Konuyla ilgili olanların bilecektir, Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) geçtiğimiz haftalarda bankalara İnternet Bankacılığında Mevzuata Aykırı Uygulamalar konulu paylaşımda bulunmuştu ve bankaların mobil uygulamalarındaki bazı özelliklerin etkilenip etkilemenyeceği konusunda tereddütler doğmuştu. Biz de konuyla ilgili olarak danıştığımız Purut Avukatlık'tan aldığımız açıklamaları sizlerle paylaşmak istedik.
Aldığımız bilgiye göre söz konusu bildirim, 2014 yılında yenilenmiş olan BDDK tebliğinde yer alan bazı detayları yeniden gündeme getiriyor. BDDK’nın bu tebliğe dayanarak yaptığı açıklamalara göre bankalar tarafından çıkarılan bazı mobil uygulamalar ile internet sitelerinin içerdiği Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ ile 5464 sayılı Banka Kartları ve Kredi Kartları Kanunu'na 31.12.2015 tarihine kadar giderilmesini sağlamayı hedefliyor.
Aldığımız bilgilere göre söz konusu yazı kapsamında bankaların dikkat etmesi ve değişiklik yapması konusunda bizimle paylaşılan bilgileri aşağıda bulabilirsiniz.
Bahsedilen değişikliklerin ilintili olduğu tebliğ, Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ olup; söz konusu Tebliğ 2007 yılında Resmi Gazete’de yayınlanmıştır. 2009, 2010 ve 2014 yıllarında ise bu Tebliğ'de bazı değişiklikler yapılmıştır. Ancak bahsedilen konuların şimdi gündeme gelmiş olmasının nedeni BDDK’nın bu tebliğe dayanarak bankalara göndermiş olduğu 24/11/2015 tarihli İnternet Bankacılığında Mevzuata Aykırı Uygulamalar konulu yazıdır.
Bu yazı ile internet bankacılığı uygulamalarının mevzuat kapsamında ne şekilde değerlendirilmesi ve uygulamaların ne şekilde yapılması gerektiği aşağıdaki şekilde sıralanmıştır;
1. Akıllı cihazlarda kullanılan mobil uygulamaların ve bankaların ticari unvanı ya da işletme adından farklı isimlerle faaliyet gösteren bankalara ait web sayfaları ile mobil uygulamaların da anılan Tebliğ'in 3. maddesinde tanımlanmış olan internet bankacılığı* kapsamında olduğu, dolayısıyla bu internet siteleri ile mobil uygulamaların da bu Tebliğ'de yer alan kurallara uygun olması gerektiği belirtilmiştir.
*3.ö) İnternet bankacılığı: Müşterilerin banka tarafından sunulan hizmetlere internet yoluyla ulaşmalarını ve yapmak istedikleri işlemleri gerçekleştirmelerini sağlayan bankacılık hizmeti dağıtım kanalını,"
Örnek olarak vermiş olduğunuz Bonus Flash ve benzeri isminde doğrudan bankanın ticari unvanı ya da işletme adını içermeyen internet sitesi ve mobil uygulamaların da internet bankacılığı kapsamında değerlendirilmesi gerekmektedir.
2. İnternet bankacılığı kapsamında değerlendirilmesi gereken tüm mobil uygulama ve internet sitelerine tebliğin 27. maddesinde belirtilen iki faktörlü doğrulamanın gerçekleştirilerek giriş yapılmasının sağlanması gerekmektedir. Bu aykırılığın 31.12.2015 tarihine kadar giderilmesi gerekmektedir. Örneğin Bonus Flaş uygulamasına tek faktörlü doğrulama ile giriş yapılmakta olup; bu durum mevzuata aykırılık teşkil etmektedir.
İki faktörlü doğrulama zorunluluğu tebliğin 27/4. maddesinde yer almakta olup; bu maddeye göre müşterilere uygulanan kimlik doğrulamasının birbirinden bağımsız en az iki bileşenden oluşması gerekmektedir.
3. Yalnızca hesap bakiyesi ya da kredi kartı güncel dönem borcunu görüntüleme gibi sınırlı özellikleri olan mobil uygulama ve internet sayfaları da (örneğin Bonus Flaş bu kapsamdadır) internet bankacılığı olarak değerlendirilir. Bu nedenle; bu mobil uygulama ve internet sitelerinin de iki faktörlü doğrulama zorunluluğuna uyması gerekmektedir.
4. Tebliğin 27/4. maddesi kapsamında kimlik doğrulama mekanizmasındaki iki adet bileşen, müşterinin "bildiği", müşterinin "sahip olduğu" veya müşterinin "biyometrik bir karakteristiği olan" unsurlar sınıflarından farklı iki tanesinden oluşmalıdır. Buna ilişkin bir aykırılık varsa 31.12.2015 tarihine kadar giderilmesi gerekmektedir.
5. İnternet bankacılığına giriş yapılması için kart PIN'inin kullanılmasının tebliğin 27/4. maddesindeki müşterinin "bildiği" unsur olarak değerlendirilmesinin hatalı olduğu belirtilmiş ve bu uygulamaya 31.12.2015 tarihine kadar son verilmesi talep edilmiştir. BDDK, 5464 sayılı Kanun'da PIN'i kartlı ödemeler dünyasında "card present" işlemlerde kullanılmak üzere tanımlanmış bir unsur olarak değerlendirdiğini belirtmiştir. Ancak Kanun içeriğinde net bir şekilde buna dair bir düzenleme yer almamaktadır. Zaten bu yüzden BDDK, bu taleplerinin dayanağını Kanunu kendilerince değerlendirmeleri olarak göstermiştir.
6. Parmak izi ile doğrulama uygulamalarının banka nezdinde değil de offline olarak telefon nezdinde lokalde gerçekleştiriliyor olması hem Tebliğ'e aykırı bulunmuş hem de güvenliği konusunda soru işaretleri olduğu gerekçesi ile bu doğrulamanın iki faktörlü doğrulama kapsamında kullanmasına 31.12.2015 tarihine kadar son verilmesi gerektiği bildirilmiştir. Ancak parmak izi doğrulamasının bu iki faktöre ek olarak kullanılması BDDK tarafından desteklenmektedir.
7. Mobil bankacılık uygulamalarının kendisine tanımlanan "uygulama PIN'leri" de banka nezdinde değil de uygulama nezdinde lokalde gerçekleştiriliyor olması tebliğe aykırı bulunmuş ve bu doğrulamanın iki faktörlü doğrulama kapsamında kullanmasına 31.12.2015 tarihine kadar son verilmesi gerektiği bildirilmiştir. Ancak uygulama PINleri kullanılarak yapılan doğrulamanın bu iki faktöre ek olarak kullanılması BDDK tarafından desteklenmektedir.
8. İki faktörlü doğrulama içerisinde yer alan müşterinin bildiği unsurun (örneğin parolanın) mobil uygulama tarafından hatırlanmasının uygun olmadığı ve bu uygulamaya 31.12.2015 tarihine kadar son verilmesi bildirilmiştir. Buna sebep olarak müşterinin bildiği unsurun müşteri tarafından girilmesi ve lokalde değil banka nezdinde doğrulanması gerekmesi gösterilmiştir.
9. İki faktörlü doğrulama içerisinde yer alan müşterinin bildiği unsurun (örneğin parolanın) yalnızca başka bir lokal kimlik doğrulama yöntemine (örneğin parmak izi doğrulaması) bağlanarak otomatik olarak gönderilmesinin uygun olmadığı ve bu uygulamaya 31.12.2015 tarihine kadar son verilmesi bildirilmiştir. Buna sebep olarak müşterinin bildiği unsurun müşteri tarafından girilmesi ve lokalde değil banka nezdinde doğrulanması gerekmesi gösterilmiştir.
Söz konusu yazı içeriği BDDK tarafından anılan Tebliğ ve Kanun'un yorumlanması ile oluşturulmuş olup; bir kısım değerlendirmeler mevzuatta açıkça belirtilmemiş ya da mevzuatta dayanağı olmayan salt BDDK'ya ait değerlendirmelerdir. Tüm internet bankacılığı kapsamında değerlendirilen internet sayfaları ile mobil uygulamaların yukarıda bahsedilen niteliklere 31.12.2015 tarihine kadar getirilmesi ve bunların Bağımsız Denetim Şirketleri tarafından yapılan 2015 yılı Bilgi Sistemleri ve Bankacılık Süreçleri Denetimi kapsamına dahil ettirilmesi gerekmektedir.