
Bankacılık Düzenleme ve Denetleme Kurumu (BDDK), Risk Merkezi, bilgi alışverişi, takas ve mahsuplaşma kuruluşlarının faaliyetlerinin ifasında kullandıkları bilgi sistemlerinin yönetiminde esas alınacak asgari usul ve esaslar ile bilgi sistemleri ve iş süreçlerinin, yetkilendirilmiş bağımsız denetim kuruluşları tarafından denetlenmesi ile ilgili esasları düzenledi. Sır kapsamındaki verilere ilişkin olarak Risk Merkezi ile bilgi alışverişi, takas ve mahsuplaşma kuruluşları ile veri alışverişinde bulunan kişilere uygulanan kimlik doğrulama mekanizması birbirinden bağımsız en az iki bileşenden oluşacak. Bu iki bileşen; kişinin "bildiği", "sahip olduğu" veya "biyometrik bir karakteristiği olan" unsur sınıflarından farklı ikisine ait olmak üzere seçilecek.
BDDK'nın, Bilgi Alışverişi, Takas ve Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler İle İş Süreçleri ve Bilgi Sistemlerinin Denetimine İlişkin Tebliğ Resmi Gazete'de yayımlandı. Tebliğ, Risk Merkezi, bilgi alışverişi, takas ve mahsuplaşma kuruluşları, bilgi sistemleri denetimini yapmaya yetkili kuruluşlar, bağımsız denetim kuruluşları ve dış hizmet sağlayıcı kuruluşlar tebliğ hükümlerine tabi olacak.
-SIZMA TESTİ YILDA EN AZ BİR DEFA YAPILACAK-
Risk merkezi ile bilgi alışverişi, takas ve mahsuplaşma kuruluşlarının birincil ve ikincil sistemlerinin yurt içinde bulundurulması zorunlu olacak. Kuruluş, kendi alanına giren konularda sahtecilik ve dolandırıcılık olaylarını önleyici çalışmalar yapmak, güvenlik önlemleri saptamak, ilgili taraflar arasında gerekli bilgi paylaşımının sağlandığından emin olacak şekilde mekanizmalar kurmak ve sağlanan bilgi paylaşımının etkinliğini takip etmekle yükümlü olacak.
Sır kapsamındaki verilere ilişkin olarak kuruluş ile veri alışverişinde bulunan kişilere uygulanan kimlik doğrulama mekanizması birbirinden bağımsız en az iki bileşenden oluşacak. Bu iki bileşen; kişinin "bildiği", "sahip olduğu" veya "biyometrik bir karakteristiği olan" unsur sınıflarından farklı ikisine ait olmak üzere seçilecek. Bileşenler tamamen kişinin şahsına özgü olacak ve bunlar sunulmadan kimlik doğrulama gerçekleştirilemeyecek, hizmetlere erişim sağlanamayacak. Güvenli elektronik imza kullanıldığı takdirde bu fıkradaki hükümler yerine getirilmiş sayılacak. Elektronik imza vasıtasıyla kimlik doğrulama gerçekleştirmede yabancı elektronik sertifikaların kullanılması halinde, anılan Kanunun "Yabancı elektronik sertifikalar" başlıklı 14. maddesinde ve ilgili alt düzenlemelerde yer alan hükümler geçerli olacak. Müşteri bilgilerinin üçüncü taraflar ile paylaşılması için alınması gereken müşteri rızası, iki bileşenli kimlik doğrulama yapılması ve bilgilerin paylaşımına müşterinin onay verdiğinin gerektiğinde kanıtlanabilmesine yönelik tedbirlerin alınması şartıyla elektronik ortamda alınabilecek. Sızma testi yılda en az bir defa yaptırılacak.
-BİLGİ SİSTEMLERİ SÜREKLİLİK, ACİL VE BEKLENMEDİK DURUM PLANI-
Kuruluşun faaliyetlerini ve önemli iş fonksiyonlarını destekleyen bilgi sistemleri servislerinin sürekliliğini sağlamak üzere yönetim kurulu tarafından onaylanmış iş sürekliliği yönetimi ve planının bir parçası olan bilgi sistemleri süreklilik planı hazırlanacak.
Planın hazırlanması sürecinde, bilgi sistemleri varlıklarının ve tutulan verilerin önem düzeyi değerlendirilerek iş etki analizi çerçevesinde belirlenen kesintilerin etkileri analiz edilecek. Bu analizin sonuçlarına göre her bir servis için kabul edilebilir kesinti süreleri Kurum ve Türkiye Cumhuriyet Merkez Bankasının görüşleri de alınarak yönetim kurulunca belirlenecek, bu kesinti süresi içerisinde servisin tekrar erişime açılabilmesine imkân tanıyacak alternatifli kurtarma prosedürleri geliştirilir ve buna göre gerekli önlemler alınacak.
-PERFORMANS TAKİP TEKNİKLERİ KULLANILACAK-
Plan kapsamında, performans takip teknikleri kullanılacak, kapasite planlaması yapılacak, ağ ve iletişim altyapısından kaynaklanabilecek kesintilere karşı uygun alternatif kanallar oluşturulacak. Bilgi sistemlerinin sürekliliğini sağlamak amacıyla, risk değerlendirmesi, risk azaltma ve risk izleme faaliyetleri gerçekleştirilecek, bilgi sistemleri alt yapısının kapasitesinin ölçeklenebilirliği analiz edilecek, işlem hacmi tahminleri doğrultusunda gerçekleştirilecek stres testleri ile alt yapının dayanıklılığı test edilecek. Plan kapsamında ikincil merkez tesis edilecek. Veri ve sistem yedekleri ikincil merkezde kullanıma hazır bulundurulacak. İkincil sistemler ile ilgili bu Tebliğ ile getirilen hükümlere ilave yurt içinde yedek tesis edilmesi kuruluşun kendi ihtiyarında olacak.
-PLAN GÜNCELLENECEK-
Plan, kuruluşun iş süreçlerini veya bilgi sistemlerini etkileyecek değişikliklerden sonra gözden geçirilerek güncellenecek. Mevcut planın etkinliğini ve güncelliğini temin etmek üzere testler yapılacak, testlere varsa destek hizmeti kuruluşları da dâhil edilecek ve test sonuçları üst yönetime raporlanacak. Söz konusu testler kapsamında kuruluş yılda en az bir kez bütün üyelerin katılımıyla bir günlük operasyonlarının tamamını ikincil merkezi üzerinde gerçekleştirecek.
-ACİL VE BEKLENMEDİK DURUM PLANI OLUŞTURULACAK-
Kuruluş, bilgi sistemlerine ilişkin beklenmedik olayları yönetmek ve bunların etkilerini en aza indirmek üzere acil ve beklenmedik durum planı oluşturarak gerekli önlemleri alacak, faaliyetlerin güvenilir bir şekilde sürdürülmesini sağlayan hızlı, etkili ve düzenli bir tepki süreci ile beklenmedik olayları erken haber almayı sağlayacak mekanizmaları tesis edecek. Acil ve beklenmedik durum planı kapsamında, bilgi sistemlerine ilişkin olayın kaynağını hızlı bir şekilde bulmayı sağlama, hasarı tespit etme, olayın potansiyel boyutunu ve etkisini gösterme, yetkili yönetim birimine ulaştırılmasını sağlama ve etkilenen müşterileri tespit etme süreçleri ele alınacak. Bilgi sistemlerine ilişkin beklenmedik olayların sonradan incelenmesine imkân tanıyacak, yetkili merciler tarafından talep edildiğinde kullanılabilecek nitelikte kayıt ve bilgileri toplayan bir mekanizma oluşturulacak.
Kuruluş, bilgi alışverişi, takas ve mahsuplaşma sisteminin sürekliliğinin sağlanabilmesi adına üye kuruluşlar tarafından alınması gerekli olan tedbirleri belirleyecek ve yazılı olarak üyeleriyle paylaşacak. Kuruluş, söz konusu önlemleri belirtilen tarihe kadar almayan üye kuruluşu, alınması talep edilen tedbir ve üye kuruluşa verilen süre ile birlikte en geç bir ay içerisinde Kuruma bildirecek.
-BİLGİLERİN DOĞRULUĞUNUN, GÜVENLİĞİNİN VE GÜNCELLİĞİNİN SAĞLANMASI-
Bilgi alışverişi kuruluşları ve Risk Merkezi, üye kuruluşlar ile olan bilgi iletişiminin güvenli, doğru ve yeterli sıklıkta gerçekleşebilmesi için gerekli önlemleri alacak; söz konusu önlemleri üye kuruluşa iletecek ve bu önlemlerin yerine getirilmesini gözetecek; bilgilerin ne ölçüde güncel tutulacağına ilişkin yönetim kurulu kararı alacak ve bir ay içerisinde Kuruma ve Türkiye Cumhuriyet Merkez Bankası'na yazılı olarak iletecek. Kuruluş, Bankacılık Kanunu'nun 73. maddesine göre sır kapsamında olan bilgilerin üye kuruluş tarafından sorgulanmasına ilişkin işlemlere ait denetim izlerinin, bilgilerin ifşası durumunda üye kuruluş içindeki sorumluların tespitini sağlayacak nitelikte bir yıl süreyle üye kuruluş tarafından tutulmasını temin edecek.
-DENETİM GÖRÜŞÜNÜN OLUŞTURULMASI VE DENETİM MEKTUBU-
Kuruluşta gerçekleştirilen denetim sonucunda Bağımsız Denetim Kuruluşları'nca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmeliği çerçevesinde; olumlu, şartlı veya olumsuz görüşe varılması hallerinde, denetim mektubu düzenlenecek.
-KURULUŞUN TABİ OLDUĞU DİĞER DÜZENLEMELER-
Tebliğde hüküm bulunmayan hallerde; kuruluşun tabi olduğu diğer düzenlemelerde ve uluslararası kabul görmüş bilgi teknolojileri kontrol hedefleri sunan Bilgi Sistemleri Denetim ve Kontrol Birliği (ISACA) Bilgi Teknolojileri Yönetişim Enstitüsü (ITGI) tarafından yayınlanmış olan Bilgi Teknolojilerine İlişkin Kontrol Hedeflerinin Kurumca uygun görülen versiyonununda (COBIT dokümanları) yer alan hükümler uygulanacak. Tebliğ ile kuruluşun üst yönetimi ve yönetim kuruluna getirilen yükümlülükler, Risk Merkezi için Risk Merkezi Yönetiminin sorumluluğunda olacak.
-GEÇİŞ SÜRECİ-
Risk Merkezi ile bilgi alışverişi, takas ve mahsuplaşma kuruluşları mevcut faaliyet ve sistemlerini 1 Ocak 2015 tarihine kadar bu tebliğde yer alan hükümlere uygun hale getirecek. Kuruluşların, destek hizmeti aldıkları kuruluşlar ile imzaladıkları sözleşmeleri ve durumları 1 Ocak 2015 itibarıyla Tebliğe uyumlu olacak. Kuruluş iş akış şemalarını 1 Ocak 2014 tarihine, yönetim beyanını 30 Ocak 2015 tarihine kadar hazırlayacak. Kuruluş 1 Ocak 2014 tarihinden itibaren bilgi sistemleri ve iş süreçleri denetimlerini yetkili kuruluşlara yaptırmakla yükümlü olacak. Tebliğ bugünden itibaren yürürlüğe girdi.
Son Dakika › Ekonomi › Sır Kapsamındaki Verilere İlişkin Kimlik Doğrulama Mekanizması Birbirinden Bağımsız En Az İki... - Son Dakika
Masaüstü bildirimlerimize izin vererek en son haberleri, analizleri ve derinlemesine içerikleri hemen öğrenin.