunda önemli bir adımdır.

Mobil ödeme sistemleri, işletmeler, finansal kuruluşlar ve hükümetler arasında işbirliği gerektirir. Bu alanda faaliyet gösteren paydaşlar, güvenlik konularını birlikte ele alır ve sektör standartlarının oluşturulması için çalışır. Regülasyonlar, mobil ödeme sistemlerinin güvenliğini sağlamak ve kullanıcıların korunmasını garanti altına almak amacıyla oluşturulur. Hükümetler, ödeme sektöründe güvenlik ve denetim konularında düzenlemeler yapar ve mobil ödeme sağlayıcılarının belirli standartlara uymasını sağlar.

Bu önlemler, mobil ödeme sistemlerinin kritikliğini ve sürekliliğini sağlamaya yönelik olarak uygulanmaktadır. Güvenlik, veri koruma, işlem güvenliği, altyapı ve sistem güvenliği, sektör standartları, denetimler, eğitim ve işbirliği gibi alanlarda sürekli olarak gelişmeler ve iyileştirmeler yapılmaktadır. Bu sayede kullanıcılar ve işletmeler, güvenli ve sorunsuz bir şekilde mobil ödeme sistemlerini kullanabilmektedir. Ayrıca, ulusal ve uluslararası düzenlemelere uyumu sağlamak ve endüstri standartlarını takip etmek önemlidir.

Veri Yedekleme ve Sistem Sürekliliği:

Mobil ödeme sistemlerinin sürekliliğini sağlamak için yedekli ve güvenli altyapılar kullanılır. Veri merkezleri ve sunucular, yüksek erişilebilirlik ve veri kaybını önlemek amacıyla kritik yedeklemelerle desteklenir. Sistem güncellemeleri ve yama yönetimi düzenli olarak gerçekleştirilir. Bu, bilinen güvenlik açıklarının giderilmesini ve sistemlerin güncel ve güvende kalmasını sağlar.

Sistemlerindeki veriler düzenli olarak yedeklenerek ve süreklilik planları oluşturularak, veri kaybı veya hizmet kesintisi durumunda iş sürekliliği sağlanır. Bu, müşteri bilgilerinin korunmasını ve hizmetlerin sürekli olarak sunulmasını sağlar.

Veri Yedeklemesi: Elektronik ödeme sistemlerindeki önemli verilerin yedeklenmesi, veri kaybı durumunda verilerin kurtarılmasını sağlar. Yedekleme stratejileri genellikle aşağıdaki unsurları içerir:

• Düzenli Yedeklemeler: Ödeme sistemlerindeki verilerin düzenli aralıklarla yedeklenmesi önemlidir. Bu yedeklemeler, günlük, haftalık veya aylık olarak yapılabilir ve önemli veri kaybını en aza indirmek için sık sık güncellenmelidir.
• Tam ve Artımlı Yedeklemeler: Tam yedeklemeler, sistemin tamamının yedeklenmesini içerir. Artımlı yedeklemeler ise sadece değişen veya eklenen verilerin yedeklenmesini sağlar. Bu yöntem, yedekleme süresini azaltır ve kaynak kullanımını optimize eder.
• Dağıtılmış Yedekleme: Verilerin birden fazla konumda depolanması, veri güvenliğini artırır ve tek bir noktadaki veri kaybı durumunda yedekleme kopyalarının kullanılmasını sağlar.
• Offsite Yedekleme: Verilerin orijinal sistemden bağımsız bir şekilde farklı bir konumda depolanması, doğal afetler, hırsızlık veya fiziksel hasar gibi risklere karşı koruma sağlar. Bu yedekleme, verilerin bulutta depolanması veya harici bir veri merkezinde tutulması şeklinde olabilir.

Süreklilik Planları: ISO 22301 – İş Sürekliliği Yönetim Sistemi standardı, bu konuyla ilgili yapılması gereken aksiyonları ve detayları içeren standartlar bütünüdür. Sürekliliği garanti altına almak amacıyla ilgili kurumlarda genellikle ISO 22301 uygulanır.

Elektronik ödeme sistemlerinde süreklilik planları, sistemin kesintiye uğradığı durumlarda hızlı bir şekilde normal işleyişe dönmek için hazırlık yapmayı amaçlar. Süreklilik planları genellikle aşağıdaki unsurları içerir:

• İş Süreklilik Planı (BCP): İş süreklilik planı, ödeme sisteminin devamlılığını sağlamak için bir dizi adım ve süreci içerir. Bu planlar, kriz yönetimi, acil durum planlaması, iş sürekliliği testleri ve iş sürekliliği ekipleri gibi unsurları içerir.
• Felaket Kurtarma Merkezi: Ödeme sistemlerindeki işlemlerin devam etmesini sağlamak için felaket kurtarma merkezleri oluşturulur. Bu merkezler, ana sistemlerde bir kesinti olduğunda operasyonların sürdürülmesini sağlamak için hazır tutulan yedek sistemleri içeren merkezlerdir.
• Acil Durum Eylem Planı: Acil durum eylem planları, beklenmeyen durumlar veya kesintiler sırasında hızlı bir tepki verilmesini sağlar. Bu planlar, ekipler arasında rollerin ve sorumlulukların net bir şekilde belirlendiği, iletişim kanallarının kurulduğu ve önemli süreçlerin belirlendiği ayrıntılı bir planı içerir.
• İş Sürekliliği Testleri: Süreklilik planlarının etkinliğini değerlendirmek ve sistemin gerçek bir kriz durumunda nasıl yanıt vereceğini test etmek için düzenli iş sürekliliği testleri yapılır. Bu testler, sahte bir kriz senaryosunun canlandırılması, sistemlerin alternatif iş merkezlerine geçişinin test edilmesi veya yedekleme kopyalarının geri yüklenmesi gibi adımları içerir.
• Veri Kurtarma Planı: Elektronik ödeme sistemlerindeki veri kaybı durumunda verilerin kurtarılmasını sağlamak için ayrı bir veri kurtarma planı oluşturulur. Bu planlar, yedeklenen verilerin hızlı bir şekilde geri yüklenmesini, veri bütünlüğünün kontrol edilmesini ve süreçlerin normal işleyişe dönmesini içerir.
• Olay Yönetimi: Kesinti veya saldırı durumlarında, ödeme kurumları ve bankaların olay yönetimi süreçleri devreye girer. Olay yönetimi, hızlı tepki verme, sorunların tespiti ve düzeltici önlemlerin uygulanmasını içerir. Bu süreçler genellikle bir olay yönetim ekibi tarafından yönetilir ve güvenlik olaylarına karşı etkin bir müdahale sağlar.

Bu tedbirler, elektronik ödeme sistemlerinin sürekliliğini ve güvenliğini sağlamak için alınan önlemlerdir. Yedekleme ve süreklilik planları, ödeme kurumlarının veri kaybı, kesinti veya saldırı durumunda hızlı bir şekilde yanıt verebilmesini ve iş sürekliliğini sürdürebilmesini sağlar. Bunlar, güvenli bir ödeme ortamının sağlanması ve müşteri güveninin korunması açısından kritik öneme sahiptir. Tüm bu tedbirlerin bütününü Dayanıklılık olarak adlandırıyoruz. Günümüzde bu kadar yaygın ve kritik hale gelmiş olan elektronik ödeme sistemlerinin dayanıklılığını arttırmak adına neler yapıldığı konusunda sizlere özet bir aktarım yaptım. Tüm bu sistemlerin hepsi sizler, güvenliğiniz ve ihtiyacınız olduğu anda her zaman bu sistemlere erişebilirliğinizi sağlamak amacıyla yapılıyor. Eskiden tereddütleriniz varsa bile artık bu sistemleri gönül rahatlığıyla kullanabilirsiniz.