Bilgi Alışverişi, Takas ve Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetimi

Sır kapsamındaki verilere ilişkin olarak, bilgi alışverişi, takas ve mahsuplaşma kuruluşları ile veri alışverişinde bulunan kişilere uygulanan kimlik doğrulama mekanizması birbirinden bağımsız en az iki bileşenden oluşacak. Bu iki bileşen; kişinin "bildiği", "sahip olduğu" veya "biyometrik bir karakteristiği olan" unsur sınıflarından farklı ikisine ait olmak üzere seçilecek. Bileşenler tamamen kişinin şahsına özgü olacak ve bunlar sunulmadan kimlik doğrulama gerçekleştirilemeyecek, hizmetlere erişim sağlanamayacak.

Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) Bilgi Alışverişi, Takas ve Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler ile İş Süreçleri ve Bilgi Sistemlerinin Denetimine İlişkin Tebliğ, Resmi Gazete'nin bugünkü sayısında yayımlanarak yürürlüğe girdi.

Tebliğ, risk merkezi, bilgi alışverişi, takas ve mahsuplaşma kuruluşlarının faaliyetlerinde kullandıkları bilgi sistemlerinin yönetiminde esas alınacak asgari usul ve esaslar ile bilgi sistemleri ve iş süreçlerinin, yetkilendirilmiş bağımsız denetim kuruluşları tarafından denetlenmesi ile ilgili esasları düzenliyor.

Buna göre, kuruluşlar faaliyetlerini yürütmeleri, gerekli olan bütün bilgilerin, elektronik ortamda güvenli ve istenildiği an erişime imkan sağlayacak şekilde kaydedilmesini ve kullanılmasını sağlayan altyapı, donanım, yazılım ve veriden oluşan birincil  sistemleri ile bunların yedeklerini içeren ikincil sistemlerini yurt içinde bulunduracak. Kuruluşlar kendi alanına giren konularda sahtecilik ve dolandırıcılık olaylarını önleyici çalışmalar yapacak, güvenlik önlemlerini belirleyecek, ilgili taraflar arasında gerekli bilgi paylaşımının sağlandığından emin olacak şekilde mekanizmalar kuracak ve sağlanan bilgi paylaşımının etkinliğini takip edecek.

Sır kapsamındaki verilere ilişkin olarak kuruluş ile veri alışverişinde bulunan kişilere uygulanan kimlik doğrulama mekanizması birbirinden bağımsız en az iki bileşenden oluşacak. Bu iki bileşen; kişinin "bildiği", "sahip olduğu" veya "biyometrik bir karakteristiği olan" unsur sınıflarından farklı ikisine ait olmak üzere seçilecek. Bileşenler tamamen kişinin şahsına özgü olacak ve bunlar sunulmadan kimlik doğrulama gerçekleştirilemeyecek, hizmetlere erişim sağlanamayacak.

Güvenli elektronik imza kullanıldığı takdirde bu hükümler yerine getirilmiş sayılacak. Müşteri bilgilerinin 3. taraflarla paylaşılması için alınması gereken müşteri rızası, iki bileşenli kimlik doğrulama yapılması ve bilgilerin paylaşımına müşterinin onay verdiğinin gerektiğinde kanıtlanabilmesine yönelik tedbirlerin alınması şartıyla elektronik ortamda alınabilecek. Sızma testi yılda en az bir defa yaptırılacak.

Acil ve beklenmedik durum planı oluşturulacak

Kuruluş, bilgi sistemlerine ilişkin beklenmedik olayları yönetmek ve bunların etkilerini en aza indirmek üzere acil ve beklenmedik durum planı oluşturarak gerekli önlemleri alacak, faaliyetlerin güvenilir bir şekilde sürdürülmesini sağlayan hızlı, etkili ve düzenli bir tepki süreci ile beklenmedik olayları erken haber almayı sağlayacak mekanizmaları tesis edecek.

Ayrıca, bilgi alışverişi, takas ve mahsuplaşma sisteminin sürekliliğinin sağlanabilmesi adına üye kuruluşlar tarafından alınması gerekli olan tedbirleri belirleyecek ve yazılı olarak üyeleriyle paylaşacak. Kuruluş, söz konusu önlemleri belirtilen tarihe kadar almayan üye kuruluşu, alınması talep edilen tedbir ve üye kuruluşa verilen süre ile birlikte en geç bir ay içerisinde BDDK'ya bildirecek.

Kuruluşun bilgi sistemleri, iş süreçleri ve iç sistemlerinin denetimi ve denetim sonuçlarının raporlanması ilgili yönetmelik kapsamında yetkilendirilmiş veya izin verilmiş bağımsız denetim kuruluşlarınca gerçekleştirilecek.

İş süreçleri denetimi her yıl, bilgi sistemleri denetimi iki yılda bir yapılacak. BDDK, gerekli gördüğü hallerde denetlenenlerden herhangi biri ya da tüm denetlenenler için, bu denetimlerin kapsamını ve sıklığını farklılaştırabilecek.

Kuruluş, mevcut faaliyet ve sistemleri ile destek hizmeti alınan kuruluşlar ile imzalanan sözleşmelerini 1 Ocak 2015 tarihine kadar bu Tebliğde yer alan hükümlere uygun hale getirecek.

İş akış şemaları 1 Ocak 2014, yönetim beyanı ise 30 Ocak 2015 tarihine kadar hazırlanacak.

Kuruluş, 1 Ocak 2014 tarihinden itibaren bilgi sistemleri ve iş süreçleri denetimlerini yetkili kuruluşlara yaptıracak. - Ankara