TCMB’den Güncelleme: Topluluk Bulutu Hizmeti Sunan Hizmet Sağlayıcılara İlişkin Rehber 1.2

Bilindiği üzere Türkiye Cumhuriyeti Merkez Bankası (TCMB), Ödeme ve Elektronik Para Kuruluşlarına Topluluk Bulutu Hizmeti Sunan Dış Hizmet Sağlayıcılara İlişkin Rehber’in ilk sürümünü Temmuz 2022’de yayımlamıştı. Ardından, 24 Nisan 2023’te Rehber’de değişiklikler yapılmış (Rehber 1.1), dış hizmet sağlayıcılarda aranan uygunluk şartlarına ve gözetimlerine yönelik yeni düzenlemeler getirilmişti. Rehber 1.1’deki değişikliklere ilişkin yazımıza buradan ulaşabilirsiniz.

Gelinen aşamada, TCMB tarafından Rehber 1.1 güncellendi ve 4 Eylül 2023 tarihinde yeni sürüm yayımlandı (Rehber 1.2).

Rehber 1.2 kapsamındaki değişiklikleri aşağıda sizler için derledik:

• Topluluk bulutu hizmeti sunmak isteyen dış hizmet sağlayıcının istihdam etmesi gereken yetkin personel sayısı artırıldı.

Operasyon/izleme ekibi, altyapı ekibi ve bilgi güvenliği ekiplerinde benzer alanlarda asgari 7 yıl tecrübe kriterini sağlayan istihdam edilecek personel sayısı Rehber 1.1’de 1 kişiyken, Rehber 1.2’de 2 kişiye çıkartıldı.

• Kendisine ait veri merkezi sahipliği bulunmayan dış hizmet sağlayıcılar için ek koşul getirildi.

Topluluk bulutu hizmeti sunmak isteyen dış hizmet sağlayıcının kendisine ait veri merkezi sahipliği yoksa, birincil ve ikincil merkezlere yönelik Rehber 1.2’deki veri merkezi standartlarını taşıyan dış hizmet sağlayıcılardan sadece donanım barındırma veya dedike donanım hizmetlerini almalıdır.

• İkincil veri merkeziyle ilgili veri merkezi standartlarına ilişkin sertifika şartlarında değişiklik yapıldı.

Rehber 1.1’de dış hizmet sağlayıcının; ikincil merkeze ait Kullanılabilirlik Sınıfı, Koruma Sınıfı ve Enerji Ayrıntı Seviyesi en az 3 olan TSE TS EN 50600 veri merkezi operasyon belgesi yoksa, bu sertifikaları karşılayacak gereksinimleri sağlamış olması gerekiyordu.

Rehber 1.2 uyarınca dış hizmet sağlayıcının, ikincil merkeze ait Kullanılabilirlik Sınıfı, Koruma Sınıfı ve Enerji Ayrıntı Seviyesi en az 3 olan TSE TS EN 50600 veri merkezi operasyon belgesi yoksa Tier 3 veya Tier 4 veri merkezi altyapı sertifikasının olması yeterli. Ancak her iki sertifikanın da bulunmaması halinde, Kullanılabilirlik Sınıfı, Koruma Sınıfı ve Enerji Ayrıntı Seviyesi en az 3 olan TSE TS EN 50600 veri merkezi operasyon belgesinin alınması gerekiyor.

• Topluluk bulutu hizmetine ilişkin sertifikaların, Uluslararası Akreditasyon Forumu (IAF) üyesi bir belgelendirme kuruluşundan alınma şartı, Türk Akreditasyon Kurumu (TÜRKAK) tarafından akredite edilmiş belgelendirme kuruluşu olarak değiştirildi.

Rehber 1.2 uyarınca aşağıdaki sertifikaların, TÜRKAK tarafından akredite edilmiş belgelendirme kuruluşundan alınması gerekiyor:

• TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi sertifikası
• TS EN ISO 22301 İş Sürekliliği Yönetimi sertifikası
• TS ISO/IEC 20000-1 Bilgi Teknolojisi Hizmet Yönetim Sistemi sertifikası
• TS ISO/IEC 27017 Bulut Hizmetlerinde Bilgi Güvenliği Yönetim Sistemi sertifikası
• TS ISO/IEC 27701 Kişisel Verilerin Yönetim Sistemi sertifikası

• Uygunluk başvurusu sürecine ilişkin iletişim kanalı oluşturuldu.

Rehber 1.2’de, dış hizmet sağlayıcıların sürece ilişkin bilgi almak istemeleri halinde [email protected] e-posta adresiyle iletişime geçebilecekleri düzenlendi.

Rehber 1.2’de “Rehberin Uygulanması” başlığı altında, birincil merkez için Tier sertifikasının olması şartıyla dış hizmet sağlayıcılara uygunluk verilebileceği ancak bu dış hizmet sağlayıcıların 31 Aralık 2024 tarihine kadar Rehber 1.2’ye uyumlu hale gelmekle yükümlü oldukları ifade ediliyor.

Halihazırda, TCMB tarafından topluluk bulutu hizmeti sunabilmesi için uygunluk verilen dış hizmet sağlayıcıların ve henüz başvurusunu yapmamış firmaların 31 Aralık 2024 tarihine kadar Rehber 1.2’ye uyumlu hale gelmesi gerekiyor.

TCMB tarafından yayımlanan Rehber 1.2’nin tam metnine buradan ulaşabilirsiniz.