BT Direktörü Hakan Kantaş, Fintechtime Temmuz sayısı için yazdı “Açık Bankacılık ve Riskleri: Verilerimiz Gerçekten Güvende mi?”.
“Açık bankacılık güvenli bir sistemdir. Tabii ki değerlendirme kriterine ya da bakış açısına göre değişebilir ancak bazılarına göre geleneksel bankacılık yöntemlerinden bile daha güvenli olabilir. Açık bankacılık, müşteri verilerinin güvenliğini sağlamak amacıyla API’ler ve şifreleme gibi güvenilir veri paylaşım tekniklerini kullanır. Bu uygulamalar dışarıya açık oldukları için genellikle kurum içinde kullanılan geleneksel güvenlik önlemlerinden daha gelişmiş ve güvenli olarak değerlendirilebilir.”
Finans Sektörü hepimizin bildiği üzere her zaman teknolojiyi en Iyi ve en etkin kullanan bir sektör olmuştur. Avrupa ve Amerika, en yeniyi, en yüksek teknolojiyi bankacılık sistemlerine adapte etme konusunda daima daha kontrollü ve tedbirli olmuş, bu konudaki ilk örnekleri gördükten sonra hareket etmeyi neredeyse bir kural olarak benimsemiştir. Onlar için önemli olan hizmetin o ya da bu şekilde veriliyor olmasıdır.
Yeni teknolojilerin sektöre uyarlamasını sağlayan Dijital Dönüşüm ise yukarıda saydığımız kriterler sebebiyle ülkemizde en çok da bankacılık ve finans sektöründe uygulandı. Bu uygulama alanlarından biri de Açık Bankacılık. 2020 yılından itibaren kurum ve işletmelerin tüm hesaplarını tek platform üzerinden yönetebilmesini olanaklı kılan bu yapı, aslında teknik bir kavram olan API Bankacılığı olarak da adlandırılmakta. Aslında Açık Bankacılık çok da güzel bir ifade ve kavramı, konuyu gayet güzel ve net olarak anlatıyor.
Günümüzde bankacılık sektörü, teknolojik gelişmeler ve dijital dönüşümle büyük bir değişim yaşıyor. Açık bankacılık’ın, finansal kurumların müşteri verilerini ve hizmetlerini güvenli bir şekilde diğer finansal kurumlarla paylaşmasını sağlayan bir yaklaşım olduğunu yukarıda söylemiştik. Ancak, bu yeni model beraberinde bazı riskleri de getirmektedir. Bu makalede, açık bankacılığın ne olduğundan ziyade bu alandaki potansiyel riskleri ve bu risklere karşı alınması gereken tedbirleri kısaca değerlendirmeyi hedefliyoruz.
Açık Bankacılığın Avantajları
Açık bankacılık yaklaşımının temelinde API’lar (Application Programming Interfaces) bulunur. API’lar, farklı sistemlerin birbiriyle iletişim kurmasını sağlayan arayüzlerdir. Açık bankacılık, müşterilere daha fazla seçenek sunarak finansal hizmetlere erişimi kolaylaştırırken, finansal kurumların da daha yenilikçi ürünler ve hizmetler sunmasına imkan tanır. Kurumlar arası bağlantılar bu API’lar aracılığıyla gerçekleştirilir. Dünyada Açık Bankacılık konusunda çok sayıda regülatif çalışma yer almaktadır. Bu çalışmaları ve olgunluk seviyelerini, Resim-1’de yer alan grafikte inceleyebilirsiniz. Ülkemiz, regülasyon konusunda aksiyon alan dünyanın sayılı ülkeleri arasında yer alıyor.
Resim-2’de yer alan, 2022 yılında yayınlanan “Türkiye Fintek Ekosistemi Durum Raporu” ‘undan aldığım tabloda da göreceğiniz üzere 2016 yılında yayınlanan Ödeme Hizmetleri Yönergesi 2 (PSD2) ile Açık Bankacılık’ın yolu açıldı. Özellikle 2019’dan sonra hız kazanan bu Teknoloji, artık ülkemizde de hemen her Banka tarafından verilen bir hizmet.
Açık bankacılık güvenli mi?
Evet, Açık bankacılık güvenli bir sistemdir. Tabii ki değerlendirme kriterine ya da bakış açısına göre değişebilir ancak bazılarına göre geleneksel bankacılık yöntemlerinden bile daha güvenli olabilir. Açık bankacılık, müşteri verilerinin güvenliğini sağlamak amacıyla API’ler ve şifreleme gibi güvenilir veri paylaşım tekniklerini kullanır. Bu uygulamalar dışarıya açık oldukları için genellikle kurum içinde kullanılan geleneksel güvenlik önlemlerinden daha gelişmiş ve güvenli olarak değerlendirilebilir. Bunun yanında, Açık bankacılık düzenlemeleri, üçüncü taraf hizmet sağlayıcılar tarafından gerçekleştirilen katı güvenlik değerlendirmelerinden geçmesini ve veri koruma standartlarına da uyumu gerektirir. İşte bu sebeplerle tümüyle kurum içinde kalan geleneksel yöntemlerden daha fazla güvenlik sağlar.
Açık bankacılığı mümkün kılan teknoloji, bankaların kendi uygulama programlama arayüzleridir (API). Bu arayüzlere üçüncü taraf ödeme sağlayıcıları tarafından erişilir ve hesaplarda yer alan bilgileri doğrulamak ya da ödemeleri hesaplar arasında taşımak amacıyla bu API’lar kullanılır. Açık bankacılık teknolojisinin kullanıldığı API uç noktalarının, bankaların kendileri tarafından tasarlanıp yazılmış olması, güvenlik konusunda büyük bir güvence sunmakta.
Güvenilir API Teknolojisi
API teknolojisi uzun yıllardır kullanılan bir Teknoloji olduğu için güvenliğini kanıtlamış bir yapıdır. Bir de bunun tümüyle kurumlar içinde geliştirildiğini düşünürsek herhangi bir veri sızıntısı riskinin daha da düşük olduğunu söyleyebiliriz. Bunun yanında Açık bankacılık teknolojisi, müşteri finansal verilerine erişmek için parolaların ve kullanıcı kimlik bilgilerinin paylaşılmasını gerektirmediği için güvenirliliği arttırır. Resim-3’te API Türleri ve özellikleri detaylı olarak ele alınmıştır.
Bu kadar sıkı kontrol ve güvenlik sebebiyle ortaya çıkan düşük risk, açık bankacılığın en önemli yönlerinden biridir. Bu güvenlik ve kontroller sadece API yönetimi düzeyine has değildir. Bankalar, verilerin güvenli ellerde kalmasını sağlamak ve son kullanıcıları incelemek için ek aksiyonlar da alırlar, bu aksiyon da bu teknolojideki riski daha da düşürür.
Mevcut güvenlik teknolojisi
Buradaki güvenlik ifadesi, “açık bankacılık” terimine rağmen, söz konusu gerçek verilerin – yani banka hesabının ayrıntılarının – hala banka hesabının sahibine ait olduğu gerçeğine dayanmaktadır. Banka hesabı ile düzenlemeye tabi bir üçüncü taraf (üçüncü taraf ödeme sağlayıcısı gibi) arasındaki tüm bağlantıların hesap sahibi tarafından yetkilendirilmesi gerekir. Yani hesap sahibi bilgilerini kiminle paylaşacağı kararını kendisi verir ve gerekli tanımları yaparak bu izni sağlar.
Güçlü Müşteri Kimlik Doğrulaması (SCA) ve Onay Yönetimi gibi özellikler bu noktada çok önemlidir. Gerekli tanımlarla kontrol banka müşterilerine verilir ve onların bilgisi dışında hiçbir veriye erişilmemesi sağlanır. Üçüncü taraf finansal hizmet sağlayıcılar ise, bankaların kendileriyle veri alışverişi yapabilmeleri için gerekli veri güvenliği prosedürlerini en başta sağlamakla yükümlüdür.
Katı düzenlemeler
Açık bankacılığı kullanabilen işletmelerin tümü, verilerinizi güvende tutmak için regülasyonlarla belirlenen, takip ve kontrol edilen sıkı kurallara ve katı standartlara göre düzenlenir ve yönetilir.
Bir kuruluş bu şekilde yetkilendirildikten sonra, beklenen standartları sürdürdüklerinden emin olmak için düzenli güvenlik kontrollerine ve denetime tabi olacaktır. Tüm bu kontroller, regülasyonlar, denetimler ve sıkı takip, açık bankacılığın güvenli olduğunu ve ödeme platformları ile çalışmanıza ve açık bankacılığın sunduğu her şeyden gönül rahatlığıyla yararlanmanıza imkan sağlayacaktır.
Genel olarak, tüm sağlayıcılar veri koruma kurallarına uymalıdır. Sağlayıcı, müşterilerin onayını vermeden önce müşterilere verilerin nasıl, ne kadar süreyle kullanılacağını ve verilerle ne yapacaklarını söylemekten sorumludur.
Bu durum, açık bankacılık API’lerinin müşterilere mali bilgileriyle ilgili şeffaflık ve kontrol sağlayarak verilerini ve nasıl paylaşıldığını daha iyi anlamalarını sağlayacaktır. Düzenlenmiş açık bankacılık altyapısında müşteri verilerinin güvenliği garanti edilir.
Açık Bankacılık Riskleri
Açık bankacılık modeli, müşteri verilerinin farklı finansal kurumlar arasında paylaşılmasını gerektirir. Bu durum, veri güvenliği risklerini artırır. Bugün bankalar için en büyük risklerden biri müşteri verilerinde kaçak ya da sızıntı yaşanmasıdır. İstenildiği kadar şifrelensin ya da korunsun, müşteri bilgilerinin sızıntı riski regülasyonlarla da kontrol altındadır. Bu yüzden ülkemiz bankalarında Public ya da Hybrid Cloud kullanımı BDDK tarafından yasaklanmıştır. Veri sızıntısını engellemek bugün finansal kurumların en kritik aksiyonlarından biridir. İşte bu amaçla finansal kurumlar tüm müşteri verilerini kurum içinde, kurum veri merkezlerinde tutup bu verileri gerekli olmadıkça paylaşmayarak veri sızıntısı riskini en aza indirmeyi hedeflemektedir.
Ancak Açık Bankacılıklar gelen API teknolojisi ne kadar güvenilir olursa olsun bir takım müşteri verilerinin o ya da bu şekilde kurum dışına çıkmasına sebep olur. İşte potansiyel riskler de bu noktada gündeme gelmeye başlar. Resim-4’te potansitel risklerin daha çok nerelerden hangi aşamada ortaya çıktığı yer almaktadır.
Şimdi gelin söz konusu riskleri ve bu risklere karşı alınabilecek tedbirlerin bir kısmını aşağıdaki başlıklar altında inceleyelim.
Veri Güvenliği Riski
Açık bankacılık, finansal kurumların müşteri verilerini paylaşmasını gerektirdiği için veri güvenliği riski taşır. Bu verilerin bir şekilde kötü niyetli kişilerin eline geçmesi, kimlik hırsızlığı, dolandırıcılık ve zarar verecek saldırılara yol açabilir. Finansal kurumlar, güçlü veri koruma önlemleri alarak ve güvenli şifreleme tekniklerini kullanarak bu riskleri minimize etmelidir. Bu konuda uygulanabilecek tedbirlerin bazılarını şöyle ele alabiliriz.
- Güçlü Şifreleme: Finansal kurumlar, veri paylaşımında güçlü şifreleme tekniklerini kullanırlar. Verilerin kurumlar arasında taşınırken ve depolanırken şifrelenmesi, yetkisiz erişimi engelleyerek veri güvenliğini sağlayacaktır.
- Yetkilendirme ve Kimlik Doğrulama: Müşteri kimliklerini doğrulama ve yetkilendirme süreçlerinde mümkün olan en yüksek güvenlik yöntemleri kullanılır. API’ler arasındaki iletişimde bir kimlik doğrulama gereksinimi olmaması bir avantaj olmakla birlikte yetkilendirme aşamasında her türlü özel yetki ve tanımın göz ardı edilmemesi riskleri ciddi seviyede azaltacaktır. Bu noktada istisna ve özel amaçla verilen özel yetkilerin aktif takibi çok kritiktir.
- Veri Gizliliği Politikaları: Veri işleme politikaları bugün mevcut şartlar altında işlenen verileri ele almakta ve buna yönelik standartlar getirmektedir. Ancak İsrail gibi bazı ülkelerde çıkarılan bazı kanunlar Açık Finans’tan bahsetmekte dolayısıyla söz konusu politikaların daha geniş çapta alınması gerekliğini ortaya çıkmaktadır. İşlenen verileri sadece bugün için değil yarını da düşünerek değerlendirmelerimizi buna göre yapmalıyız.
Teknoloji Riski (Operasyonel Risk)
Açık bankacılık, birden fazla finansal kurumun birbirleriyle entegre olmasını gerektirdiği için operasyonel riskleri arttıracak bir altyapı sunmaktadır. Özellikle veri paylaşımı ve sistem entegrasyonu aşamalarında yaşanan hatalar, kesintiler ve teknik sorunlar, hizmet kalitesini olumsuz etkileyebilir. Bu potansiyel olaylar ve riskler göz önüne alınarak finansal kurumlar, güçlü bir teknoloji altyapısı ve etkin risk yönetimi politikalarıyla bu riskleri kapsamlı olarak ele almalıdır.
- Teknolojik Altyapı: Bugün hem tüm finansal kurumlarım çok güçlü teknoloji altyapılara sahip olduğunu söyleyebiliriz. Yüksek performanslı ve güvenilir sistemler, veri paylaşımı ve entegrasyon süreçlerinde sorunsuz bir deneyim sağlar. Bu sebeple teknolojik altyapıda zayıf olunan noktalar da mümkün olan en kısa zamanda güçlendirilmelidir.
- Sürekli İyileştirme ve Test Etme: Yönetişim yapısının getirdiği sürekli iyileştirme, bugün operasyonel süreçlerini iyileştirmek amacıyla da uygulanmalı ve hemen paralelinde bu yapıları test etme yaklaşımını benimsemelidir. Böylelikle, risklerin ve hataların erken tespit edilmesi ve düzeltilmesi sağlanabilecektir.
- Acil Durum Planları: İş Sürekliliği Yönetim sisteminin bir parçası olan Acil Durum Planları, olası kesinti veya hizmet aksaklıklarına karşı geliştirilmeli ve uygulamalıdır. Bu planlar, hızlı müdahale ve süreklilik sağlama konusunda finansal kurumlara rehberlik sağlayacaktır.
Müşteri Güveni Riski
Açık bankacılığın başarısı müşteri güvenine bağlıdır. Müşteriler, finansal kurumların verilerini güvende tutacaklarına ve doğru şekilde kullanacaklarına dair güvenceye ihtiyaç duyarlar. Hangi kurumdan kaynaklanırsa kaynaklansın gündeme gelebilecek veri ihlalleri veya kötü niyetli kullanımlar, müşteri güvenini zedeler ve açık bankacılık modelinin benimsenmesini ve yaygınlaşmasını engeller. Son yıllarda Digital Trust olarak da adlandırılan Müşteri Güveni aslında en kritik risktir. Çalıştığı kuruma güvenini kaybeden müşteri o kurumdan ayrılmakla kalmaz, orada yaşadığı riski diğer kuruma da taşır yani yaşanan ne ise yeni çalışmaya başladığı kurumda da o hizmeti kullanma konusunda ciddi çekinceler yaşar. Açık Bankacılık kaynaklı bir sorun bu yapının kullanımında da olumsuz rol oynayabilir. Böylesine bir riski azaltmak adına atılabilecek adımları aşağıdaki şekilde inceleyebiliriz.
- Şeffaflık ve İletişim: Açık bankacılık hakkında müşterilere şeffaf bir şekilde bilgi verilmelidir. Veri paylaşımı süreci, kullanılan güvenlik önlemleri ve müşteri verilerinin nasıl kullanıldığı hakkında net ve anlaşılır bir iletişim sağlanması müşterinin güvenini kazanmak adına çok önemli bir adımdır. Konuyu, süreci, olası riskleriyle birlikte olduğu gibi müşteriye anlatmak ileride yaşanabilecek bir olay karşısında müşterinin daha anlayışlı olmasını sağlayacaktır.
- Güvenlik Bilinci ve Eğitim: Kurum, çalışanlarına genel anlamda güvenlik bilinci ve eğitim programları sunmalıdır. Böylece, potansiyel güvenlik tehditlerini fark etme ve doğru şekilde yanıt verme konusunda çalışanların bilinçlenmesini sağlayacaktır.
- Veri Gizliliği İhlallerine Hızlı Yanıt: Kurumlar, veri ihlali veya güvenlik açığı durumunda hızlı ve etkili bir şekilde yanıt vermeli ve müşterileri bilgilendirmelidir. Kriz yönetimi, etkili iletişim ve etkili bir olay yanıt planı, müşteri güvenini korumaya destek olacaktır. Ancak günümüzde kurumların, bu konuda yani müşterilerini bilgilendirme konusunda oldukça ağır davrandıklarını görüyoruz. Bu uygulama ise ne yazık ki müşterilerin çalıştıkları kurumlara güvenini daha ciddi ve olumsuz seviyede etkilemekte.
Süreç Riski
Hizmetlerin karmaşıklığı arttıkça süreç riski de artar. Bir müşteri, bir banka ve bir üçüncü tarafın dahil olduğu en basit işlemde (örnek akış Resim-4’te yer almaktadır) bile müşteri verileriyle ilgili çok sayıda risk gündeme gelebilir. Üçüncü taraf sağlayıcı (TPP) tarafından kötüye kullanım, operasyon kontrollerinin olmaması, müşteri verilerinin nasıl kullanıldığının izlenememesi, tüm taraflar arasında sorumluluk riskinin belirsizliği ve cihazlar arasında veri güvenliği gibi çeşitli riskler vardır. Çok sayıda Teknoloji, ürün, taraf, müşteri ve alt müşteri içeren akışlar beraberinde karmaşık süreçler gerektirirler. Bir süreç de ne kadar karmaşık olursa taşıyacağı risk o seviyede yüksek olacaktır. Dolayısıyla bu noktada mümkün olduğu kadar sade ve basit süreçler hedeflenmelidir.
Sonuç olarak, açık bankacılık modeli günlük hayatımızı zenginleştirecek çok sayıda avantaj sunarken beraberinde Teknoloji kullanımı sebebiyle bazı riskleri de getirir. Finansal kurumların, veri güvenliği, süreçler, operasyonel riskler ve müşteri güveni konuları düzenli risk analizleri yapması önerilir. Risk değerlendirmeleri sonucundaki belirlenen riskler kapsamında tedbirler alması ve etkili bir risk yönetimi stratejisi izlemesi önemlidir. Bu sayede açık bankacılık, daha güvenli ve sürdürülebilir bir şekilde gelişip, ilerleyecektir.