Kimlik Doğrulamasına Kısa Bir Bakış ve BDDK’dan Kimlik Doğrulama ve İşlem Güvenliğine Yönelik 2023/1 Sayılı Genelge

07.04.2023

Teknolojik gelişmeler, kişilerin kimliklerinin tespiti ve doğrulanması gibi süreçleri de doğrudan etkiliyor. Özellikle bu sürecin uzaktan gerçekleştirilmesi ve sözleşmelerin de elektronik ortamda akdedilmesi, kimlik tespiti ve doğrulama süreçlerinin önemini gün geçtikçe arttırıyor. Nitekim bir kişiyle fiziksel olarak bir araya gelmeksizin, o kişinin gerçekten beyan ettiği kişi olup olmadığı konusunun güvenilir ve doğru bir şekilde tespiti ve bunun doğrulanması; özellikle regüle sektörlerde son derece kritik. Bunun öneminin yanında, sürecin baştan uca “işlem güvenliği” içinde yürütülmesi de önem arz ediyor.

Türkiye’de bu konu, özellikle son yıllarda ivmeli bir şekilde mevzuatta düzenleniyor. Bu kapsamda mevzuat yapılanması regüle sektörler için ilgili yetkili kurum ve kuruluşların kendi regülasyonlarını düzenlemesiyle şekilleniyor. Bu doğrultuda her yetkili otorite kendi sektör dinamikleri ve hassasiyetlerini gözeterek; kişilerin kimlik tespiti ve doğrulama süreçleri için farklı uygulamalarla birlikte farklılaşan şart ve koşullar getiriyor. Tüm bunların yanında, Türkiye Cumhuriyeti kimlik kartı üzerinden gerçekleştirilebilen kimlik tespiti ve doğrulama düzenlemeleri ise ayrı bir çatı olarak paralelde düzenleniyor.

Kendi sektörlerine ilişkin kimlik doğrulama ve kimlik tespiti regülayonları getiren kurum ve kuruluşlar halihazırda aşağıdaki gibi:

  • Bankacılık Düzenleme ve Denetleme Kurumu: Özellikle bankalarla birlikte finansal kiralama, faktoring, finansman ve tasarruf finansman şirketleri tarafından kullanılabilecek uzaktan kimlik tespiti yönelik usul ve esasları düzenlemekte.
  • Bilgi Teknolojileri ve İletişim Kurumu: Özellikle elektronik haberleşme sektöründe uzaktan kimlik doğrulamaya ilişkin usul ve esasları düzenlemekte.
  • Mali Suçları Araştırma Kurulu: Özellikle “Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik” kapsamında yükümlülerin sürekli iş ilişkisi içinde bulundukları müşterilerine yönelik kimlik tespitinde uyulması gereken usul ve esasları düzenlemekte.
  • Sermaye Piyasası Kurulu: Özellikle aracı kurumlar ve portföy yönetim şirketlerinin uzaktan kimlik tespiti yöntemlerinde ve “Bilgi Sistemleri Yönetimi Tebliği” kapsamında yükümlülerin kimlik doğrulama işlemlerinde uyulması gereken usul ve esasları düzenlemekte.
  • Türkiye Cumhuriyet Merkez Bankası: Özellikle ödeme hizmetleri ve elektronik para ihracı ile ödeme hizmeti sağlayıcılarının kimlik doğruluma ve kimlik tespiti sırasında uyulması gereken usul ve esasları düzenlemekte.

Bahsettiğimiz üzere, bunlar yanında, Türkiye Cumhuriyeti kimlik kartı ile ilgili yapılacak iş ve işlemlere ilişkin usul ve esasları düzenleyen genel mevzuat olarak Türkiye Cumhuriyeti Kimlik Kartı Yönetmeliği ve Türkiye Cumhuriyeti Kimlik Kartı Elektronik Kimlik Doğrulama Sistemi Yönetmeliği bulunuyor.

Bu doğrultuda; yaşanan son güncel gelişme, Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) tarafından 27 Mart 2023’te Elektronik Bankacılık Hizmetlerinde ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasında Kimlik Doğrulama ve İşlem Güvenliği için Sağlanması Gereken Kriterler Hakkında 2023/1 Sayılı Genelge (Genelge). BDDK  elektronik bankacılık hizmetlerinde ve elektronik ortamda sözleşme ilişkisinin kurulmasında kimlik doğrulama ve işlem güvenliği için sağlanması gereken kriterler hakkında ek açıklamalara ilişkin 2022/2 sayılı Genelge taslağını (Taslak Genelge) 2022’de yayımlamıştı. Taslak Genelge, özellikle ilgili sektörlerde büyük ses getirmekle birlikte; uzun zamandan beri beklenen düzenlemeleri de içeriyordu. Taslak Genelge’yi değerlendirdiğimiz The Fine Print Kasım 2022 yazımıza buradan ve ilgili Taslak Genelge’nin tam metnine buradan ulaşabilirsiniz.

Genelge’de genel hatlarıyla aşağıdaki hususlar düzenleniyor:

  • Bankaların elektronik bankacılık hizmet kanallarında kimlik doğrulama ve işlem güvenliğinin nasıl gerçekleştirilmesi gerektiği,
  • Bankalar tarafından  gerçekleştirilecek işlemlerde hem banka hem de müşteriler için inkâr edilemezliği ve sorumluluk atamayı mümkün kılacak teknikler kullanılması gerektiğine ilişkin düzenlemelerin yer aldığı Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’in ilgili maddelerine uyum süreci,
  • Bankalarca kimlik doğrulama ve işlem güvenliği ile elektronik ortamda sözleşme ilişkisi kurulmasına dair teknik detaylar,
  • Finansal Kiralama, Faktoring, Finansman ve Tasarruf Finansman Şirketlerinin kimlik doğrulama ve işlem güvenliği ile elektronik ortamda sözleşme ilişkisi kurulmasına dair detaylar,
  • İşlem imzalamada kullanılacak Yazılım Geliştirme Kiti (SDK) ile doğrudan bu SDK ile güvenli ayrı bir kanaldan iletişim kuracak şekilde yapılandırılmış bir Güvenlik Sunucusunun (SS) oluşturulmasına dair detaylar, bu kapsamda SDK ile SS aracılığıyla yürütülecek işlem imzalama süreçlerine ilişkin teknik yükümlülükler ve WYSIWYS prensipleri,
  • Mobil uygulama arayüzleri kurgulanması gereken teknik gereklilikler.

Görüleceği üzere Genelge ile bankalar, finansal kiralama, faktoring, finansman ve tasarruf finansman şirketleri ve BDDK denetimindeki diğer kuruluşlarla bunlara kimlik doğrulama/işlem imzalama konusunda hizmet sunan kuruluşlara önemli düzenlemeler bulunuyor. Özellikle izin yükümlülüğü, işlemlerin baştan uca belirli teknik kurallar altında yürütülmesine dair düzenlemeler ve Finansal Kiralama, Faktoring, Finansman ve Tasarruf Finansman Şirketlerince Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik için de uygulanacak olması dikkat çeken değişiklikler arasında. Bununla birlikte; Genelge’de yer alan izin yükümlülüğü oldukça kritik bir düzenleme olarak karşımıza çıkmakta. Zira BDDK mevzuatında Genelge’den evvel dış hizmet sağlayıcılara ilişkin böyle bir izin/lisans yükümlülüğü mevcut değildi.

Kimlik doğrulama sistemlerine dair hizmet sunan tedarikçiler için her sektördeki farklı düzenlemelere uyumlu hale gelinmesi için ayrı bir kritik konu.  Genelge ile birlikte BDDK, diğer kurumlardan ayrışan düzenlemelere de yer verdi.

Genelge’nin tam metnine buradan ulaşabilirsiniz. 

This website is available “as is. Turkish Law Blog is not responsible for any actions (or lack thereof) taken as a result of relying on or in any way using information contained in this website, and in no event shall they be liable for any loss or damages.

The content and materials published on this website are provided for informational purposes only and should not be used as a legal opinion in any way. This website and the information contained are not intended to establish an attorney-client relationship.
th
Ready to stay ahead of the curve?
Share your interest anonymously and let us guide you through the informative articles on the hottest legal topics.
|
Successful Your message has been sent