Geçtiğimiz hafta, Bankacılık Düzenleme ve Denetleme Kurumu (“BDDK”) “Elektronik Bankacılık Hizmetlerinde ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasında Kimlik Doğrulama ve İşlem Güvenliği için Sağlanması Gereken Kriterler Hk.” konulu genelge taslağı (“Taslak Genelge”) yayımladı.
Düzenleme Amacı
Taslak Genelge’nin ve ekinde yer alan açıklamaların;
- Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’in (“BSEBY”) 34, 35, 38 ve 39. maddelerinde,
- Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik’in (“UKTY”) 12 nci maddesinin ikinci fıkrasında,
- Dijital Bankaların Faaliyet Esasları ile Servis Modeli Bankacılığı Hakkında Yönetmelik’in (“DBY”) 13 üncü maddesinin dördüncü ve beşinci fıkralarında
yer verilen düzenleme hükümlerinin işlem güvenliğinden ödün verilmeksizin yeknesak bir şekilde nasıl uygulanacağı konusuna açıklık getirmek ve söz konusu hükümler konusunda yaşanabilecek tereddütleri gidermek amacıyla düzenlendiği belirtilmiştir.
Taslak Genelge Başlıkları
- Müşteriye Özgü Şifreleme Gizli Anahtarının Kullanılması ve İşlem İmzalama (BSEBY Madde 34–38–39)
- Müşteri Onayına Hangi Bilgiler Sunulmuş ise O Bilgilere Göre İşlem İmzalamanın/Onayının Gerçekleştirilmesinin Sağlanması Prensibi (BSEBY Madde 35–38 / UKTY Madde 12)
- Arayüz Sağlayıcının Mobil Uygulaması ya da İnternet Tarayıcısı Temelli Arayüzünün, Kimlik Doğrulama ve İşlem Güvenliği Yükümlülüklerine Uygun Olmasının Sağlanması (DBY Madde 13)
- Kimlik Doğrulama ve İşlem İmzalama Amacıyla Kullanılan, Geliştirilen ve Satın Alınan Ürünlerin İşbu Genelge Ekinde Yer Verilen Açıklamalara İntibakı
Arayüz Sağlayacıların Mobil Uygulaması ya da İnternet Tarayıcısı Temelli Arayüzün’de Müşteriye Özgü Şifreleme Gizli Anahtarının Kullanılması ve İşlem İmzalama Süreçlerine ve Müşteri Onayına Hangi Bilgiler Sunulmuş ise O Bilgilere Göre İşlem İmzalamanın/Onayının Gerçekleştirilmesinin Sağlanması Prensibine Uygun Olma Yükümlülüğü
DBY’nin 13. maddesinin dördüncü ve beşinci fıkralarında Arayüz Sağlayacıların mobil uygulaması ya da internet tarayıcısı temelli arayüzünün, BSEBY’nin üçüncü kısmında yer verilen kimlik doğrulama ve işlem güvenliği yükümlülüklerine uygun olmasının gerekmesinin yanı sıra, arayüz sağlayıcıların mobil uygulaması temelli arayüzü üzerinden servis bankası müşterisinin gerçekleştireceği kimlik doğrulamanın ve işlem imzalamanın Taslak Genelge ekinde de yer verilen;
- Müşteriye Özgü Şifreleme Gizli Anahtarının Kullanılması ve İşlem İmzalama Süreçlerine
- Müşteri Onayına Hangi Bilgiler Sunulmuş ise O Bilgilere Göre İşlem İmzalamanın/Onayının Gerçekleştirilmesinin Sağlanması Prensibine
uygun olması gerektiği düzenlenmektedir.
Taslak Genelge ekinde Müşteriye Özgü Şifreleme Gizli Anahtarının Kullanılması ve İşlem İmzalama Süreçlerine ilişkin;
- Şifreleme gizli anahtarlarının müşterilere dağıtım süreci ve müşterilerin bu anahtarları nasıl aktive ederek içerik imzaladıklarının önemi,
- Gerek doğrulama kodlarının kullanılması suretiyle kimlik doğrulama ve işlem doğrulama işlemlerinin gerçekleştirilmesi, gerekse bir bilişim veya haberleşme cihazı üzerinden yazılı şeklin yerine geçecek nitelikte bir sözleşme ilişkisi kurulabilmesi için müşteriye özgü şifreleme gizli anahtarları ile gerçekleştirilecek imzalama işleminin düzenlemelere ve müşteri onayına hangi bilgiler sunulmuş ise o bilgilere göre işlem imzalamanın/onayının gerçekleştirilmesinin sağlanması prensibine (What You See Is What You Sign — WYSIWYS) uygun olma gerekliliği,
- Anılan uygunluğun sağlanması için servis bankasının işlem imzalamada kullanılmak üzere, mobil uygulaması içinde bu işlemlere özgü güvenli bir ortam yaratmak ve BSEBY’nin 34 üncü maddesinin onbeşinci fıkrasından kaynaklanan yükümlülüklerini yerine getirmek üzere Spesifik bir Yazılım Geliştirme Kiti (“SDK”) ve Doğrudan bu SDK ile güvenli ayrı bir kanaldan iletişim kuracak şekilde yapılandırılmış bir Güvenlik Sunucusu oluşturması gerektiği ve bunlara ilişkin alınması gereken bir kısım teknik tedbirler
düzenlenmiştir.
Arayüz Sağlayıcı Mobil Uygulaması Üzerinden Kimlik Doğrulama ve İşlem İmzalama Süreçlerinin Gömülü Servis Bankası SDK’sı üzerinden Servis Bankası Güvenlik Sunucusu Üzerinden Gerçekleştirilmesi Yükümlülüğü
Servis Modeli Bankacılık kapsamında arayüz sağlayıcılığı faaliyetinde bulunacakların mobil uygulama arayüzü içinde, servis bankasının SDK’sının gömülü olması ve doğrulama kodlarının kullanılması suretiyle kimlik doğrulama ve işlem doğrulama işlemlerinin gerçekleştirilmesi, bir bilişim veya haberleşme cihazı üzerinden yazılı şeklin yerine geçecek nitelikte bir sözleşme ilişkisi kurulabilmesi için müşteriye özgü şifreleme gizli anahtarları ile gerçekleştirilecek imzalama akışlarının; mobil uygulama arayüzüne gömülü servis bankası SDK’sı ve bu SDK ile tahsisli uçtan uca güvenli ayrı bir kanaldan iletişim kuracak şekilde yapılandırılmış olan servis bankası Güvenlik Sunucusu üzerinden yürütülmesi gerektiği belirtilmiştir.
Arayüz Sağlayıcı Dış Hizmet Sağlayıcıların BDDK’dan İzin Alma Yükümlülüğü
Taslak Genelge’nin mevcut hali ile yürürlüğe girmesi halinde Servis Modeli Bankacılık kapsamında arayüz sağlayıcı olarak faaliyet gösterecek kuruluşlara kimlik doğrulama ve işlem imzalamada kullanılmak üzere ürün ve/veya hizmet sağlayan kuruluşlar da BDDK’ya başvurarak izin almakla yükümlü olacaktırlar.
Taslak Genelge’de Bankalara, BDDK’nın gözetimi ve denetimi altındaki diğer kuruluşlara ve DBY kapsamındaki arayüz sağlayıcılara kimlik doğrulama ve işlem imzalamada kullanılmak üzere ürün satan ya da dış hizmet sağlayan kuruluşların, BDDK’ya başvurarak, bu alanda (kimlik doğrulama ve işlem imzalama) bankalara, Kurum gözetimi ve denetimi altındaki diğer kuruluşlara ve arayüz sağlayıcılara ürün ve hizmet sunabilmek için BDDK’dan izin almakla yükümlü olacaklarına açıkça yer verilmiştir.
BDDK, Taslak Genelge’yi sektörün görüşüne sunmuş, görüşleri bsmevzuat@bddk.org.tr adresi üzerinden e-posta ile toplamaya başlamıştır.
Kaynaklar:
- Taslak Genelge — https://www.bddk.org.tr/Mevzuat/DokumanGetir/1149
- Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik — https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=34360&MevzuatTur=7&MevzuatTertip=5
- Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik — https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=38568&MevzuatTur=7&MevzuatTertip=5
- Dijital Bankaların Faaliyet Esasları ile Servis Modeli Bankacılığı Hakkında Yönetmelik — https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=39158&MevzuatTur=7&MevzuatTertip=5