O No! Typography Web Site Tasarımı

Outliers Web Site Tasarımı

Premium Business Web Site Tasarımı

Probe Web Site Tasarımı

İnternet Bankacılığında Mevzuata Aykırı Uygulamalara ilişkin BDDK bildirisinde yer alan bilgiler

Teknoloji Haberleri Cuma Aralık 18th, 2015
340 Görüntülenme

Konuyla ilgili olanların bilecektir, Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) geçtiğimiz haftalarda bankalara İnternet Bankacılığında Mevzuata Aykırı Uygulamalar konulu paylaşımda bulunmuştu ve bankaların mobil uygulamalarındaki bazı özelliklerin etkilenip etkilemenyeceği konusunda tereddütler doğmuştu. Biz de konuyla ilgili olarak danıştığımız Purut Avukatlık‘tan aldığımız açıklamaları sizlerle paylaşmak istedik.

Aldığımız bilgiye göre söz konusu bildirim, 2014 yılında yenilenmiş ola n BDDK tebliğinde yer alan bazı detayları yeniden gündeme getiriyor. BDDK’nın bu tebliğe dayanarak yaptığı açıklamalara göre bankalar tarafından çıkarılan bazı mobil uygulamalar ile internet sitelerinin içerdiği Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ ile 5464 sayılı Banka Kartları ve Kredi Kartları Kanunu’na 31.12.2015 tarihine kadar giderilmesini sağlamayı hedefliyor.

Aldığımız bilgilere göre söz konusu yazı kapsamında bankaların dikkat etmesi ve değişiklik yapması konusunda bizimle paylaşılan bilgileri aşağıda bulabilirsiniz.

Bahsedilen değişikliklerin ilintili olduğu tebliğ, Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ olup; söz konusu Tebliğ 2007 yılında Resmi Gazete’de yayınlanmıştır. 2009, 2010 ve 2014 yıllarında ise bu Tebliğ’de bazı değişiklikler yapılmıştır. Ancak bahsedilen konuların şimdi gündeme gelmiş olmasının nedeni BDDK’nın bu tebliğe dayanarak bankalara göndermiş olduğu 24/11/2015 tarihli İnternet Bankacılığında Mevzuata Aykırı Uygulamalar konulu yazıdır.

Bu yazı ile internet bankacılığı uygulamalarının mevzuat kapsamında ne şekilde değerlendirilmesi ve uygulamaların ne şekilde yapılması gerektiği aşağıdaki şekilde sıralanmıştır;

1. Akıllı cihazlarda kullanılan mobil uygulamaların ve bankaların ticari unvanı ya da işletme adından farklı isimlerle faaliyet gösteren bankalara ait web sayfaları ile mobil uygulamaların da anılan Tebliğ’in 3. maddesinde tanımlanmış olan internet bankacılığı* kapsamında olduğu, dolayısıyla bu internet siteleri ile mobil uygulamaların da bu Tebliğ’de yer alan kurallara uygun olması gerektiği belirtilmiştir.

*3.ö) İnternet bankacılığı: Müşterilerin banka tarafından sunulan hizmetlere internet yoluyla ulaşmalarını ve yapmak istedikleri işlemleri gerçekleştirmelerini sağlayan bankacılık hizmeti dağıtım kanalını,”

Örnek olarak vermiş olduğunuz Bonus Flash ve benzeri isminde doğrudan bankanın ticari unvanı ya da işletme adını içermeyen internet sitesi ve mobil uygulamaların da internet bankacılığı kapsamında değerlendirilmesi gerekmektedir.

2. İnternet bankacılığı kapsamında değerlendirilmesi gereken tüm mobil uygulama ve internet sitelerine tebliğin 27. maddesinde belirtilen iki faktörlü doğrulamanın gerçekleştirilerek giriş yapılmasının sağlanması gerekmektedir. Bu aykırılığın 31.12.2015 tarihine kadar giderilmesi gerekmektedir. Örneğin Bonus Flaş uygulamasına tek faktörlü doğrulama ile giriş yapılmakta olup; bu durum mevzuata aykırılık teşkil etmektedir.

İki faktörlü doğrulama zorunluluğu tebliğin 27/4. maddesinde yer almakta olup; bu maddeye göre müşterilere uygulanan kimlik doğrulamasının birbirinden bağımsız en az iki bileşenden oluşması gerekmektedir.

3. Yalnızca hesap bakiyesi ya da kredi kartı güncel dönem borcunu görüntüleme gibi sınırlı özellikleri olan mobil uygulama ve internet sayfaları da (örneğin Bonus Flaş bu kapsamdadır) internet bankacılığı olarak değerlendirilir. Bu nedenle; bu mobil uygulama ve internet sitelerinin de iki faktörlü doğrulama zorunluluğuna uyması gerekmektedir.

4. Tebliğin 27/4. maddesi kapsamında kimlik doğrulama mekanizmasındaki iki adet bileşen, müşterinin “bildiği”, müşterinin “sahip olduğu” veya müşterinin “biyometrik bir karakteristiği olan” unsurlar sınıflarından farklı iki tanesinden oluşmalıdır. Buna ilişkin bir aykırılık varsa 31.12.2015 tarihine kadar giderilmesi gerekmektedir.

5. İnternet bankacılığına giriş yapılması için kart PIN’inin kullanılmasının tebliğin 27/4. maddesindeki müşterinin “bildiği” unsur olarak değerlendirilmesinin hatalı olduğu belirtilmiş ve bu uygulamaya 31.12.2015 tarihine kadar son verilmesi talep edilmiştir. BDDK, 5464 sayılı Kanun’da PIN’i kartlı ödemeler dünyasında “card present” işlemlerde kullanılmak üzere tanımlanmış bir unsur olarak değerlendirdiğini belirtmiştir. Ancak Kanun içeriğinde net bir şekilde buna dair bir düzenleme yer almamaktadır. Zaten bu yüzden BDDK, bu taleplerinin dayanağını Kanunu kendilerince değerlendirmeleri olarak göstermiştir.

6. Parmak izi ile doğrulama uygulamalarının banka nezdinde değil de offline olarak telefon nezdinde lokalde gerçekleştiriliyor olması hem Tebliğ’e aykırı bulunmuş hem de güvenliği konusunda soru işaretleri olduğu gerekçesi ile bu doğrulamanın iki faktörlü doğrulama kapsamında kullanmasına 31.12.2015 tarihine kadar son verilmesi gerektiği bildirilmiştir. Ancak parmak izi doğrulamasının bu iki faktöre ek olarak kullanılması BDDK tarafından desteklenmektedir.

7. Mobil bankacılık uygulamalarının kendisine tanımlanan “uygulama PIN’leri” de banka nezdinde değil de uygulama nezdinde lokalde gerçekleştiriliyor olması tebliğe aykırı bulunmuş ve bu doğrulamanın iki faktörlü doğrulama kapsamında kullanmasına 31.12.2015 tarihine kadar son verilmesi gerektiği bildirilmiştir. Ancak uygulama PINleri kullanılarak yapılan doğrulamanın bu iki faktöre ek olarak kullanılması BDDK tarafından desteklenmektedir.

8. İki faktörlü doğrulama içerisinde yer alan müşterinin bildiği unsurun (örneğin parolanın) mobil uygulama tarafından hatırlanmasının uygun olmadığı ve bu uygulamaya 31.12.2015 tarihine kadar son verilmesi bildirilmiştir. Buna sebep olarak müşterinin bildiği unsurun müşteri tarafından girilmesi ve lokalde değil banka nezdinde doğrulanması gerekmesi gösterilmiştir.

9. İki faktörlü doğrulama içerisinde yer alan müşterinin bildiği unsurun (örneğin parolanın) yalnızca başka bir lokal kimlik doğrulama yöntemine (örneğin parmak izi doğrulaması) bağlanarak otomatik olarak gönderilmesinin uygun olmadığı ve bu uygulamaya 31.12.2015 tarihine kadar son verilmesi bildirilmiştir. Buna sebep olarak müşterinin bildiği unsurun müşteri tarafından girilmesi ve lokalde değil banka nezdinde doğrulanması gerekmesi gösterilmiştir.

Söz konusu yazı içeriği BDDK tarafından anılan Tebliğ ve Kanun’un yorumlanması ile oluşturulmuş olup; bir kısım değerlendirmeler mevzuatta açıkça belirtilmemiş ya da mevzuatta dayanağı olmayan salt BDDK’ya ait değerlendirmelerdir. Tüm internet bankacılığı kapsamında değerlendirilen internet sayfaları ile mobil uygulamaların yukarıda bahsedilen niteliklere 31.12.2015 tarihine kadar getirilmesi ve bunların Bağımsız Denetim Şirketleri tarafından yapılan 2015 yılı Bilgi Sistemleri ve Bankacılık Süreçleri Denetimi kapsamına dahil ettirilmesi gerekmektedir.

Yorumlar

Henüz hiç yorum yapılmamış.

İlginizi Çekebilir
Artık Youtube’un da okulu var

Artık Youtube’un da okulu var

Çarşamba Mart 15th, 2017
232 Görüntülenme
LeEco Le X850 Özellikleri ve Çıkış Tarihi Açığa Çıktı

LeEco Le X850 Özellikleri ve Çıkış Tarihi Açığa Çıktı

Çarşamba Mart 15th, 2017
210 Görüntülenme
Marmara Mekatronik ve İnovasyon Günleri

Marmara Mekatronik ve İnovasyon Günleri

Pazartesi Mart 13th, 2017
232 Görüntülenme
Akvaryumdaki köpek balığı eşeysiz üredi

Akvaryumdaki köpek balığı eşeysiz üredi

Cuma Şubat 24th, 2017
254 Görüntülenme
CloudFlare’den Milyonlarca Kişisel Veri Sızmış Olabilir!

CloudFlare’den Milyonlarca Kişisel Veri Sızmış Olabilir!

Cuma Şubat 24th, 2017
250 Görüntülenme
Verizon, Yahoo’yu 350 milyon dolar ucuza satın alacak

Verizon, Yahoo’yu 350 milyon dolar ucuza satın alacak

Cuma Şubat 24th, 2017
256 Görüntülenme
Apple 32 GB’lık iPhone üretmeyecek

Apple 32 GB’lık iPhone üretmeyecek

Cuma Şubat 24th, 2017
221 Görüntülenme
NASA açıkladı: Üçü yaşanabilir 7 yeni gezegen keşfedildi

NASA açıkladı: Üçü yaşanabilir 7 yeni gezegen keşfedildi

Perşembe Şubat 23rd, 2017
277 Görüntülenme
Apple, merakla beklenen yeni kampüsü Apple Park’ı Nisan’da açıyor

Apple, merakla beklenen yeni kampüsü Apple Park’ı Nisan’da açıyor

Çarşamba Şubat 22nd, 2017
262 Görüntülenme
Bunlar da var!
ABD Donanmasından Hem Uçabilen Hem de Yüzebilen Drone

ABD Donanmasından Hem Uçabilen Hem de Yüzebilen Drone

Perşembe Nisan 2nd, 2015
282 Görüntülenme
Facebook mobilde çoklu haber akışını deniyor

Facebook mobilde çoklu haber akışını deniyor

Çarşamba Aralık 30th, 2015
273 Görüntülenme
​Resident Evil’ın Yeni Oyununda Korkuya Doyacaksınız

​Resident Evil’ın Yeni Oyununda Korkuya Doyacaksınız

Cumartesi Haziran 18th, 2016
292 Görüntülenme
Dünyanın ilk NFC uyumlu masaüstü bilgisayarı ASUS M70 tanıtıldı

Dünyanın ilk NFC uyumlu masaüstü bilgisayarı ASUS M70 tanıtıldı

Perşembe Mayıs 14th, 2015
255 Görüntülenme
Hayatınızı Kolaylaştıran Aletler

Hayatınızı Kolaylaştıran Aletler

Perşembe Mart 24th, 2016
293 Görüntülenme