Taslak Yönetmelik Çalıştayı Öncesi Katılımcılara ulaştırılan taslak ile gelen yenilikler - değişiklikler

3-5 Mayıs 2019 tarihleri arasında TBB'nin desteği ile gerçekleştirilen çalıştayda, taslak yönetmeliğin sektörden gelen geri dönüşlerin değerlendirilmesi sonucunda oluşturulan versiyonu BDDK yetkilileri modaratörlüğünde bankaların yetkilileri tarafından değerlendirildi ve talepler, öneriler BDDK'ya çalıştay esnasında direkt iletildi. Yeni yönetmeliğin oluşturulması esnasında BDDK sektör paydaşlarının değerlendirmelerini ve önerilerini yasal mevzuata yansıtabilmek adına gerçekten takdire şayan bir yaklaşım sergiliyor. Bu doğrultuda bankalara ek olarak bağımsız denetim şirketleri, çağrı merkezi yetkilileri gibi paydaşlarla da toplantılar gerçekleştirileceği ve görüşlerinin alınacağı çalıştay esnasında katılımcılar ile paylaşılmıştı.

Çalıştaya katılmadan önce taslağın ilk çıkan hali ve çalıştay öncesinde ulaştırılan hali arasındaki farklılıkları ve bu farklılıklara ilişkin hazırladığım notlarımı bu yazı ile paylaşıyorum. Faydalı olması dileğiyle.

• Dış hizmet tanımındaki her türlü hizmetin tanımı daraltılmıştır. Yenilenmiş yönetmelik taslağında bankanın güvenliğini, sürekliliğini etkileyen ve veri erişimi ya da veri paylaşımı olan hizmetler olarak tanım güncellenmiştir.
• Hassas veri tanımı düzenlenmiştir. Hassas veri; Kimlik doğrulamada kullanılan veriler başta olmak üzere; müşteriye ait olan, çeşitli sebeplerle bankaca muhafaza edilen ve üçüncü kişilerce ele geçirilmesi halinde, bu kişilerin müşteri olan kişilerle ayırt edilebilme mekanizmalarının büyük ölçüde zarar göreceği ve dolandırıcılık ya da müşteriler adına sahte işlem yapılmasına imkan verebilecek nitelikteki verilerdir.
• Siber olay tanımı ilgili yönetmelik refere edilerek güncellenmiştir. Siber olay: 11/11/2013 tarihli ve 28818 sayılı Resmî Gazete'de yayımlanan Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğin 3 üncü maddesinde tanımlanan siber olayı,
• BS strateji planının yılda en az bir kere gözden geçirilmesi açıkca ifade edilmiştir. Öncesinde periyodik olarak gözden geçirilmesi gerektiği belirtilmişti.
• BS Yönlendirme Komitesinin BS Strateji Komitesine raporlama sıklığı yıllık iki kereden, yıllık bir kere düşürülmüştür.
• Risk analizinde gerçekleştirilen çalışmaların bütününü temsil ederek özetleyecek risk değerlendirme raporunun üst yönetime sunulması eklenmiştir.
• Riskin kabul edilmesi için mevzuata aykırılık teşkil etmemesine ek olarak BS stratejisine aykırı olmaması da eklenmiştir.
• Bilgi Güvenliği Yönetim Sisteminin ulusal ya da Uluslar arası bir standarda dayandırılması beklentisi kaldırılmıştır.
• Bilgi Güvenliği Komitesine Genel Müdürün Başkanlık etmesi maddesine ek olarak bir YK üyesi koşulu getirilmiştir. Bu yaklaşımla BG Komitesinin öneminin altı bir ton daha kalın çizilmiştir.
• Dokumanın genelinde tüm süreçler, tüm çalışanlar gibi ifadeler yumuşatılmıştır.
• BG Komitesi paydaşlarının tanımlandığı madde içerisinde İç Denetim temsilcisi belirtilmişti. Bu temsilcinin İç Denetim Biriminin üst düzey yöneticisi olduğu açıkca tanımlanmıştır.
• BS fonksiyonundan tamamen ayrı ve bağımsız kurulması talep edilen BS güvenlik fonksiyonunun direkt Genel Müdüre bağlı olmasının yanı sıra Yönetim Kuruluna da bağlanabileceği eklenmiştir.
• Bilgi Güvenliği sorumlusunun bilgi güvenliği personelinin işe alınması ve yetiştirilmesine yönelik sorumluluğunun kaldırıldığı görülmüştür.
• Hassas verilerin taranmasına yönelik madde içerisinde ilk taslakta yer verilen TC Kimlik numarası ve IBAN numarası gibi örnekler kaldırılmıştır.
• Banka personeline ve dış hizmet alımı yapılan firma temsilcilerine zorunlu gereksinim olmadıkça ve bilgi güvenliği sorumlusu tarafından onaylanmadıkça yerel yönetici yetkileri verilmez.
• Bilgi sistemleri dahilinde gerçekleşen ve bankacılık faaliyetlerine ait kayıtlarda değişikliğe sebep olan işlemler ile hassas verilere erişilmesi veya bunların sorgulanması, görüntülenmesi, kopyalanması, değiştirilmesine yönelik işlemler ve kritik bilgi varlıklarına yönelik erişim yetkilerinin verilmesi, değiştirilmesi ve geri alınmasına yönelik aktiviteler ile bu varlıklara yönelik yetkisiz erişim teşebbüslerine ilişkin iz kayıtları asgari üç yıl boyunca banka nezdinde erişime açık olur şeklinde yapılan tanım saklanma olarak güncellenmiştir.
• Olağandışı durumlar ile dolandırıcılık riski bulunan ya da yüksek riskli işlemlere yönelik rapor üretilmesi ve rapor sonuçlarının takip edilmesi konusu banka denetim birimlerince gerçekleştirilecektir şeklinde netlik kazandırılmıştır. 12-6
• Madde 13 yeni taslakta Madde 17de ele alınmıştır. Siber olay yönetimi; sızma testi ve istihbarat paylaşımı başlığı ile birlikte ele alınmıştır. Öncesinde acil ve beklenmedik durum müdahale planı ile birlikte ele alınmıştır.
• Uzaktan erişim sadece Bilgi Güvenliği Sorumlusunun onayı ile çok faktörlü kimlik doğrulaması ile gerçekleştirilebilir.
• Banka iç ağından banka dışına gerçekleştirilen bağlantıların vekil sunucu üzerinden gerçekleştirilmesine yönelik madde içerisinde vekil sunucu kaldırılmıştır.
• Kamera kayıt sistemleri tarafından kaydedilen görüntülerin farklı bir lokasyonda yedeklenmesinin sağlanması eklenmiştir.
• Büyük ve önemli projelerde risk analizlerinin sürekli gerçekleştirilmesine yönelik madde kaldırılmıştır.
• Üretim ortamına aktarılacak projelerle ilgili eğitim planı hazırlanması konusu kaldırılmıştır.
• Bankanın yazılım geliştirme sürecinde iş birimleri ile diğer paydaşların hangi aşamalarda sürece dahil olacağının yazılı hale getirilmesi eklenmiştir.
• Emanet sözleşmesi terimi yerine saklama sözleşmesi terimi kullanılmıştır.
• Waterfall yaklaşımını refere eden ifadeler net bir şekilde çıkarılmıştır.
• Madde 24-2'de sermaye yeterliliği hesaplanması gibi konularda Elektronik çizelge kullanımının kısıtlanmasına yönelik madde kaldırılmıştır.
• Kaynak kodların ilk versiyondan itibaren saklanmasına yönelik madde ana versiyonunun kaydını tutar şeklinde güncellenmiştir. Madde 23-3
• Değişikliklerin üretim ortamına aktarımdan önce hem iş birimi hem de teknik birim tarafından onaylanmasına yönelik madde sadece ilgili iş birimi şeklinde güncellenmiştir.
• İkincil merkezlerin birincil merkezlerle aynı riski barındırmamalarına yönelik talep edilen akademik rapor kaldırılmıştır.
• Birincil merkezlerin tamamen kapatılarak testlerin yapılması zorunluluğu kaldırılmıştır.
• Arama motorları ve sosyal medya mecralarından hizmet alınamaması koşulları biraz daha yumuşatılmıştır. 22-4
• Kritik bilgi sistemleri ve güvenlik kapsamında alınacak ürün ve hizmetlerin
• Türkiye'de üretilmesi veya üreticilerinin ar-ge merkezlerinin Türkiye’de bulunması tercih edilmesine yönelik madde azami özen gösterilmesi ve dış hizmet alımında önemli bir kriter olarak değerlendirilmesi şeklinde güncellenmiştir.
• Bulut hizmet alımı koşulu sadece bankalara yönelik özel bulut altyapı ile sağlanması konusununda kurul tarafından onaylanmış işletmeler tarafından sunulmasına yönelik alt yapı hazırlanmıştır.
• BS İç Kontrol ve Uyum ile BS İç denetim sorumlularının 7 yıl olarak belirlenmiş tecrübesi, 5 yıl olarak güncellenmiştir.
• BS İç denetiminin gerçekleştirilmesine yönelik 13/1/2010 tarih ve 27461 nolu RG'de yayınlanan yönetmelik referesi kaldırılmıştır.
• Madde 37 Hizmet Kalitesinin sağlanması maddesi ile sürekliliğe yönelik raporlamaların yapılması zorunluluğu kaldırılmıştır.
• Bankaların kendi web siteleri ya da internet bankacılığı hizmeti verdikleri web sitelerinde mevduatların sigortalanma koşul ve kapsamına yer verilmesi kaldırılmıştır.
• Siber güvenlik olaylarına ilişkin müşterilerin bilgilendirilmesine yönelik web siteleri üzerinden duyuru yapılması madde kaldırılmıştır.
• İlk taslakta yer alan güvenli iletişim kanalına ilişkin tanımın kaldırıldığı ve buna ilişkin dokümanın tamamında düzenlemeler yapıldığı,
• Kayıp ve çalıntı durumlarında görevliye bağlanan müşterilerin kimlik doğrulaması yapılmaksızın görevlinin bilmesi gerektiği kadar bilgiye erişmesi sağlanır ve gerekli güvenlik önlemleri alınır açıklaması gelmiştir.
• Bankaların yurtdışına veri aktarımının kanunun 73. Maddesindeki durumlar için mümkün olduğu açıkca belirtilmiştir.
• Müşteri kimlik tespiti için video konferansların kullanılabilmesi konusu getirilmiştir.
• İlkeler Tebliğinin geçerliliği ve bu yönetmeliğin yürürlüğe girmesi net bir şekilde 1/1/2020 tarihinde olacaktır diye belirtilmiştir.

Bankacılık Düzenleme ve Denetleme Kurumu ("BDDK”) gözünden Taslak Yönetmelik Sunumuna İlişkin Notlarım

26 Şubat 2019 tarihinde Deloitte ev sahipliğinde farklı rollere sahip sektör paydaşlarının katılımıyla gerçekleştirilen etkinlikte BDDK Başkan Yardımcısı Muhammet Cerit tarafından gerçekleştirilen konuşmaya ilişkin aldığım notlar ile satır başlarını aşağıdaki yazı ile aktarmaya çalıştım. 

Gerçekleştirilen sunum ile taslak yönetmelik ile neden güncelleme yapma gereği duyulduğu, güncelleme çalışmaları esnasında nelerin dikkate alındığı, hangi konuların öne çıkarılmaya çalışıldığı, değişiklik ile neyin amaçlandığı ve bundan sonraki yol haritasının nasıl olacağı katılımcılar ile paylaşılmıştır.

Ben de aldığım notlar ile yapılan konuşmayı blog yazısında konuyu merak eden profesyoneller ile paylaşmaya çalıştım.

Günümüzde Bilgi Teknolojileri faaliyetlerinin nasıl yürütüleceği ve dolayısıyla nasıl denetleneceği 2006 yılında yayımlanan ve 2010 yılında yürürlüğe giren sektörde İlkeler Tebliği olarak kısaltılan Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Yönetmeliği ile düzenlenmektedir. 10 yılı aşkın süredir hem BDDK, hem bağımsız denetim şirketleri denetimlerini bu yönetmelik hükümlerine göre gerçekleştirmektedir. Tebliğin yayımlanmasından günümüze teknoloki anlamında önemli gelişmeler olmuştur, Kişisel Verilerin Korunması Kanunu gelmiştir. 2010 yılında bu yana sahada BDDK’nın denetim tecrübeleri ve bağımsız denetim şirketleri tarafından gerçekleştirilen denetimlerde sektörde görülen hatalı uygulamalar, eksiklikler ve yanlış anlaşılmalara açıklık getirme gerekliliğinin doğduğu belirtilmiştir. Keza, BDDK tarafından talimatlar ile ele alınan hususlar da yeni yönetmelik ile ele alınmıştır. İlkeler tebliği içerisinde refere edilen çerçeveler ve standartlar mevcuttu. Ama uygulama ve denetim esnasında bazı hususlarda gri kalan alanlar olabiliyordu. Yeni yönetmelikle birlikte bu gri alanlara da açıklık getirilmesi hedeflenmektedir.

Ek olarak yönetmeliğin çıktığı dönemde dijital bankacılık denilince temelde internet bankacılığı akıllara gelirken, günümüzde dijital bankacılık kanalları mobil bankacılık, telefon bankacılığı noktasındaki gelişmeler ile oldukça genişlemiştir.

Yönetmeliğe ilişkin çalışmalar esnasında neler dikkate alındı?

Bağımsız denetim çıktıları, BDDK tarafından sahada gerçekleştirilen denetimlerde karşılaşılan konulara ek olarak 2010 yılından bu yana diğer ülkelerdeki yasal mevzuata yönelik gelişmeler ve uygulamalar uzmanlar tarafından incelenmiştir. ITIL, COBIT, çeşitli güvenlik standartları ve çerçeveler de taslak yönetmelik çalışmasında dikkate alınmıştır. Diğer devlet kurumları, savcılık ve mahkemelerden gelen taleplerle ilgili de bazı maddeler taslak yönetmelik içerisinde ele alınmıştır. Yurtdışındaki uygulamalar elbette olduğu gibi alınmamış, ülkemiz koşullarında uygulanabilecek şekliyle değerlendirilmiştir.

Kişisel verilerin korunması kanununa yönelik olarak öncesinde bilgi mimarisi ile adreslenen hususların detaylandırılması gerçekleştirilmiştir. Kişisel veriler, hassas veriler, bunların nasıl paylaşılabileceği, açık rıza, varlık envanteri gibi tanımlamalar yapılmış. Bilgi güvenliği alanında nelerin korunması gerekiyorsa bunlara ilişkin hususlar yönetmelik taslağına derç edilmiştir.

İz kayıtları günümüzde daha önemli hale gelmeye başladı. API uygulamalarından bahsediyoruz, bankalar kamu kurumlarından çeşitli web servisler ile hizmetler alıyorlar. Dolayısıyla bu kanal üzerinde dolaşan verinin güvenliğinin sağlanması da önem arz eder hale gelmiştir.

Siber güvenlik alanında Ulusal Siber Güvenlik Stratejisi kapsamında BDDK tarafından yürütülen bir takım faaliyetler mevcut. Bu konuda da düzenlemeler yönetmeliğe eklenmiştir.

Erişilebilirlik ve yedekleme yönetmelikte ele alınan bir diğer konudur.

Dış hizmet alımlarına yönelik destek hizmetleri yönetmeliğimiz vardı, ilkeler tebliğinde bir kaç madde ile konu ele alınmaktadır. Konuya ilişkin bir takım kafa karışıklıkları mevcuttu, bunların üzerinden talimatlarla geçilmiştir. BDDK, her türlü hizmetin dış hizmet olarak ele alınmasını beklemektedir. Bu süreçte bankalardan beklenti risklerin iyi yönetilmesi anlamında gerekli önlemleri almaları şeklindedir.

Internet bankacılığının yanı sıra mobil bankacılık, telefon bankacılığı, internet üzerinden bağlanabilecek herhangi bir cihaz üzerinden verilebilecek bankacılık hizmetleri ile kanallar oldukça genişledi. Bu hususlara ilişkin hükümler olabildiğince aktarılmaya çalışılmıştır.

Yönetmeliğe açık bankacılık ile ilgili temel hükümler eklenmiştir. Sektörün kendi içerisinde etkileşimin sağlanabilmesi anlamında Açık Bankacılık önemli. Bu doğrultuda ek yapılması gereken işler elbette mevcut.

Yönetmelik ile sektörel buluta özel madde açıldı.

BDDK’nın sektörden yazılan her madde için yazılım ve donanım yatırımı yapılması doğrultusunda bir beklentisi geçmişte olmadığı gibi bu yönetmelik ile birlikte de yok. Bu günden sonra da olmayacağı vurgulanmıştır. Kurumun, büyüklük bakımında birinci sıradaki banka ile en son sırada yer alan banka açısından düzenlemeye aynı gözle bakılmaması gerektiğinin farkında olduğu belirtilmiştir. Banka gruplarının kendi aralarında bir araya gelerek, yönetmeliğe ilişkin ortak önerilerini bildirmelerine yönelik bir beklenti mevcut. Türk Bankacılık sistemi içerisinde şube statüsünde bankalar, Kalkınma Yatırım Bankaları, mevduat toplayan büyük bankalar gibi çeşitli büyüklük ve yapıda bankalar mevcut. Büyük bankalardan beklenenlerin küçük bankalardan da beklenmesinin çok doğru olmadığı vurgulandı ve bu doğrultuda sektörün BDDK’ya doğru geri bildirimleri vermelerinin önemi belirtildi.

Bilgi Teknolojileri bankalar tarafından bir rekabet unsuru olarak görülmüştür. Bu sebeple iş birliği örnekleri olmamıştır. Bu yönetmelik ile ihtiyaç olması durumunda bankaların oluşturdukları iştirakler ile maliyeti paylaştıkları yatırımlar yapılması beklenmektedir. Buradaki gelişmeleri zaman gösterecektir.

Sonrasında yapılacaklar nelerdir?

BDDK tarafından görüşler toplanmıştır. Gelmeye de devam etmektedir. Dönüşlerin hepsinin üstünden tek tek geçilmektedir. BDDK’nın duruşuna uygun bir şekilde değerlendirmeler yapılmaktadır. Bildirimler sonrasında bir ara taslak oluşturulacak. Bu ara taslak oluşturulduktan sonra sektör paydaşları ile 1-2 günlük çalıştay yapılması planlanmaktadır. Banka büyüklüklerine göre seviyelendirme olabilir mi olamaz mı, mevzuatın yarattığı maliyet etkisi var mı gibi hususlar değerlendirilecek. API bankacılığının biraz daha açıklığa kavuşması gerekiyor. Belki API kullanan kuruluşların lisanslanması ihtiyacı doğabilir. Dijital onboarding ile alakalı olarak dijital olarak müşterileri nasıl kabul edebiliriz konusu BDDK tarafından üzerinden çalışılan bir diğer konu.

Özetle, Yönetmeliği görüşe açarmaktaki amaç; oluşturulan yönetmeliğin gelen gelri bildirimler ile sektörün yönetmeliği niteliğine kavuşturulması olduğu önemle vurgulanmıştır. Sektör paydaşları görüşlerini doğru bir şekilde iletebilirse, mükemmeli yakalamak elbette zor olsa da yönetmeliğin mükemmele daha çok yaklaşabileceğinin bilindiği belirtilmiştir. Yönetmelik ile amaçlanan, doğru bir şekilde riskleri yönetecek, doğru bir şekilde de sektörün önünü açabilecek yani inovatif çözümlere de fırsat verebilecek bir yapıya kavuşmaktır.