16 Mayıs 2019 Perşembe

Taslak Yönetmelik Çalıştayı Öncesi Katılımcılara ulaştırılan taslak ile gelen yenilikler - değişiklikler

3-5 Mayıs 2019 tarihleri arasında TBB'nin desteği ile gerçekleştirilen çalıştayda, taslak yönetmeliğin sektörden gelen geri dönüşlerin değerlendirilmesi sonucunda oluşturulan versiyonu BDDK yetkilileri modaratörlüğünde bankaların yetkilileri tarafından değerlendirildi ve talepler, öneriler BDDK'ya çalıştay esnasında direkt iletildi. Yeni yönetmeliğin oluşturulması esnasında BDDK sektör paydaşlarının değerlendirmelerini ve önerilerini yasal mevzuata yansıtabilmek adına gerçekten takdire şayan bir yaklaşım sergiliyor. Bu doğrultuda bankalara ek olarak bağımsız denetim şirketleri, çağrı merkezi yetkilileri gibi paydaşlarla da toplantılar gerçekleştirileceği ve görüşlerinin alınacağı çalıştay esnasında katılımcılar ile paylaşılmıştı.

Çalıştaya katılmadan önce taslağın ilk çıkan hali ve çalıştay öncesinde ulaştırılan hali arasındaki farklılıkları ve bu farklılıklara ilişkin hazırladığım notlarımı bu yazı ile paylaşıyorum. Faydalı olması dileğiyle.
  • Dış hizmet tanımındaki her türlü hizmetin tanımı daraltılmıştır. Yenilenmiş yönetmelik taslağında bankanın güvenliğini, sürekliliğini etkileyen ve veri erişimi ya da veri paylaşımı olan hizmetler olarak tanım güncellenmiştir.
  • Hassas veri tanımı düzenlenmiştir. Hassas veri; Kimlik doğrulamada kullanılan veriler başta olmak üzere; müşteriye ait olan, çeşitli sebeplerle bankaca muhafaza edilen ve üçüncü kişilerce ele geçirilmesi halinde, bu kişilerin müşteri olan kişilerle ayırt edilebilme mekanizmalarının büyük ölçüde zarar göreceği ve dolandırıcılık ya da müşteriler adına sahte işlem yapılmasına imkan verebilecek nitelikteki verilerdir.
  • Siber olay tanımı ilgili yönetmelik refere edilerek güncellenmiştir. Siber olay: 11/11/2013 tarihli ve 28818 sayılı Resmî Gazete'de yayımlanan Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğin 3 üncü maddesinde tanımlanan siber olayı,
  • BS strateji planının yılda en az bir kere gözden geçirilmesi açıkca ifade edilmiştir. Öncesinde periyodik olarak gözden geçirilmesi gerektiği belirtilmişti.
  • BS Yönlendirme Komitesinin BS Strateji Komitesine raporlama sıklığı yıllık iki kereden, yıllık bir kere düşürülmüştür.
  • Risk analizinde gerçekleştirilen çalışmaların bütününü temsil ederek özetleyecek risk değerlendirme raporunun üst yönetime sunulması eklenmiştir.
  • Riskin kabul edilmesi için mevzuata aykırılık teşkil etmemesine ek olarak BS stratejisine aykırı olmaması da eklenmiştir.
  • Bilgi Güvenliği Yönetim Sisteminin ulusal ya da Uluslar arası bir standarda dayandırılması beklentisi kaldırılmıştır.
  • Bilgi Güvenliği Komitesine Genel Müdürün Başkanlık etmesi maddesine ek olarak bir YK üyesi koşulu getirilmiştir. Bu yaklaşımla BG Komitesinin öneminin altı bir ton daha kalın çizilmiştir.
  • Dokumanın genelinde tüm süreçler, tüm çalışanlar gibi ifadeler yumuşatılmıştır.
  • BG Komitesi paydaşlarının tanımlandığı madde içerisinde İç Denetim temsilcisi belirtilmişti. Bu temsilcinin İç Denetim Biriminin üst düzey yöneticisi olduğu açıkca tanımlanmıştır.
  • BS fonksiyonundan tamamen ayrı ve bağımsız kurulması talep edilen BS güvenlik fonksiyonunun direkt Genel Müdüre bağlı olmasının yanı sıra Yönetim Kuruluna da bağlanabileceği eklenmiştir.
  • Bilgi Güvenliği sorumlusunun bilgi güvenliği personelinin işe alınması ve yetiştirilmesine yönelik sorumluluğunun kaldırıldığı görülmüştür.
  • Hassas verilerin taranmasına yönelik madde içerisinde ilk taslakta yer verilen TC Kimlik numarası ve IBAN numarası gibi örnekler kaldırılmıştır.
  • Banka personeline ve dış hizmet alımı yapılan firma temsilcilerine zorunlu gereksinim olmadıkça ve bilgi güvenliği sorumlusu tarafından onaylanmadıkça yerel yönetici yetkileri verilmez.
  • Bilgi sistemleri dahilinde gerçekleşen ve bankacılık faaliyetlerine ait kayıtlarda değişikliğe sebep olan işlemler ile hassas verilere erişilmesi veya bunların sorgulanması, görüntülenmesi, kopyalanması, değiştirilmesine yönelik işlemler ve kritik bilgi varlıklarına yönelik erişim yetkilerinin verilmesi, değiştirilmesi ve geri alınmasına yönelik aktiviteler ile bu varlıklara yönelik yetkisiz erişim teşebbüslerine ilişkin iz kayıtları asgari üç yıl boyunca banka nezdinde erişime açık olur şeklinde yapılan tanım saklanma olarak güncellenmiştir.
  • Olağandışı durumlar ile dolandırıcılık riski bulunan ya da yüksek riskli işlemlere yönelik rapor üretilmesi ve rapor sonuçlarının takip edilmesi konusu banka denetim birimlerince gerçekleştirilecektir şeklinde netlik kazandırılmıştır. 12-6
  • Madde 13 yeni taslakta Madde 17de ele alınmıştır. Siber olay yönetimi; sızma testi ve istihbarat paylaşımı başlığı ile birlikte ele alınmıştır. Öncesinde acil ve beklenmedik durum müdahale planı ile birlikte ele alınmıştır.
  • Uzaktan erişim sadece Bilgi Güvenliği Sorumlusunun onayı ile çok faktörlü kimlik doğrulaması ile gerçekleştirilebilir.
  • Banka iç ağından banka dışına gerçekleştirilen bağlantıların vekil sunucu üzerinden gerçekleştirilmesine yönelik madde içerisinde vekil sunucu kaldırılmıştır.
  • Kamera kayıt sistemleri tarafından kaydedilen görüntülerin farklı bir lokasyonda yedeklenmesinin sağlanması eklenmiştir.
  • Büyük ve önemli projelerde risk analizlerinin sürekli gerçekleştirilmesine yönelik madde kaldırılmıştır.
  • Üretim ortamına aktarılacak projelerle ilgili eğitim planı hazırlanması konusu kaldırılmıştır.
  • Bankanın yazılım geliştirme sürecinde iş birimleri ile diğer paydaşların hangi aşamalarda sürece dahil olacağının yazılı hale getirilmesi eklenmiştir.
  • Emanet sözleşmesi terimi yerine saklama sözleşmesi terimi kullanılmıştır.
  • Waterfall yaklaşımını refere eden ifadeler net bir şekilde çıkarılmıştır.
  • Madde 24-2'de sermaye yeterliliği hesaplanması gibi konularda Elektronik çizelge kullanımının kısıtlanmasına yönelik madde kaldırılmıştır.
  • Kaynak kodların ilk versiyondan itibaren saklanmasına yönelik madde ana versiyonunun kaydını tutar şeklinde güncellenmiştir. Madde 23-3
  • Değişikliklerin üretim ortamına aktarımdan önce hem iş birimi hem de teknik birim tarafından onaylanmasına yönelik madde sadece ilgili iş birimi şeklinde güncellenmiştir.
  • İkincil merkezlerin birincil merkezlerle aynı riski barındırmamalarına yönelik talep edilen akademik rapor kaldırılmıştır.
  • Birincil merkezlerin tamamen kapatılarak testlerin yapılması zorunluluğu kaldırılmıştır.
  • Arama motorları ve sosyal medya mecralarından hizmet alınamaması koşulları biraz daha yumuşatılmıştır. 22-4
  • Kritik bilgi sistemleri ve güvenlik kapsamında alınacak ürün ve hizmetlerin
  • Türkiye'de üretilmesi veya üreticilerinin ar-ge merkezlerinin Türkiye’de bulunması tercih edilmesine yönelik madde azami özen gösterilmesi ve dış hizmet alımında önemli bir kriter olarak değerlendirilmesi şeklinde güncellenmiştir.
  • Bulut hizmet alımı koşulu sadece bankalara yönelik özel bulut altyapı ile sağlanması konusununda kurul tarafından onaylanmış işletmeler tarafından sunulmasına yönelik alt yapı hazırlanmıştır.
  • BS İç Kontrol ve Uyum ile BS İç denetim sorumlularının 7 yıl olarak belirlenmiş tecrübesi, 5 yıl olarak güncellenmiştir.
  • BS İç denetiminin gerçekleştirilmesine yönelik 13/1/2010 tarih ve 27461 nolu RG'de yayınlanan yönetmelik referesi kaldırılmıştır.
  • Madde 37 Hizmet Kalitesinin sağlanması maddesi ile sürekliliğe yönelik raporlamaların yapılması zorunluluğu kaldırılmıştır.
  • Bankaların kendi web siteleri ya da internet bankacılığı hizmeti verdikleri web sitelerinde mevduatların sigortalanma koşul ve kapsamına yer verilmesi kaldırılmıştır.
  • Siber güvenlik olaylarına ilişkin müşterilerin bilgilendirilmesine yönelik web siteleri üzerinden duyuru yapılması madde kaldırılmıştır.
  • İlk taslakta yer alan güvenli iletişim kanalına ilişkin tanımın kaldırıldığı ve buna ilişkin dokümanın tamamında düzenlemeler yapıldığı,
  • Kayıp ve çalıntı durumlarında görevliye bağlanan müşterilerin kimlik doğrulaması yapılmaksızın görevlinin bilmesi gerektiği kadar bilgiye erişmesi sağlanır ve gerekli güvenlik önlemleri alınır açıklaması gelmiştir.
  • Bankaların yurtdışına veri aktarımının kanunun 73. Maddesindeki durumlar için mümkün olduğu açıkca belirtilmiştir.
  • Müşteri kimlik tespiti için video konferansların kullanılabilmesi konusu getirilmiştir.
  • İlkeler Tebliğinin geçerliliği ve bu yönetmeliğin yürürlüğe girmesi net bir şekilde 1/1/2020 tarihinde olacaktır diye belirtilmiştir.

27 Şubat 2019 Çarşamba

Bankacılık Düzenleme ve Denetleme Kurumu ("BDDK”) gözünden Taslak Yönetmelik Sunumuna İlişkin Notlarım

26 Şubat 2019 tarihinde Deloitte ev sahipliğinde farklı rollere sahip sektör paydaşlarının katılımıyla gerçekleştirilen etkinlikte BDDK Başkan Yardımcısı Muhammet Cerit tarafından gerçekleştirilen konuşmaya ilişkin aldığım notlar ile satır başlarını aşağıdaki yazı ile aktarmaya çalıştım. 

Gerçekleştirilen sunum ile taslak yönetmelik ile neden güncelleme yapma gereği duyulduğu, güncelleme çalışmaları esnasında nelerin dikkate alındığı, hangi konuların öne çıkarılmaya çalışıldığı, değişiklik ile neyin amaçlandığı ve bundan sonraki yol haritasının nasıl olacağı katılımcılar ile paylaşılmıştır.

Ben de aldığım notlar ile yapılan konuşmayı blog yazısında konuyu merak eden profesyoneller ile paylaşmaya çalıştım.

Günümüzde Bilgi Teknolojileri faaliyetlerinin nasıl yürütüleceği ve dolayısıyla nasıl denetleneceği 2006 yılında yayımlanan ve 2010 yılında yürürlüğe giren sektörde İlkeler Tebliği olarak kısaltılan Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Yönetmeliği ile düzenlenmektedir. 10 yılı aşkın süredir hem BDDK, hem bağımsız denetim şirketleri denetimlerini bu yönetmelik hükümlerine göre gerçekleştirmektedir. Tebliğin yayımlanmasından günümüze teknoloki anlamında önemli gelişmeler olmuştur, Kişisel Verilerin Korunması Kanunu gelmiştir. 2010 yılında bu yana sahada BDDK’nın denetim tecrübeleri ve bağımsız denetim şirketleri tarafından gerçekleştirilen denetimlerde sektörde görülen hatalı uygulamalar, eksiklikler ve yanlış anlaşılmalara açıklık getirme gerekliliğinin doğduğu belirtilmiştir. Keza, BDDK tarafından talimatlar ile ele alınan hususlar da yeni yönetmelik ile ele alınmıştır. İlkeler tebliği içerisinde refere edilen çerçeveler ve standartlar mevcuttu. Ama uygulama ve denetim esnasında bazı hususlarda gri kalan alanlar olabiliyordu. Yeni yönetmelikle birlikte bu gri alanlara da açıklık getirilmesi hedeflenmektedir.

Ek olarak yönetmeliğin çıktığı dönemde dijital bankacılık denilince temelde internet bankacılığı akıllara gelirken, günümüzde dijital bankacılık kanalları mobil bankacılık, telefon bankacılığı noktasındaki gelişmeler ile oldukça genişlemiştir.

Yönetmeliğe ilişkin çalışmalar esnasında neler dikkate alındı?

Bağımsız denetim çıktıları, BDDK tarafından sahada gerçekleştirilen denetimlerde karşılaşılan konulara ek olarak 2010 yılından bu yana diğer ülkelerdeki yasal mevzuata yönelik gelişmeler ve uygulamalar uzmanlar tarafından incelenmiştir. ITIL, COBIT, çeşitli güvenlik standartları ve çerçeveler de taslak yönetmelik çalışmasında dikkate alınmıştır. Diğer devlet kurumları, savcılık ve mahkemelerden gelen taleplerle ilgili de bazı maddeler taslak yönetmelik içerisinde ele alınmıştır. Yurtdışındaki uygulamalar elbette olduğu gibi alınmamış, ülkemiz koşullarında uygulanabilecek şekliyle değerlendirilmiştir.

Kişisel verilerin korunması kanununa yönelik olarak öncesinde bilgi mimarisi ile adreslenen hususların detaylandırılması gerçekleştirilmiştir. Kişisel veriler, hassas veriler, bunların nasıl paylaşılabileceği, açık rıza, varlık envanteri gibi tanımlamalar yapılmış. Bilgi güvenliği alanında nelerin korunması gerekiyorsa bunlara ilişkin hususlar yönetmelik taslağına derç edilmiştir.

İz kayıtları günümüzde daha önemli hale gelmeye başladı. API uygulamalarından bahsediyoruz, bankalar kamu kurumlarından çeşitli web servisler ile hizmetler alıyorlar. Dolayısıyla bu kanal üzerinde dolaşan verinin güvenliğinin sağlanması da önem arz eder hale gelmiştir.

Siber güvenlik alanında Ulusal Siber Güvenlik Stratejisi kapsamında BDDK tarafından yürütülen bir takım faaliyetler mevcut. Bu konuda da düzenlemeler yönetmeliğe eklenmiştir.
Erişilebilirlik ve yedekleme yönetmelikte ele alınan bir diğer konudur.

Dış hizmet alımlarına yönelik destek hizmetleri yönetmeliğimiz vardı, ilkeler tebliğinde bir kaç madde ile konu ele alınmaktadır. Konuya ilişkin bir takım kafa karışıklıkları mevcuttu, bunların üzerinden talimatlarla geçilmiştir. BDDK, her türlü hizmetin dış hizmet olarak ele alınmasını beklemektedir. Bu süreçte bankalardan beklenti risklerin iyi yönetilmesi anlamında gerekli önlemleri almaları şeklindedir.

Internet bankacılığının yanı sıra mobil bankacılık, telefon bankacılığı, internet üzerinden bağlanabilecek herhangi bir cihaz üzerinden verilebilecek bankacılık hizmetleri ile kanallar oldukça genişledi. Bu hususlara ilişkin hükümler olabildiğince aktarılmaya çalışılmıştır.
Yönetmeliğe açık bankacılık ile ilgili temel hükümler eklenmiştir. Sektörün kendi içerisinde etkileşimin sağlanabilmesi anlamında Açık Bankacılık önemli. Bu doğrultuda ek yapılması gereken işler elbette mevcut.

Yönetmelik ile sektörel buluta özel madde açıldı.

BDDK’nın sektörden yazılan her madde için yazılım ve donanım yatırımı yapılması doğrultusunda bir beklentisi geçmişte olmadığı gibi bu yönetmelik ile birlikte de yok. Bu günden sonra da olmayacağı vurgulanmıştır. Kurumun, büyüklük bakımında birinci sıradaki banka ile en son sırada yer alan banka açısından düzenlemeye aynı gözle bakılmaması gerektiğinin farkında olduğu belirtilmiştir. Banka gruplarının kendi aralarında bir araya gelerek, yönetmeliğe ilişkin ortak önerilerini bildirmelerine yönelik bir beklenti mevcut. Türk Bankacılık sistemi içerisinde şube statüsünde bankalar, Kalkınma Yatırım Bankaları, mevduat toplayan büyük bankalar gibi çeşitli büyüklük ve yapıda bankalar mevcut. Büyük bankalardan beklenenlerin küçük bankalardan da beklenmesinin çok doğru olmadığı vurgulandı ve bu doğrultuda sektörün BDDK’ya doğru geri bildirimleri vermelerinin önemi belirtildi.

Bilgi Teknolojileri bankalar tarafından bir rekabet unsuru olarak görülmüştür. Bu sebeple iş birliği örnekleri olmamıştır. Bu yönetmelik ile ihtiyaç olması durumunda bankaların oluşturdukları iştirakler ile maliyeti paylaştıkları yatırımlar yapılması beklenmektedir. Buradaki gelişmeleri zaman gösterecektir.

Sonrasında yapılacaklar nelerdir?

BDDK tarafından görüşler toplanmıştır. Gelmeye de devam etmektedir. Dönüşlerin hepsinin üstünden tek tek geçilmektedir. BDDK’nın duruşuna uygun bir şekilde değerlendirmeler yapılmaktadır. Bildirimler sonrasında bir ara taslak oluşturulacak. Bu ara taslak oluşturulduktan sonra sektör paydaşları ile 1-2 günlük çalıştay yapılması planlanmaktadır. Banka büyüklüklerine göre seviyelendirme olabilir mi olamaz mı, mevzuatın yarattığı maliyet etkisi var mı gibi hususlar değerlendirilecek. API bankacılığının biraz daha açıklığa kavuşması gerekiyor. Belki API kullanan kuruluşların lisanslanması ihtiyacı doğabilir. Dijital onboarding ile alakalı olarak dijital olarak müşterileri nasıl kabul edebiliriz konusu BDDK tarafından üzerinden çalışılan bir diğer konu.

Özetle, Yönetmeliği görüşe açarmaktaki amaç; oluşturulan yönetmeliğin gelen gelri bildirimler ile sektörün yönetmeliği niteliğine kavuşturulması olduğu önemle vurgulanmıştır. Sektör paydaşları görüşlerini doğru bir şekilde iletebilirse, mükemmeli yakalamak elbette zor olsa da yönetmeliğin mükemmele daha çok yaklaşabileceğinin bilindiği belirtilmiştir. Yönetmelik ile amaçlanan, doğru bir şekilde riskleri yönetecek, doğru bir şekilde de sektörün önünü açabilecek yani inovatif çözümlere de fırsat verebilecek bir yapıya kavuşmaktır.

25 Aralık 2018 Salı

Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik Taslağı yayınlandı.

2006 yılında bu yana Bankacılık sektöründe Bilgi Teknolojileri faaliyetlerine yönelik denetim gerçekleştirilmektedir. Bu denetim faaliyetleri temelde kısaca İlkeler Tebliği olarak tanımlanan BANKALARDA BİLGİ SİSTEMLERİ YÖNETİMİNDE ESAS ALINACAK İLKELERE İLİŞKİN TEBLİĞ kapsamında gerçekleştirilmekte ve Bağımsız Denetim şirketleri tarafından bu tebliğe dayandırılan bulgular, takip eden aylar içerisinde BDDK tarafından bankalara para cezası olarak yansımaktadır. Bir süredir çeşitli söyleşilerde BDDK yetkililerince İlkeler Tebliğinin de güncelleneceği ifade edilmekteydi ve kesin haber 25 Aralık 2018 tarihinde geldi. Yönetmeliğe uyum konusunda Bankalara verilen son tarih olarak 01 Ocak 2020. Henüz taslak aşamasında olan ve eskiden tebliğ seviyesinde ele alınan Bilgi Sistemleri Yönetimine yönelik esaslar yönetmelik seviyesinde ele alınacağa benziyor ve beraberinde çeşitli yenilikler getiriyor.

Bunlardan bazıları;
  • BS Strateji planının yıllık yönetim kurulu tarafından onaylanması
  • Görev tanımları ve çalışma esasları yazılı hale getirilmiş yönetim kurulu tarafından onaylı BS strateji komitesi ve BS Yönlendirme (steering) komitesi
     BS strateji komitesinin sorumlulukları;
  • BS strateji planına uygun planlanmış yatırımların gerçekleştirilmesi, 
  • Bankanın iş hedefleri ile BS hedeflerinin uyumluluğunun gözetilmesi,
  • Yönetim kuruluna bu konuda düzenli raporlar yapılması,
  • BS strateji planını gerekli durumlarda revize etmek ve revize edilmiş halini yönetim kuruluna sunulması,
  • BS yönlendirme komitesinin faaliyetlerinin gözetilmesi,
  • BS strateji komitesi içerisinde en az bir YK üyesinin olması gerekmektedir. BS'den sorumlu en üst düzey yöneticiye ek olarak iş birimlerinde
  • görevli üst düzey yöneticilerin de komitede yer alması. Yılda en az iki defa toplanır ve en az bir defa yönetim kuruluna raporlama yapar.
  • BS strateji komitesi ve üst düzey yönetime yardımcı olmak maksadıyla bir BS Yönlendirme Komitesi kurulur. BS yatırımlarının ve projelerinin önceliklendirilmesi, 
  • devam eden BS projelerinin takibini gerçekleştirmek, BS mimarisinin ve BS projelerinin mevzuata uygun yürütülmesi ve işletilmesini sağlamak.
  • BS Yönlendirme komitesinde BS, İK, hukuk, uyum ve bankanın iş temsilcilerinin bulunması esastır.Yılda en az iki defa toplanır, en az bir kere YK'ya raporlar.
  • BS ile ilgili bütün birimlerin görev ve sorumlulukları ile BS birimlerinde görevli BS personelinin görev tanımları açık ve net bir şekilde yazılı hale getirilmelidir.
  • YK ya da YK'nın yetki devir ettiği üst düzey yöneticiler tarafından onaylanır ve güncellikleri sağlanır.


Bütün bunlara ek olarak yönetmelik kapsamında özetle aşağıdaki bazı hükümler ele alınmaktadır.
  • Teftiş Kurullarında BS faaliyetlerini denetlemekten sorumlu olan yapı direkt iç denetimin başındaki yöneticiye bağlanmakta, yetkinlik ve yeterlilik anlamında bahsedilen ekibin başında olacak personele yönelik tanımlar yapılmaktadır.
  • Aynı tanımlar İç Kontrol Başkanlığında BS'ye yönelik İç Kontrol faaliyetlerini gerçekleştirecek bir yapı için de yapılmakta. 
  • Her iki ekibin başında yer alacak personel için de ilgili sertifikalara sahip olmak, minimum 7 yıl BS yönetişim, siber güvenlik gibi alanlarda tecrübe sahibi olmak gibi kıstaslar getirilmiş durumda.
  • Bilgi güvenliği organizasyonu, roller ve sorumluluklara yönelik tanımlar mevcut; özellikle güvenlik ürünlerinin yönetiminden sorumlu ekibin Bilgi Güvenliği Sorumlusuna bağlı olması ve Bilgi Güvenliği Sorumlusunun da ilgili GMY'ye bağlı olması gerektiği belirtiliyor. Diğer bir deyişle bağımsızlığı güçlendirmek adına güvenlik fonksiyonu diğer bt operasyon ekiplerinden ayrı bir şekilde konuşlandırılıyor.
  • Denetim komitesinde BS denetim ve iç kontrol faaliyetleriyle ilgili tecrübesi olan bir üye olması gerekliliği ise bir diğer önemli husus.
  • Varlık envanterinin oluşturulması ve veri sınıflandırma çalışmasının yapılması
  • Kişisel verilerin korunması kanununa uyuma yönelik maddeler de mevcut. KVKK yönetmeliğin içerisinde kendisini çok açık hissettiriyor.
  • Bulut Bilişim kullanıma belirli kıstaslarla izin verildiği görülüyor.
Bu ve benzeri yenilikleri BDDK tarafından yayınlanan taslak yönetmelikte bulabilirsiniz.

Gelecek vadede yönetmelikle ilgili daha detaylı notlarımı diğer yazılarda ele almayı planlıyorum. 

10 Kasım 2017 Cuma

ISACA Member Get a Member Programı Nedir?



ISACA Member Get A Member projesi ISACA'nın yıllardır yürüttüğü bir program; açıkcası önceleri çok da dikkatimi çekmeyen üye olan zaten faydasını vs öğrenir ve zaten üye olur gözü ile baktığım bir programdı. Hali hazırdaki üyeleri çevrelerindeki çalışma arkadaşlarını üyeliğe teşvik etmeleri için motivasyonlarını artırmayı amaçlayan bir program olarak görürdüm hep.

Yıllar sonra bu programı her sene ısrarla yürütüyorlar, nedir faydası diye bir göz atayım dedim ve gördüm ki bu program aracılığı ile sadakat artırıcı bir faaliyey yürütüyorlar. Sıfırdan üye olanlara ve ISACA üyesi birisini ISACA üye numarası ile referans gösterenlere ise Yeni Üye İşlem Ücreti şeklinde Türkçeleştirebileceğim New Member Processing Fee'den muafiyet tanıyorlar. Bu tutar 10 USD.

Üyelik numarası referans için verilen üyelere ise ISACA'nın hediyeleri oluyormuş meğer.

Detaylar için ilgili sayfayı ziyaret edebilirsiniz.

Yeni üyelik işlemi gerçekleştirecekseniz referans için 711445

Üyelik, sertifika sınavları ve ISACA ile ilgili merak ettiğiniz bütün sorular için ise bana sağ altta yer alan iletişim kutusundan ulaşabilirsiniz.

2 Ekim 2017 Pazartesi

CISA Sorular, Cevapları ve Açıklamalar Rehberi Türkçe!


Öncesinde CISA sınavına hazırlık kaynaklarının Türkçeye çevirilmesi noktasında bazı haberleri blogumda paylaşmıştım. ISACA ile yapılan görüşmelerimiz netice vermiş ve hazırlık kaynaklarından CISA Questions, Answers and Explanation rehberinin güncel basımı 11. baskının Türkçeleştirilmesi için bütün hazırlıklar tamamlanmıştı.

ISACA Istanbul ve Ankara Chapter üyelerinden oluşan gönüllü ekibi ile hassas bir çalışmanın neticesinde 4 ay gibi bir sürede çevirisi bitirilen rehber, kitap düzeniydi, karşılıklı yazışmalardı derken Eylül ayı sonunda CISA web sitesinden ulaşılabilir hale geldi. 1000'den fazla örnek soru ve çözüme yönelik açıklamaları içeren rehberi buradan satın alabilirsiniz. ISACA üyelerine eser 120 USD, üye olmayanlara ise 156 USD olarak sunulmaktadır.

Öncesinde çok soru ve mail alıyordum. Türkçe kaynak mevcut mu, örnek sorular var mı elinizde minvalinde. Bu eserin bu soruların hepsine ve Türkçe sunulan sınava gireceklerin ihtiyaçlarına cevap olacak nitelikte olduğunu düşünüyorum.

Çeviri de 36 profesyonelin katkısı var. İsimlerini bu yazı da ayrıca tek tek sıralayamıyorum. Buradan gerek eserle ilgili detaylı bilgiye, gerek katkı sağlayanların listesine ulaşabilirsiniz. Ben bu yazıyla sektörün tespit edilen ihtiyacı noktasında önemli bir adım olarak gördüğüm bu çalışmada ISACA Istanbula destek olan herkese tek tek teşekkür etmek istiyorum.

Gelelim kitabı edinme yöntemlerine. Tek yöntem ISACA web sitesinden sipariş etmek. Kargo ücreti ve kaç günde kitabın elinizde olacağı bilgisinin hepsi satın alım esnasında sizinle sistem tarafından paylaşılmaktadır. Türkiyede yer alan Chapterların kitabın edinilmesi noktasında rolü bulunmamaktadır.

Çeviri projeleri çok zor projelerdir. Koordinasyonu ve eserdeki bütünlüğü sağlamak o kadar zordur ki sürekli okumak, sürekli gözden geçirmek gerekebilir. Eserin sürekli demlenmesi, sürekli okunması doğal olarak da zaman ayırılması gerekir. Ortaya birilerine fayda sağlamak adına bir sürü emek koyarsınız ama insanlar eleştirmek istediklerinde bir iki cümle ile aslında bilmedikleri onca emeğe haksızlık ederler. (ki bu tamamen farklı bir konu.) Buna ek olarak her çeviri projesinde de siz de çeviri işini, tekniklerini öğrenirsiniz. Dileğim CISA adaylarına eserin bir nebze de olsa fayda sağlayabilmesidir.


10 Kasım 2016 Perşembe

CISA Sınavındaki Değişiklikler

Kısa Kısa Yenilikler;

  • Sınav paper-based uygulamadan computer-based uygulamaya geçiyor. Sık Sorulan sorular sayfası için burayı tıklayınız.
  • Sınav salonlarında bilgisayarlı sınav uygulama merkezlerine kayıyor.
  • Sınav soru sayısı 200'den 150'ye çekildi.
  • Alanların ağırlıklarında değişiklikler mevcut. Güvenlik ile alakalı domain olan 5. alanın ağırlığında önemli bir azalma, BT denetim süreci ile alakalı domain olan 1. alanda ciddi artış mevcut.
  • Sınavlar eskiden Ankara ve İstanbulda uygulanabiliyordu, artık İzmir'de de uygulanabiliyor. Güncelleme (17.08.2017): Sınavların hangi illerde ve test merkezlerinde uygulandığının en güncel bilgisini buradan edinebilirsiniz.
  • CISA Review manual elektronik kitap formatında da sunuluyor. Epub uzantılı, Adobe Digital Rights uygulaması üzerinden.
  • Sınav konularında güncellemeler mevcut. Göz atmakta fayda var.
  • ISACA tarafından sunulan online eğitim modülü mevcut. Online olarak kaydedilmiş içerikleri dinleyebiliyorsunuz. Detaylar burada

İyi günler,

CISA sınavına hazırlık serüvenimi paylaştığım bu sayfalarda zaman zaman CISA ve ISACA tarafından sunulan diğer sertifika sınavları ile ilgili gelişmeleri paylaşmıştım. Bu yazı aracılığı ile de 2017 yılı içerisinde sınavların uygulanmasına yönelik değişiklikleri paylaşıyor olacağım. Amacım kariyerine BT denetim ve yönetişim alanında yön vermek isteyen profesyonellere bir nebze de olsa katkı sağlamaktır.

ISACA tarafından sunulan sınavlar yıllardır Paper-based olarak, belirlenen sınav lokasyonlarında sunulmaktaydı. Kayıt işleminde seçimini yaptığınız lokasyona göre adaylara sınava girmeden önce sınav salon adresleri duyurulur ve Türkiyede hepimizin aşina olduğu kağıt tabanlı yöntem ile sınavlar uygulanırdı. (Bu uygulama ile son sınav 10 Aralık itibari ile bitiyor.)

Öncelikle belirtmekte fayda var ki 2016 yılı içerisinde sınav konularında güncelleme oldu ve domain ağırlıkları değiştirildi. Bu güncellemeler ile birlikte ISACA'da Job Pratice Areas olarak nitelendirilen İş Pratikleri diye Türkçeye çevirdiğimiz ve CISA sınavı kapsamında soru yöneltilen alanlara buradan ulaşabilirsiniz.

CISA temelde 5 alandan (domainden) oluşmaktadır. Bu beş alanda adayların Bilgi Sistemleri Denetim sürecine, BT Yönetim ve Yönetişim süreçlerine, Bilgi Sistemleri Edinim, Geliştirme ve Implemente etme (Uygulama) süreçlerine, Bilgi Sistemleri operasyon, bakım ve servis yönetimi süreçleri ve bilgi varlıklarını koruma süreçlerine yönelik bilgi düzeyleri ölçülmektedir. Alanların İngilizcesi aşağıdaki gibidir;

Domain 1—The Process of Auditing Information Systems (21%)
Domain 2—Governance and Management of IT (16%)
Domain 3—Information Systems Acquisition, Development and Implementation (18%)
Domain 4—Information Systems Operations, Maintenance and Service Management (20%)
Domain 5—Protection of Information Assets (25%)

2016 yılı içerisindeki değişiklikle alanlardaki soru ağırlıkları değiştirilmiştir. Eskiden sınavda büyük bir ağırlığa sahip olan Domain 5'in ağırlığı yüzde 30'dan yüzde 25'e indirilmiştir. Teknik altyapıya sahip olmayan ya da Bilgi Güvenliği alanına göreceli az ilgi duyan adayları zorlayan bu alana ilişkin yöneltilen soru sayısı azaltıldı. Alan 5' e ek olarak Bilgi Sistemleri operasyon, bakım ve destek süreci olan Alan 4'ün  (Yüzde 3'lük azalma) ve Alan 2 olan Yönetişim ve Yönetim alanlarının (yüzde 4'lük azalma) de soru ağırlığı azaltılmıştır. Alan 1 olan BT Denetim sürecinin ağırlığı yüzde 7'lik bir oran ile önemli oranda artırılmıştır. Alan 3 ise yüzde 3'lük bir ağırlık artışı görmüştür.

Özetle, öncesinde temelde Bilgi Varlıklarının Korunması alanındaki ağırlığın Bilgi Teknolojileri Denetim sürecine kaydığını söylemek çok da yanlış olmayacaktır.

ISACA tarafından sınav hazırlığına yönelik sunulan kaynaklara buradan ulaşabilirsiniz.

Sunulan kaynaklara göz gezdirdiğim zaman şimdiye kadar baskı şeklinde sunulan temel kaynak olan CISA Review Manual'ın artık ebook formatında da sunulduğunu ve baskı kitap fiyatı ile aynı fiyata sunulduğunu görüyorum. Öncesinde maalesef bu opsiyon olmadığı için kargoyu ciddi bir zaman dilimi beklemeniz gerekiyordu.

Bir diğer önemli değişiklik ise sınav lokasyon sayısının artması. Türkiye özelinde İstanbul ve Ankarada uygulanabiliyorken sınavlar artık Bilgisayar destekli sınav merkezlerinde uygulanmaya başlanması ile birlikte Bursa, Gaziantep ve İzmirde de adaylar sınavlara girebilecekler.

Sınav uygulaması artık şu şekilde gerçekleştiriliyor; isaca.org üzerinden kaydınızı gerçekleştiriyorsunuz ve sınav uygulaması açıldığı zaman kendinize bir sınav günü tanımlıyorsunuz. İlgili sınav merkezine tanımladığınız günde gidip, sınavınızı alıyorsunuz.

2017 Yılı için tarihler şu şekilde;


İlk uygulanacak sınav için kayıtlar 15 Kasım itibari ile açılmış görünüyor. İlk sınav için erken kayıt 28 Şubatta, sonrasında 23 Hazirana kadar kayıt olabiliyorsunuz. Erken kayıt imkanından faydalanarak indirimli fiyat ile sınava kayıt olabiliyorsunuz. Kayıttan sonra 1 Mayıs ile 30 Haziran aralığında sınavınızı sınav merkezinin web sitesinden belirleyebiliyorsunuz.

Sınav 2017 yılı için;

İlk pencere 1 Mayıs - 30 Haziran
İkinci pencere 1 Ağustos - 30 Eylül
Üçüncü pencere ise 1 Kasım - 31 Aralık tarihlerinden oluşuyor.

Dolayısıyla bu tarihler arasında belirlediğiniz bir tarihte sınavınızı alabiliyorsunuz.

Her sertifika sınavı için toplamda 150 soru yöneltiliyor adaylara ve toplam sınav süresi 4 saat olarak veriliyor. Sınavdan 15 dakika önce sınav merkezinde olmanız bekleniyor.

Sınavın uygulanması ile ilgili daha fazla detayı buradan edinebilirsiniz.

Hazırlanma periyodu ile ilgili önerilerimi ise ayrıca vurgulamak istiyorum. Hazırlanma aşamasında konulara hakimiyetten emin olana kadar okumak, sonrasında ise bol soru çözmek önemli. ISACA tarafından sunulan soru kaynakları yukarı paylaştığım bağlantıda yer alıyor. Benim hayati gördüğüm bir nokta ise ISACA Istanbul tarafından sunulan CISA Sınavı Hazırlık Eğitimleri. 5 gün süren hızlı bir bilgi bombardımanından sonra örnek soru çözümleri ile sınava son hazırlığı gerçekleştirmiş oluyorsunuz. ISACA tarafından sunulan eğitimlere buradan göz atabilirsiniz.

Hazırlanmaya yönelik bir diğer önerebileceğim kaynak ise online eğitim modeli. ISACA tarafından sunulan ve online eğitim içeriklerinin yer aldığı sayfadan konuları eğitmenden dinlemeniz mümkün. Bu eğitimin detayları için ise sizi buradan alalım.

Umarım yazı CISA adayları için faydalı olur. Sormak istediğiniz sorular için bana hayrican.duygun@isaca-istanbul.org mail adresinden ulaşabilirsiniz.



31 Mayıs 2016 Salı

En sağlam ödeme platformu Paypal neden Türkiyede lisans alamamış olabilir?

Dün Paypal'in Türkiyedeki operasyonlarını 6 Haziran 2016 sonrasında durduracağını açıklamasının akabinde sosyal medya kullanıcıları ve bir şekilde yolu alıcı ya da satıcı olarak elektronik ticaretten geçen herkesi ilgilendiren bu olay internet üzerinde geniş yankı buldu.

Bir kesim Dünyanın en sağlam ödeme platformu olarak nitelendirilen Paypal'in Türkiye Bankacılık sektörü otorite kuruluşu BDDK tarafından lisanslanmamasını eleştirirken, bir kesim ise Paypal'in faaliyet gösteremediği ülkeler listesini paylaşarak geneliyle demokrasinin uygulanışı konusunda problemli olan Kuzey Kore, İran gibi ülkelerin yer aldığı bu listede Türkiye'nin de yer almasının olumsuz yönlerini ön plana çıkarmaya çalıştı. Elektronik ticaretin bu derece hayatımızın neredeyse her alanına girdiği bir çağda acaba BDDK ne olmuş olabilir de Dünyada güvenirliğini kanıtlamış olan bir global şirket lisans alma başarını gösterememiş olabilir sorusunu biraz irdelemek istiyorum bu yazı ile.

Öncelikle başlangıçta belirtmekte fayda vardır ki amacım bu yazı ile herhangi bir kurumu savunmak ya da eleştirmek asla değildir. Sadece yapılan yorumlara yönelik perspektifi uygulamalara yönelik genişletmek ve bu şekilde daha doğru yargılaya varılabilmesine vesile olmaktır. Türkiyedeki faaliyetlerin durdurulması ile ilgili bu gelişme göstermektedir ki; global ölçekte faaliyet gösteren çok uluslu bir şirket olmak, tüketiciler tarafından en sağlam (tahmin ediyorum bu tabirle güvenilirliği vurgulamak istiyorlar) ya da milyonlarca kullanıcıya sahip olmak başlı başına BDDK tarafından lisanslanmak ve Türkiye'de ödeme hizmeti kuruluşu olarak faaliyet göstermek için gerekli olan lisansa sahip olmak adına yeterli olmuyormuş.

Aslında konuyu başlangıcından ele almak, biraz yasal altyapı açısından değerlendirmek oldukça önemli. Bu yasal gerekliliklerin uygulanabilir olması ise ayrı bir konu. Bankacılık, aracı kurumlar ve ödeme kuruluşları faaliyetlerini düzenlemek ve denetlemek ile yükümlü kurum BDDK 27 Haziran 2013 tarihli ÖDEME VE MENKUL KIYMET MUTABAKAT SİSTEMLERİ, ÖDEME HİZMETLERİ VE ELEKTRONİK PARA KURULUŞLARI HAKKINDA KANUN isimli kanun ile ödeme ve menkul kıymet mutabakat sistemlerine, ödeme hizmetlerine, ödeme kuruluşlarına ve elektronik para kuruluşlarına ilişkin usul ve esasları düzenlemektedir. Bu kanun ile ilgili sektörde yer alacak firmaların kuruluş yapılarından tutun, kurumsal yönetim yapılarına, faaliyetlerini yürütmelerine yönelik genel kabul görmüş şeffaflık, denetlenebilirlik gibi yapılara sahip olmalarına kadar hükümler bu kanun ile tanımlanmıştır. Ek olarak ödeme hizmeti, ödeme hizmeti kuruluşu, elektronik para, elektronik para kuruluşu gibi kavramların BDDK açısından tanımlarını açıkça yapmıştır. Bu kanunun önemli başlıklarından birisi belirlenmiş olan yükümlülükleri yerine getirmek ve BDDK'nın belirlemiş olduğu gereksinimleri ön görülen süreye kadar tamamlamak ve faaliyete devam edebilmek için faaliyet lisansı almak olarak tanımlanmıştır. Bunlara ek olarak kanun içerisinde denetim hükümleri, fonların korunması ve teminat hükümleri, kurumlar arası işbirliği hükümleri, kuruluş pay sahipliği hükümleri ele alınmış; lisanssız faaliyet göstermek ya da bildirim hükümlerine uymamak gibi durumların cezai yaptırımları da kanunda yerini almıştır. Yeri gelmiş iken bilgi olarak paylaşayım lisanssız olarak faaliyet göstermenin cezası bir yıldan üç yıla kadar hapis ve beş bin güne kadar adli para cezası olarak belirlenmiştir. 

Kanunun akabinde amacı Türkiye’de faaliyet gösteren ödeme kuruluşları ve elektronik para kuruluşlarının yetkilendirilmesi ve faaliyetleri ile ödeme hizmetleri ve elektronik para ihracına ilişkin usul ve esasların düzenlenmesi olan yönetmelik 27 Haziran 2014 tarihinde yayınlanmıştır. Bu yönetmelik ile faaliyet izni elde edebilmek için yerine getirilmesi gereken yükümlülükler ifade edilmiş ve bu yükümlülüklerin sektörde faaliyet gösteren aktörler tarafından yerine getirilmesi akabinde lisans alınması için BDDK'ya başvurulması gerekliliği vurgulanmıştır. Bu lisans başvurusu için kuruluşlar hem süreçlerinde hem kurumsal yapılarında düzenlemeler yapmak, yazılım ve donanım altyapılarına yönelik denetlenebilir bir yapı oluşturmak, belirli standartlarda kaliteli hizmet verebilmek adına BDDK tarafından yönetmelik ile belirlenen süreçleri tanımlamak ve işletmekle mükellef kılınmışlardır. Kurumsal yapıyı değerlendirmek gerekirse BDDK kuruluşlardan bir iç kontrol ve denetim mekanizmasını kurmasını, Yönetim Kurulu üyelerini Bankacılık Kanununda tanımlanan Banka Kurucuları gereksinimlerine sahip adaylar arasından seçmelerini, Bilgi Güvenliği anlamında hem sorumlu profesyonele sahip olmalarını, hem süreçlerini tanımlayıp, işletebilir hale gelmelerini istemektedir. Süreçler ile ilgili olarak ise sisteme gönderici tarafından eklenen ve alıcı tarafından alınmayan paraları ya da ihraç edilen ve henüz hizmete dönüşmeyen elektronik paraların Kuruma bildirilmiş banka hesaplarında bloke edilmesi ve düzenli raporlamasını içeren bir dizi sürecin olması örnek verilebilir. Hatta ve hatta Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ isimli tebliğ ile denetimi çok önemli bir noktaya gelen bilgi sistemlerinin nasıl yönetileceğini tariflenmiştir. Bu tebliğ aynı zamanda Bilgi Teknolojileri denetim kapsamı hakkında da genel bir fikir vermektedir. Bu tebliğden yola çıkarak basit bir yorumla şunları söyleyebilirim; kuruluşlardan sistemlerini yurt içerisinde konumlandırmaları, faaliyetlerine yönelik iz kayıtlarını yurt içerisinde tutmaları ve gerekmesi dahilinde kurum talep ederse denetime açmaları (dolayısıyla Türkiyede global aktörlerin acentesi gibi çalışan şirketler ya kendi yapılarını kurma ya da global sistem sahibi ile denetime yönelik yapının tasarlanabilirliğini müzakere etme durumunda kalmışlardır), bilgi sistemlerine yönelik riskleri belirlemeleri ve düzenli takip gerçekleştirmeleri, bilgi güvenliği süreçlerini tanımlamaları, işletecekleri yapıları kurmaları ve düzenli raporlamaları, güvenlik olaylarına yönelik yönetim süreçlerini tanımlamaları, veri gizliliği, güvenliği ve yetkilendirme mekanizmalarına yönelik süreçleri tanımlamaları ve işletmeleri, bağımsız denetim ve BDDK tarafından gerçekleştirilecek denetimlere yönelik denetim izlerini oluşturmaları ve saklamaları, kimlik doğrulama mekanizmalarını belirlenen spesifikasyonlara göre oluşturmaları, bilgi sistemlerine yönelik olarak süreklilik planları hazırlamaları, planları güncel tutmaları, periyodik olarak planlara yönelik tatbikatlar gerçekleştirmeleri, bilgi sistemlerine yönelik dış hizmet alımlarını belirli standartlara göre yapmaları, bizzat kontrolü kendilerinde olacak şekilde yönetmeleri, hizmet sunumu esnasında belirli aşamalarda kullanıcıları bilgilendirmeleri (dolayısıyla buna uygun altyapı kurmaları), elbette kullanıcı bilgilerinin gizliliğini sağlamaları, üye kuruluş, şube gibi yapıları izleyebilecek ve denetleyebilecek yapılar kurmaları, iç denetim unsurları ile denetlemeleri, bilgi sistemleri yapılarını iki yılda bir bağımsız denetim kuruluşlarına denetletmeleri, tahsis edilen iç kontrollere yönelik güvence vermek adına yönetim beyanı faaliyetleri yürütmeleri beklenmektedir.

Görüleceği gibi şeffaf, yüksek standartlarda hizmet sunulması, gerekli güvenliğin ve gizliliğin sağlanmasına yönelik adımlar atılması, denetlenebilir bir yapı kurulması, iç denetim yapılarının işletilmesi ve iç denetim fonksiyonu ile yönetimin desteklenmesi, üst düzey yönetim yapılarının bankacılık kanunu 6. maddede yer alan banka kurucularında aranan şartlara sahip kişiler tarafından oluşturulması, şeffaf ve ulaşılabilir bir şekilde pay sahipliği yapısına sahip olunması gibi özelliklere sahip bir yapı kurulması planlanmıştır.

Bu genel bilgilendirme sonrasında insanların aklında acaba belirlenen bunca yasal gereksinim ile acaba global aktörlerin ülkemizde faaliyet göstermesi zorlaştırılıyor mu sorusu gelebilir. Aslında burada sektör direkt para ile ilişkili mahiyette olması sebebiyle sosyal medya araçları sunan girişimlerle bir tutulmaması gerektiğini ve yapıyı güçlendirebilecek bu gereksinimlerin önemli olabileceğini vurgulamak isterim. Zaten hali hazırda yasal otorite sektörde faaliyet gösteren aktörlerden gelen geri dönüşleri değerlendirmekte ve uygulanabilirliğinin tekrar değerlendirilmesi talep edilen hükümlere yönelik düzenlemeler yapmaktadır ve ilgili sektöre yönelik de yapmıştır.

Denilebilir ki; global çapta yüzlerce kişi tarafından kullanılan Paypal tüm bu gereksinimleri yerine getirebilecek yetkinliğe ve yeterliliğe sahip değil midir yani, ya da Türkiye bu aktörleri bu kadar gereksinim ile Türkiye piyasasında faaliyet getiremeyecek noktaya mı getirmektedir? 

Yukarıda da sıraladığım gibi bu lisansa sahip olmak için ciddi bir yapıya, ciddi altyapı yatırımına, otorite kuruluş ve bağımsız denetim şirketleri ile (denetime yönelik gerekliliklerden dolayı) ilişki geliştirilmesine kısacası ciddi bir şekilde çalışmaya ve yatırım yapmaya gerek olduğu çok açık. Niyetim asla Paypal gereken bu yatırımı yapmamıştır demek ya da lisans alamaması sebebiyle eleştirmek gibi bir şey değildir. Daha ziyade sektörün ciddi bir şekilde otorite kuruluş tarafından yapılandırıldığı, denetim mekanizmasının (özellikle bilgi teknolojileri yönetişim ve denetimine gösterilen önem benim gibi Bilgi Teknolojileri Denetçileri için oldukça güzel haber- ki bu konuda lisans sahibi denetçinin Türkiye'de 400'ü geçemeyecek olması gerçeği daha net fikir verebilir.) ve kurumsal yönetime yönelik yapıların kuruluşlarda ciddi şekilde kurulmasına yönelik adımların atıldığı, periyodik raporlamalar ile faaliyetlerin de yakinen izleneceğini vurgulamaya çalışıyorum.

Özetle, aslında gerçekten de bu alanda ilgili lisans sahibi olmak kolay olmamakla birlikte hem maddi, hem insan kaynağı açısından ciddi bir yatırım gerektiriyor.

Linkedin üzerinden gördüğüm ise Paypal'ın Türkiye'de yapılanmaya gittiği, bilgi güvenliği ve bilgi teknolojileri denetimine yönelik sektörde istihdam gerçekleştirdiği yönünde. Anladığım kadarı ile BDDK tarafından tanımlanan süre içerisinde lisans almaya yönelik faaliyetlerin tamamını gerçekleştiremediği ve bu sebebiyetle de BDDK'nın faaliyetlerini durdurması ya da askıya alması yönünde talimatta bulunduğu. Bu sürecin diğer bir değerlendirilmesi gereken yönü ise Paypal tarafından gerçekleştirilen bunca yatırımın ve istihdam edilen profesyonelin akıbetinin ne olacağı. 

Paylaşılması gereken bir diğer husus ise 31.05.2016 tarihi itibari ile 14 ödeme kuruluşunun, 6 elektronik para kuruluşunun bahsi geçen lisansı aldığıdır. Tahmin ediyorum ki Paypal'in çekilmesi ile oluşan bu boşluk lisans sahibi firmalar tarafından doldurulacaktır. (Kriz gibi görünen durum aslında birileri için fırsat barındırıyor olabilir.)

Gelecek vadede hem tüketici, hem de elektronik ticaret alanında faaliyet gösteren anlamında ticari paydaşların bu gelişmeden etkileneceği kesin olmakla birlikte ne gibi gelişmelerin olacağını ise hep birlikte göreceğiz.