Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistem Yönetimine ve Denetimine İlişkin TCMB Tebliği
Bilgi Sistemleri Tebliği, 3 bölümden oluşuyor. Tebliğ, biraz uzun olduğu için önemli noktaları yazmaya çalıştım.
BÖLÜM 1 - Amaç, Kapsam, Dayanak, Tanımlar ve Kısaltmalar: Madde 1, 2 ve 3’ü kapsar. Burada bazı tanımlar belirtliyor. Önemli tanımları aşağıda belirtiyorum.
-Bağımsız Denetçi: Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumu tarafından yetkilendirilmiş bağımsız denetim kuruluşlarından Kurum tarafından yayınlanan Bankalarda, “Bilgi Sistemleri Denetimi Yapmaya Yetkili Bağımsız Denetim Kuruluşları” listesinde yer alan bağımsız denetim kuruluşlarını belirtir.
-Birincil Sistemler: Kanunda yer alan hususlarla ilgili bütün bilgilerin, elektronik ortamda güvenli ve istenildiği an erişime imkân sağlayacak şekilde saklanıldığı sistemler ile faaliyetlerin yürütülmesinde kullanılan altyapı, donanım, yazılım ve veriden oluşan sistemin tamamını belirtir.
-BSDHY: 13/1/2010 tarihli ve 27461 sayılı Resmî Gazete’de yayımlanan Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek “Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmeliği” belirtiyor.
-Dış Hizmet Sağlayıcı: Yönetmeliğin 14 üncü maddesi çerçevesinde münhasıran kendisi tarafından yapılması gerekenler dışında kalan faaliyetlerini kuruluş adına gerçekleştiren ya da gerçekleştirilmesinde “kuruluşa yardımcı nitelikte hizmet veren tüzel kişileri” belirtir.
-Fon: Banknot, “madeni para, kaydi para veya elektronik parayı” belirtir.
-Hassas Ödeme Verisi: Kullanıcılar tarafından ödeme emrinin verilmesinde veya kullanıcı kimliğinin doğrulanmasında kullanılan, ele geçirilmesi veya değiştirilmesi halinde dolandırıcılık ya da kullanıcılar adına sahte işlem yapılmasına imkan verebilecek “şifre, güvenlik sorusu, sertifika, şifreleme anahtarı ile PIN, kart numarası, son kullanma tarihi, CVV2, CVC2” kodu gibi kuruluşlar tarafından ihraç edilen ödeme araçlarına ilişkin kişisel güvenlik bilgilerini belirtir.
-Kanun: 20/6/2013 tarihli ve 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanunu belirtir.
-Kişisel Bilgi: Gerçek kişi kullanıcıların “adı, soyadı, T.C. kimlik numarası, pasaport numarası, vergi kimlik numarası, sosyal güvenlik numarası, kimlik tanımlayıcısı, doğum yeri, doğum tarihi, telefon numarası, adresi, elektronik posta adresi, resim, görüntü ve ses kayıtları, biyometrik veriler” gibi bilinmesi halinde tek başına veya diğer bilgiler ile bir araya geldiğinde ait olduğu kişiyi belirli ya da belirlenebilir hale getiren bilgi ya da bilgi setini belirtir.
-Kurul: Bankacılık Düzenleme ve Denetleme Kurulunu,
-Kuruluş: Ödeme kuruluşları ve elektronik para kuruluşlarını,
-Kurum: Bankacılık Düzenleme ve Denetleme Kurumu)
-Siber Olaya Müdahale: 11/11/2013 tarihli ve 28818 sayılı Resmî Gazete'de yayımlanan “Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğin 3 üncü maddesinde” tanımlanan siber olaya müdahaleyi,
BÖLÜM 2 : Madde 4 ve 17 arasındaki maddeleri kapsar.
-Madde 4: “Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler Bilgi Sistemleri Risk Yönetimi” sürecini açıklar. Risk yönetim politikası çerçevesinde, faaliyetlerinde bilgi teknolojilerinin kullanılmasından kaynaklanan riskler üzerinde durur.
- Madde 5: “Bilgi Güvenliği Yönetim Sürecini” açıklar. Bu madde kapsamında; Kuruluş üst yönetimi, bilgi sistemlerinin ve verilerin “gizlilik, bütünlük ve erişilebilirliğini” sağlayacak önlemlere ilişkin kontrol altyapısının geliştirilmesi ve düzenli olarak güncellenmesi çalışmalarını kapsar. Saklanan ve iletilen verilerin “güvenlik hassasiyet derecelerine” göre sınıflandırılmasını ve her bir sınıf için uygun düzeyde güvenlik kontrollerinin yapılması önem arz ediyor.
-Madde 6: “Güvenlik Olay Yönetim Sürecini” belirtir. Bilgi güvenliği yönetim süreci ile entegre olacak şekilde gerçekleşen güvenlik olaylarının ele alınmasına ve takibine yönelik bir güvenlik olay yönetimi ve siber olaylara müdahale sürecini belirtir.
-Madde 7: “Veri Gizliliği - Güvenliği ve Yetkilendirme Sürecini” açıklar. Sunulan hizmetlerin tasarımı, geliştirilmesi, test edilmesi ve sürdürülmesi aşamalarında, görevler ayrılığı prensibine uygun olarak geliştirme, test ve üretim ortamlarının birbirinden ayrı tutulması esas alınıt. Bu kapsamda süreçler ve sistemler, kritik bir işlemin tek bir kişi tarafından girilmesi, yetkilendirilmesine ve tamamlanmasına imkân vermeyecek şekilde tasarım yapılır. Kullanılacak şifreleme tekniklerinde, güncel durum itibariyle literatürde kabul görmüş ve güvenilirliğini yitirmemiş algoritmalar temel alınır.
-Madde 8: “Denetim Kayıt Sistemi Sürecini” açıklar. Yetkili veya yetkisiz erişimin ve IT sistem faaliyetleri ile ilgili gerçekleşen işlemlerin takibine imkan verecek denetim kayıt sistemi oluşturulur.
-Madde 9: “Kimlik Doğrulama, Erişim Denetimi Sürecini” açıklar. Yeterli ve etkin bir kimlik doğrulama sistemi kurulup, kimlik doğrulama sisteminin bilgi sistemlerinin hangi alt bileşenleri için geçerli olacağını ve kimlik doğrulama sisteminde hangi alt bileşen için hangi kimlik doğrulama tekniklerinin kullanılacağını açıkça belirlenir.
-Madde 10: “Bilgi Sistemlerine İlişkin Risk Yönetimi” açıklar. Sistemin sorunsuz şekilde işlemesini tehlikeye sokabilecek tüm risklerin tespit edilmesini, ölçülmesini, izlenmesini ve etkin bir şekilde yönetilmesini sağlamak amacıyla risk yönetim çerçevesi oluşturulur.
-Madde 11: “Bilgi Sistemleri İşletimi” açıklar. Hizmet seviyeleri çerçevesinde bilgi sistemlerinin işleyişinin güvenilirliğine, dayanıklılığına ve sürekliliğine ilişkin hedefleri açıkça belirlenir ve bu hedefler doğrultusunda bilgi sistemlerinin işletiminin etkin ve verimli yapılabilmesi amacıyla gerekli tedbirleri alır. Firmalar, belirlediği hedeflere uyum düzeyini yılda en az 1 defa olmak üzere düzenli aralıklarla ölçer ve sonuçlarını TCMB’ye raporlar.
-Madde 12: “Bilgi Sistemleri Süreklilik Planını” açıklar. Bilgi Sistemleri Süreklilik Planı ile uyumlu olacak şekilde belirlenecek süreklilik hedeflerini ve bu hedeflere ulaşmayı sağlamak üzere oluşturulacak yedekleme ve hatadan kurtarma prosedürleri hazırlanır.
-Madde 13: “Bilgi Sistemlerine İlişkin Dış Hizmet Alımını” açıklar. Firmalar, Dış Hizmet Alımı nedeniyle ortaya çıkabilecek riskleri değerlendirilir ve gerekli tedbirleri almakla yükümlüdür.