BDDK'dan İnternet Bankacılığı Bildirisi


Her geçen gün bankacılık uygulamaları ile müşterileri etkileme ve aktif kullanıcı haline getirme yöntemlerinin değişerek arttığı zaman diliminde, BDDK web siteleri ve mobil uygulamalar için bir tebliğ yayınladı. Bu tebliğde, uygulamalara giriş yapılırken kullanılan doğrulamalarla ilgili bankaların ürettikleri bir kısım çözümlerin kabul edilemez olduğu ve 31.12.2015'e kadar düzeltilmesi gerektiği belirtildi. Örneğin sadece parmak izi ile giriş yapılan cep şube uygulamalarından tutun da, kullanıcıya ait bilgilerle giriş yapılan bilgi görüntüleme uygulamalarına kadar bankalara bağlı tüm uygulamalara sınır çekildi.

 Özetle tebliğden açıkça anlaşıldığı şekilde, BDDK tüm uygulamalar ve web siteleri için ayrık 2 faktörlü doğrulama istiyor. Uygulamaların lokalde sakladıkları parmak izi ya da yine lokal uygulamalar ile 'client' tarafında yaratılan pinlerle gerçekleştirilen kontrolleri desteklemekle birlikte, sadece bunların yeterli olmadığı belirtiliyor. Bilgilerin 'server' tarafında, banka nezdinde tutulup saklanmasını istiyorlar. Fakat bu yapılsa bile, 2 faktörlü doğrulamanın herhangi bir adımı için bu kontrolleri kabul etmiyorlar, istenirse ek kontrol olarak kullanılabileceğini söyleniyor.

 Günün sonunda, kullanıcıları kendi uygulamalarına çekmek için inovatif fikirler ile piyasada savaşan bankaların, yaptıkları geliştirmeler için harcadıkları adam/gün sayısı şimdilik boşa gitmiş gibi gözüküyor. Umarım BDDK artık bankalar geliştirmeleri tamamladıktan sonra kurallar koymak yerine, teknolojiyi takip ederek geliştirmeler yapılmadan izlenecek yolları göstermeyi tercih eder.

1. Akıllı cihazlarda kullanılan mobil uygulamaların ve bankaların ticari unvanı ya da işletme adından farklı isimlerle faaliyet gösteren bankalara ait web sayfaları ile mobil uygulamaların da anılan Tebliğ’in 3. maddesinde tanımlanmış olan internet bankacılığı* kapsamında olduğu, dolayısıyla bu internet siteleri ile mobil uygulamaların da bu Tebliğ’de yer alan kurallara uygun olması gerektiği belirtilmiştir.
*3.ö) İnternet bankacılığı: Müşterilerin banka tarafından sunulan hizmetlere internet yoluyla ulaşmalarını ve yapmak istedikleri işlemleri gerçekleştirmelerini sağlayan bankacılık hizmeti dağıtım kanalını,”
Örnek olarak vermiş olduğunuz Bonus Flash ve benzeri isminde doğrudan bankanın ticari unvanı ya da işletme adını içermeyen internet sitesi ve mobil uygulamaların da internet bankacılığı kapsamında değerlendirilmesi gerekmektedir.
2. İnternet bankacılığı kapsamında değerlendirilmesi gereken tüm mobil uygulama ve internet sitelerine tebliğin 27. maddesinde belirtilen iki faktörlü doğrulamanın gerçekleştirilerek giriş yapılmasının sağlanması gerekmektedir. Bu aykırılığın 31.12.2015 tarihine kadar giderilmesi gerekmektedir. Örneğin Bonus Flaş uygulamasına tek faktörlü doğrulama ile giriş yapılmakta olup; bu durum mevzuata aykırılık teşkil etmektedir.
İki faktörlü doğrulama zorunluluğu tebliğin 27/4. maddesinde yer almakta olup; bu maddeye göre müşterilere uygulanan kimlik doğrulamasının birbirinden bağımsız en az iki bileşenden oluşması gerekmektedir.
3. Yalnızca hesap bakiyesi ya da kredi kartı güncel dönem borcunu görüntüleme gibi sınırlı özellikleri olan mobil uygulama ve internet sayfaları da (örneğin Bonus Flaş bu kapsamdadır) internet bankacılığı olarak değerlendirilir. Bu nedenle; bu mobil uygulama ve internet sitelerinin de iki faktörlü doğrulama zorunluluğuna uyması gerekmektedir.
4. Tebliğin 27/4. maddesi kapsamında kimlik doğrulama mekanizmasındaki iki adet bileşen, müşterinin “bildiği”, müşterinin “sahip olduğu” veya müşterinin “biyometrik bir karakteristiği olan” unsurlar sınıflarından farklı iki tanesinden oluşmalıdır. Buna ilişkin bir aykırılık varsa 31.12.2015 tarihine kadar giderilmesi gerekmektedir.
5. İnternet bankacılığına giriş yapılması için kart PIN’inin kullanılmasının tebliğin 27/4. maddesindeki müşterinin “bildiği” unsur olarak değerlendirilmesinin hatalı olduğu belirtilmiş ve bu uygulamaya 31.12.2015 tarihine kadar son verilmesi talep edilmiştir. BDDK, 5464 sayılı Kanun’da PIN’i kartlı ödemeler dünyasında “card present” işlemlerde kullanılmak üzere tanımlanmış bir unsur olarak değerlendirdiğini belirtmiştir. Ancak Kanun içeriğinde net bir şekilde buna dair bir düzenleme yer almamaktadır. Zaten bu yüzden BDDK, bu taleplerinin dayanağını Kanunu kendilerince değerlendirmeleri olarak göstermiştir.
6. Parmak izi ile doğrulama uygulamalarının banka nezdinde değil de offline olarak telefon nezdinde lokalde gerçekleştiriliyor olması hem Tebliğ’e aykırı bulunmuş hem de güvenliği konusunda soru işaretleri olduğu gerekçesi ile bu doğrulamanın iki faktörlü doğrulama kapsamında kullanmasına 31.12.2015 tarihine kadar son verilmesi gerektiği bildirilmiştir. Ancak parmak izi doğrulamasının bu iki faktöre ek olarak kullanılması BDDK tarafından desteklenmektedir.
7. Mobil bankacılık uygulamalarının kendisine tanımlanan “uygulama PIN’leri” de banka nezdinde değil de uygulama nezdinde lokalde gerçekleştiriliyor olması tebliğe aykırı bulunmuş ve bu doğrulamanın iki faktörlü doğrulama kapsamında kullanmasına 31.12.2015 tarihine kadar son verilmesi gerektiği bildirilmiştir. Ancak uygulama PINleri kullanılarak yapılan doğrulamanın bu iki faktöre ek olarak kullanılması BDDK tarafından desteklenmektedir.
8. İki faktörlü doğrulama içerisinde yer alan müşterinin bildiği unsurun (örneğin parolanın) mobil uygulama tarafından hatırlanmasının uygun olmadığı ve bu uygulamaya 31.12.2015 tarihine kadar son verilmesi bildirilmiştir. Buna sebep olarak müşterinin bildiği unsurun müşteri tarafından girilmesi ve lokalde değil banka nezdinde doğrulanması gerekmesi gösterilmiştir.
9. İki faktörlü doğrulama içerisinde yer alan müşterinin bildiği unsurun (örneğin parolanın) yalnızca başka bir lokal kimlik doğrulama yöntemine (örneğin parmak izi doğrulaması) bağlanarak otomatik olarak gönderilmesinin uygun olmadığı ve bu uygulamaya 31.12.2015 tarihine kadar son verilmesi bildirilmiştir. Buna sebep olarak müşterinin bildiği unsurun müşteri tarafından girilmesi ve lokalde değil banka nezdinde doğrulanması gerekmesi gösterilmiştir.
Söz konusu yazı içeriği BDDK tarafından anılan Tebliğ ve Kanun’un yorumlanması ile oluşturulmuş olup; bir kısım değerlendirmeler mevzuatta açıkça belirtilmemiş ya da mevzuatta dayanağı olmayan salt BDDK’ya ait değerlendirmelerdir. Tüm internet bankacılığı kapsamında değerlendirilen internet sayfaları ile mobil uygulamaların yukarıda bahsedilen niteliklere 31.12.2015 tarihine kadar getirilmesi ve bunların Bağımsız Denetim Şirketleri tarafından yapılan 2015 yılı Bilgi Sistemleri ve Bankacılık Süreçleri Denetimi kapsamına dahil ettirilmesi gerekmektedir.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

İyi ki Varsın Çilek

Resim
Hayatta belki de en keyif aldığım şeylerden biriydi içimi dökmek, bir şeyler yazmak. Bu yüzden yıllarca blog yazdım. Yazılarımı kaybettim, yine yazdım. Ama bir noktada kırılım gerçekleşti ve devamlılığı sağlayamadım. Şimdi düşünüyorum da, geçtiğimiz 20 senede hayatımızda, gündemimizde, rutinimizde neler neler değişmiş… Bugün ise yeni hayatımızın ilk günü. Bambaşka umutlarla, her zerresinde sindirilmişliği ve ötekileştirilmişliği hisseden bir bünye olarak bekliyordum bu sabahı. Aslında tam olarak 2 hafta önceyi. Ama geldiğimiz noktada kelimeler kifayetsiz. Geleceğe dair umutlar birer camdı, dün gece hepsi bardak oldu. Böylesine kaotik durumların ve mücadelenin ortasında geçen bir hayat… Bu hayatın içerisinde kendine huzuru bulabildiği nadir anları oluyor insanın. Benim için de son 3 senedir o huzurlu anlarda hep Çilek var. Aslında yıllar sonra klavye başına bir şeyler yazmak için geçmemin yegane sebebi de Çilek’ti, yazıya da öyle başlayacaktım. Ama içgüdüsel olarak akış böyle seyretti,
Devamı