Elektronik Bankacılık Hizmetlerinde Kimlik Doğrulama Ve İşlem Güvenliğine İlişkin Genelge Taslağı Görüşe Açıldı - Financial Services

Yeni Gelismeler

Bankacilik Düzenleme ve Denetleme Kurumu ("BDDK") elektronik bankacilik hizmetlerinde ve elektronik ortamda sözlesme iliskisinin kurulmasinda kimlik dogrulama ve islem güvenligi ile ilgili olarak farkli yönetmeliklerdeki hükümlerin yeknesak bir sekilde nasil uygulanacagini açikliga kavusturmak için hazirladigi 2022/2 sayili Elektronik Bankacilik Hizmetlerinde ve Elektronik Ortamda Sözlesme Iliskisinin Kurulmasinda Kimlik Dogrulama ve Islem Güvenligi için Saglanmasi Gereken Kriterler Hakkinda Genelge Taslagi'ni ("Taslak Genelge") görüse açti. Taslak Genelge hakkinda görüsler bsmevzuat@bddk.org.tr adresine e-posta ile iletilebilecek.

Taslak Genelge'ye buraya tiklayarak ulasabilirsiniz.

Taslak ne getiriyor?

Taslak Genelge ile asagida yer alan konu basliklari özelinde Bankalarin Bilgi Sistemleri ve Elektronik Bankacilik Hizmetleri Hakkinda Yönetmelik ("BSEBY"), Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözlesme Iliskisinin Kurulmasina Iliskin Yönetmelik ("UKTY") ve Dijital Bankalarin Faaliyet Esaslari ile Servis Modeli Bankaciligi Hakkinda Yönetmelik'in ("DBY") uygulamasina iliskin hususlara açiklik getiriliyor.

Müsteriye özgü sifreleme gizli anahtarinin kullanilmasi ve islem imzalama

Internet bankaciligi ve bunun özellesmis bir hali olan mobil bankacilik islemleri bakimindan müsteriye atanmis ve özgülenmis bir sifreleme gizli anahtarinin kullanim alanlari olan kimlik dogrulama ve yetkilendirme (islem dogrulama) için "dogrulama kodu" üretilmesi ve bunun müsteriye özgü gizli sifreleme anahtari ile imzalanmasi gerektigi vurgulaniyor.

Sifreleme gizli anahtarinin içerik imzalama öncesi aktiflestirilmesi için kullanilacak "PIN" gibi "müsterinin bildigi unsurun" mobil uygulamanin yüklü oldugu cihaz üzerinde lokalde degil, banka nezdinde çevrimiçi dogrulanmasi gerekecek.

Ayrica, mobil bankacilik uygulamasinin ilk kurulumu, aktiflestirilmesi, yeniden aktiflestirilmesi ya da uygulamanin kullanilamaz olmasi durumlari hariç tutulmak kaydiyla, mobil bankacilik uygulamasini yükleyip aktiflestiren müsterilere, oturum açma ve devamindaki islemlerin dogrulanmasi için SMS ile tek seferlik sifre (one-time password, OTP) ya da "dogrulama kodu" gönderilemeyecegi vurgulaniyor.

Müsteri onayina sunulan bilgilere göre islem imzalamanin/onayinin gerçeklestirilmesinin saglanmasi

Taslak Genelge'de kimlik veya islem dogrulama ve elektronik yolla yazili seklin yerine geçecek nitelikte bir sözlesme iliskisi kurulabilmesi için müsteriye özgü sifreleme gizli anahtari ile dogrulama kodlarinin imzalanmasinin tek basina yeterli olmadigi belirtiliyor.

Bu dogrultuda, sifreleme gizli anahtarinin güvenli bir sekilde müsteriye atanmasi, yetkisiz kisilerde kullanilmasini engelleyecek önlemler alinmasi ve müsteri onayina hangi bilgiler sunulmus ise o bilgilere göre islem imzalamanin/onayinin gerçeklestirilmesi sayesinde bu islemlerin inkar edilemezliginin ve sorumluluk atamanin mümkün kilinmasi gerektigi vurgulaniyor. Taslak Genelge, bu kapsamda uyulmasi gereken metodolojiyi detayli bir sekilde açikliyor.

Arayüz saglayicinin mobil uygulamasi ya da internet tarayicisi temelli arayüzünün, kimlik dogrulama ve islem güvenligi yükümlülüklerine uygun olmasinin saglanmasi

DBY ve BSEBY ile, arayüz faaliyetinde bulunacaklarin mobil uygulamasi ya da internet tarayicisi temelli arayüzünün yukarida belirtilen kimlik dogrulama ve islem güvenligine iliskin yükümlülükler ile islem imzalamanin/onayinin müsteri onayina sunulan bilgiler dogrultusunda gerçeklestirilmesinden arayüz saglayici ve servis bankasinin müteselsilen sorumlu oldugu düzenleniyor. Bu kapsamda, Taslak Genelge'de, arayüz saglayicilarin faaliyetlerini Genelge'de açiklanan metodolojiye uygun sekilde yürütmesi gerektigi belirtiliyor.

Kimlik dogrulama ve islem imzalama amaciyla kullanilan, gelistirilen ve satin alinan ürünlerin Taslak Genelge'ye intibaki

Taslak Genelge'de kimlik dogrulama ve islem imzalama amaciyla kullanilan kurum içi gelistirilen ya da satin alinan ürünlerin Taslak Genelge'ye uygunlugunun BDDK'nin Bilgi Sistemleri ve Is Süreçleri Bagimsiz Denetimi Hakkinda Yönetmelik kapsaminda gerçeklestirilecek bilgi sistemleri denetimi uyarinca degerlendirilecegi açiklaniyor.

Ek olarak, Taslak Genelge ile söz konusu ürünleri satan ya da dis hizmet saglayan kuruluslara kimlik dogrulama ve islem imzalama kapsaminda bankalara, BDDK gözetimi ve denetimi altindaki diger kuruluslara ve arayüz saglayicilara ürün ve hizmet sunabilmek için BDDK'ya basvurarak izin alma yükümlülügü getiriliyor.

Sonuç

Taslak Genelge ile BDDK'nin kimlik dogrulama ve islem imzalamaya yönelik düzenlemeler içeren çesitli yönetmeliklerinin uygulamasina dair tereddütlerin giderilmesi ve bütüncül bir yaklasim saglanmasi amaçlaniyor. Ilgililer, Taslak Genelge hakkinda görüslerini bsmevzuat@bddk.org.tr adresine e-posta ile iletebilecek.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.