Mert Çakar
TurkishBank Bilgi Güvenliği Yönetimi Direktörü
TurkishBank Bilgi Güvenliği Yönetimi Direktörü Mert Çakar, Fintechtime okurları için kaleme aldı, “Finansal Piyasalarımızdaki Son Dönemde Gerçekleşen Önemli Mevzuat Değişiklikleri”.
Son dönemde ülkemiz finans sektörünün gelişimi için çok önemli mevzuat değişiklikleri için yoğun çalışmalar yapılmaktadır. Öncelikle bu süreçte BDDK, TCMB ve SPK gibi oldukça proaktif davranan düzenleyicilerimiz olduğu için finansal piyasa paydaşları olarak şanslı olduğumuzu düşünüyorum.
İlgili çalışmalara sektör paydaşları olarak çeşitli meslek grupları çalıştaylarında bizler de katkı sağlamaya çalışıyoruz. Zira finansal piyasalar yatayında, kullanılabilecek teknolojiler ile harmanlaştırarak müşterilerimize iyi züzeyde bir müşteri deneyimi yaşatmaya çalışıyoruz. Bunun doğal çıktısı olarak, özellikle finansal teknoloji boyutunda dünyadaki bankacılık sektör deneyimlerinin oldukça üzerinde bir hizmet modeli sunuyoruz.
Bu noktada, finansal piyasalar sektörlerinde son dönemdeki gerçekleştirilen önemli mevzuat değişiklikleri ve bunların sektörlerimize nasıl yön verebileceği hakkında dikkatlerden kaçmaması adına önemli konu başlıkları halinde aşağıda kısaca iletmeye çalıştım.
Mevzuat değişiklik çalışmalarına 2018 yılında başlanan ve BDDK tarafından hazırlanarak tüm sektör paydaşlarımızın çok önemli katkıları ile oldukça olgun bir süreç dahilinde oluşturulan “Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik” ile başlatılan, günümüz ve gelecekte oluşabilecek ihtiyaçlara cevap veren mevzuat değişiklikliklerini, sektörümüz açısından çok önemli olan bir diğer Kanun “6493 Sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun” değişiklikleri takip etti.
Akabinde 25.02.2020 Tarih ve 31050 Sayı ile Resmi Gazete’de yayınlanarak yürürlüğe giren “7222 Bankacılık Kanunu İle Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun” dahilinde sektörümüzde uygulamada önemli gelişmeler yaratacak ve sektörel beklentileri destekleyen kritik değişiklikler izledi.
Tabi tüm bu değişiklikler ile henüz tamamlanarak yayınlanmamış diğer önemli mevzuat değişikliklerini de genel anlamda içermekte olan bir nevi temel strateji yapısını oluşturan “04.11.2020 Tarih ve 30938 Sayı ile Resmi Gazete’de yayınlanarak yürürlüğe giren “2020 Yılı Cumhurbaşkanlığı Yıllık Programı”nı ele almak yerinde olacaktır.
Bankacılık Düzenleme ve Denetleme Kurumu tarafından 25.12.2018 tarihinde ilk taslak hali verilerek görüşe açılan, 15.03.2020 Tarih ve 31069 Sayı ile Resmi Gazete’de yayımlanarak yürürlüğe giren “Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik”dahilindeki önemli konu başlıkları aşağıdaki gibidir.
- Madde özelinde “Açık Bankacılık Servisleri”nin ele alınmış olup, bu Yönetmelik maddesi ile en önemli değişikliklerden biri olan Açık Bankacılık Servislerinin bankacılık sektörü ile 6493 Sayılı Kanun kapsamında hizmet veren Elektronik Para Kuruluşları tarafından verilebilecek finansal hizmetlerin önü açılmıştır. Bu noktada maddenin 2. fıkrasında da belirtildiği üzere mevzuata girmiş olan açık bankacılık servislerinin yönetişimi için usul ve esasların Kurum tarafından düzenlenecektir. Bu minvalde sektörel olarak çalışma grupları oluşturulmuş ve çeşitli çalıştaylar düzenlenerek tüm detayların yer aldığı “Çalışma Grubu Raporları” oluşturulmuştur.
- Madde özelinde “Uzaktan Kimlik Tespiti” yöntemlerinin kullanılabilmesi ve “Üçüncü Tarafa Güven” ilkesi dahilinde daha önce kimlik tespitinde bulunmuş başka bir bankadan açık bankacılık servisleri aracılığıyla ilgili hizmetin alınabileceği düzenlenmiştir. Bu sayede müşteri adaylarının, müşteri kaydı oluşturmak için fiziksel olarak banka şubelerine gitme zorunluluğu ortadan kaldırılmıştır. Ayrıca başka bir bankada daha önce müşteri kaydı olan bir müşteri adayının, bankalar arasındaki oluşturulacak yapı dahilinde müşteri kayıtlarının müşterinin talebi ile elektronik ortamlarda paylaşılabileceği ve doğrudan müşteri olabileceği bir yapı kurulabilecektir.
- Yönetmelik dahilinde “Biyometrik Kimlik Doğrulama Bileşeni” tanımı yapılmış ve müşterilere sunulan elektronik bankacılık hizmetlerinde “Biyometrik Kimlik Doğrulama” yapısının ne şekilde kullanılabileceği detaylı olarak ele alınmıştır. Bu sayede önümüzdeki dönemde müşteri deneyimleri gözetilerek, daha yüksek güvenliği uygulama kolaylığı ile birleştiren sektör uygulamalarının daha fazla “Biyometrik Kimlik Doğrulama” fonksiyonlarının geliştirileceği bir süreç yaşanacaktır.
- Madde 8. Fıkra dahilinde yapılan düzenleme ile birlikte bankaların elektronik ortamda müşterilerine sunacağı “hassas ve/veya sır niteliğinde veri içeren” tüm belgeleri (ekstre, dekont, hesap özeti vb.) elektronik bankacılık hizmeti sunulan kanallar üzerinden gönderilmesi düzenlenmiştir. Bu noktada bankalar, elektronik mecralarda müşterilerine iletmek zorunda olduğu, hassas ve/veya sır niteliğinde veri içeren bilgilendirme çıktılarını (ekstre, dekont, hesap özeti vb.) mevcut durumda olduğu gibi e-posta / SMS servisleri ile iletemeyecektir. Müşteri deneyimini de yöneterek yapacağı yönlendirmeler doğrultusunda bu gibi bilgileri elektronik bankacılık hizmeti sunulan kanallar üzerinden gönderilmesi gerekecektir.
- Maddenin 11. Fıkrasında bankaların dış hizmet olarak özel bulut bilişim hizmeti kullanabileceği, bununla birlikte Kurul’un izni alınmak kaydıyla Kurum’un denetimine tabi kuruluşlar ile ortak bir donanım ya da yazılım bileşeni üzerinden paylaşımlı olacak şekilde (mantıksal olarak bankalara ayrı ayrı kaynakların atanması koşulu dahilinde) topluluk bulutu hizmeti kullanabilecekleri düzenlenmiştir.
- Madde özelinde, “Müşteri Sırrı Niteliğindeki Bilgiler ve Paylaşılması” konusu ele alınmış olup, müşterinin kendisinden gelen bir talep olmaksızın, faaliyetleri sırasında elde etmiş olduğu müşteri sırrı niteliğindeki bilgileri, Bankacılık Kanunu’nda yer alan istisnai haller dışında üçüncü kişilerin yurtiçinde veya yurtdışında olduğuna bakılmaksızın paylaşımda bulunamayacağı ve aktarılamayacağını düzenlemiştir.
- Son dönemlerde elektronik kanallardan verilen hizmetlerin artmasına paralel şekilde artan “Bilgi Güvenliği Riskleri” ve “Yönetişimi” Yönetmelik genel yapısı dahilinde detaylıca ele alındığı görülmüştür. Bu noktada Yönetmeliğin “Bilgi Güvenliği Organizasyonu, Roller ve Sorumluluklar” başlıklarının ele alındığı 8. Maddesinin 5. Fıkrasında özellikle Bilgi Güvenliği Birimi’nin, “Bilgi Sistemlerinden Sorumlu Üst Düzey Yöneticiden” ayrı ve bağımsız olacak şekilde doğrudan bankanın “Genel Müdür veya Yönetim Kuruluna” bağlı olması istenmiştir.
22.11.2019 Tarih ve 30956 Sayı ile Resmi Gazete’de yayımlanan “7192 sayılı Kanun ile Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun”da yapılan önemli değişiklikler ise aşağıdaki gibidir.
- Kanun değişikliği ile, PSD2 direktifi ile gündeme gelen “Open Banking” düzenlemesine ilişkin “Ödeme Başlatma Hizmet Sağlayıcıları” (Payment Initiation Service Providers-PISPs) ve Hesap Bilgileri Servis Sağlayıcıları (Account Information Service Providers (AISPs) yeni düzenlemede tanımlandı. Gerekli Yönetmelik’lerin bir yıl içerisinde hazırlanarak yürürlüğe girmesi öngörülmektedir.
- Kanun nispetinde “Türkiye Ödeme ve Elektronik Para Kuruluşları Birliği’nin kurulması ve kendi çalışma alanında faaliyetleri yürütmek, sektörel standartları ve uygulamaları belirlemek, üyeleri yönetmek/yön göstermek gibi görevler verilmesi çalışmalarının yer aldığı görülmektedir.
- Merkez Bankası’nın, işlemlerin kesintisiz işletimini sağlamak amacıyla sistemik öneme sahip kurulmuş ve kurulacak sistem işleticilerine hissedar olabilmesi sağlanacaktır.