Bankacılık Duzenleme ve Denetleme Kurumu (BDDK), internet başta olmak uzere bankacılık işlemlerine donuk dolandırıcılıkların artması uzerine guvenlik onlemlerini belirleyen bir duzenleme hazırladı.
İnternet bankacılığında, muşterilere uygulanan kimlik doğrulama mekanizmasında; parola/şifre bilgisi, tek kullanımlık şifre uretim cihazı, parmak izi gibi bileşenler kullanılabilecek.
Bankalar, ATM cihazlarının etrafı uygun bir şekilde ışıklandırılacak ve cihaz uzerine kullanıcının etrafını gosterebilecek şekilde ayna tipi aparatlar yerleştirilecek. Mumkunse ATM cihazları uzerine fiziksel saldırıları algılayacak alarmlar ve sensorler yerleştirilecek. Bankalar, ATM cihazlarının bulunduğu yerlere guvenlik kamerası koyacak.
Bankalar belirlenen guvenlik duzenlemelerini iki yıl icerisinde yerine getirecek.
BDDK, Bankalarda Bilgi Sistemleri Yonetiminde Esas Alınacak İlkelere İliskin Tebliğ taslağı hazırladı. Buna gore; bilgi sistemleri uzerinden gerceklesen işlemler icin uygun bir kimlik doğrulama mekanizması kurulacak. Bilgi sistemlerine erişim icin kullanılan kimlik doğrulama verilerinin tutulduğu veritabanlarının guvenliğini sağlamaya yonelik gerekli onlemler alınacak. Bu amacla alınacak onlemler asgari olarak kimlik doğrulama verilerinin veritabanlarında şifreli olarak muhafaza edilecek. Yapılacak her turlu kontrolsuz değişikliği algılayacak sistemler kurulacak.
Bilgi sistemleri kapsamındaki faaliyetlere ilişkin yetkilendirme veritabanında kontrolsuz değişikliğin olması veya veritabanının guvenilirliğini yitirmesi durumunda, veritabanı guncel ve guvenilir duruma getirilene kadar kullanılmayacak. Guvenilir olmayan veritabanı uzerinden yetkilendirme ve erişim hakkı tahsisi işlemleri gercekleştirilemeyecek.
Bilgi sistemleri uzerindeki; riskler, sistemlerin boyutu ve faaliyetlerin karmaşıklığı goz onunde bulundurularak bilgi sistemlerinin kullanımına ilişkin etkin bir denetim izi kayıt mekanizması tesis edilecek.
DENETİM İZLERİ 3 YIL SAKLANACAK
Oluşturulacak denetim izlerinde asgari olarak; erişim talebinin hangi uygulama uzerinden geldiği, yeri ve zamanı; erisim talebinde bulunan kişinin kimliği, yapılan işlemlerin zamanı ve iceriği, erişimin başarılı ya da başarısız olması durumu bilgilerini icerecek. Denetim izleri sorgular icin asgari 1 yıl, işlemler icin asgari 3 yıl boyunca banka nezdinde saklanacak. Banka, muşterilerini ve personelini, aktivitelerinin kaydının tutulduğu konusunda haberdar edecek.
Banka, bilgi sistemleri faaliyetleri kapsamında gerceklesen işlemlerin ve bu işlemler kapsamında iletilen, islenen ve saklanan verilerin gizliliğini sağlayacak onlemleri alacak. Alınacak onlemler, gizliliği sağlanmaya calışılan işlem ve verilerin gizlilik derecesine uygun olacak, gerekli yerlerde ek kontroller tesis edilecek. Bu cercevede yapılan calışmalar, sırların saklanmasına ilişkin mevzuat yukumluluklerini karşılayacak nitelikte olacak.
Banka tarafından sunulan elektronik bankacılık/alternatif dağıtım kanalları (internet, telefon, televizyon, WAP/GPRS, Kiosk, ATM vb.) hizmetlerinden yararlanacak muşteriler; hizmetlere ilişkin şartlar, riskler ve istisnai durumlarla ilgili olarak acık bir şekilde bilgilendirilecek. Buna ek olarak bankanın soz konusu hizmetlere ilişkin risklerin etkisini azaltmaya yonelik benimsediği guvenlik prensipleri ve bu risklerden korunmak icin kullanılması gerekli yontemler mutlak suretle muşterinin dikkatine sunulacak.
MAHREMİYET KORUNACAK
Banka, muşteri bilgilerinin mahremiyetini sağlamaya yonelik gerekli tedbirleri alacak. Banka, mahremiyeti konu alan politika ve prosedurleri olusturacak, yazılı hale getirip ilgili tum birimlere iletecek. Banka, bankacılık faaliyetleri kapsamında edindiği muşteriye ait bilgileri amacları dışında kullanamayacak, saklayamayacak ve diğer taraflarla paylaşamayacak.
Muşterilerin, kişisel bilgileri toplanmadan, kullanılmadan ve diğer taraflarla paylaşılmadan once rızası alınacak, muşterilere kişisel bilgilerini diğer taraflarla paylaşıp paylaşmama konusunda secenek sunulacak ve muşterinin boyle bir seceneğinin bulunduğuna dair mutlaka bilgilenmesi sağlanacak.
İNTERNET BANKACILIĞI İCİN OZEL ONLEM
İnternet bankacılığı faaliyetleri kapsamında sunulan bankacılık hizmetlerinin, internetin doğasından kaynaklanan bir takım ek risklere maruz kalacağı da goz onunde bulundurulacak ve gerekiyorsa ilgili hizmetlere ilişkin surecler uzerinde ilave kontroller tesis edilecek.
Guvenlik kontrollerinin yeterliliğini test etmek uzere bağımsız ekiplere, en az yılda bir kez olmak uzere, internet bankacılığı faaliyetleri kapsamındaki sistemler icin sızma testleri yaptırılacak. Banka, internet bankacılığı faaliyetleri kapsamında gerceklesen sıra dışı ve şupheli işlemleri tespit etmek icin takip mekanizmaları kuracak.
Banka, sunmakta olduğu internet bankacılığı hizmetleri icin, bu hizmetlerin arz ettiği risk seviyelerine uygun ve guvenilir bir kimlik doğrulama mekanizması tesis edecek. Muşterilerin, kurulan kimlik doğrulama mekanizmasından gecmeden hizmetlerden yararlanmasına musaade etmeyecek bir yapı banka tarafından kurulacak.
İNTERNET İCİN PARMAK İZİ
Muşterilere uygulanan kimlik doğrulama mekanizması birbirinden bağımsız en az iki bileşenden oluşacak. Bu iki bileşen; muşterinin "bildiği", muşterinin "sahip olduğu" veya muşterinin "biyometrik bir karakteristiği olan" unsur sınıflarından farklı birine ait olmak uzere secilecek. Muşterinin "bildiği" unsur olarak parola/şifre bilgisi gibi bileşenler, "sahip olduğu" unsur olarak tek kullanımlık şifre uretim cihazı gibi bileşenler, "biyometrik bir karakteristiği" olarak da parmak izi gibi bileşenler kullanılabilecek.
Kimlik doğrulamada kullanılacak şifreleme teknikleri, guncel durum itibariyle literaturde kabul gormuş ve guvenilirliğini yitirmemiş algoritmaları baz almak durumunda olacak. Kullanılacak şifreleme anahtarları, ilgili algoritmalar icin anahtarın gecerli olacağı ve kullanılabileceği zaman zarfında kırılamayacak şekilde uzun secilecek. Gecerliliğini yitirmiş, calınmış veya kırılmış şifreleme anahtarlarının kullanılabilirliği engellenecek.
Banka tarafından oluşturulacak kimlik doğrulama mekanizmasının; başarısız kimlik doğrulama teşebbusleri hakkında, ilgili muşterinin sisteme ilk girdiği anda bilgi vermesi, başarısız teşebbuslerin belirli bir sayıyı asması halinde ise ilgili muşterinin internet bankacılığına erişimini bloke etmesi gerekecek. Başarısız kimlik doğrulama teşebbusleri sonrasında, bu teşebbusu gercekleştiren kişiye, yanlış girilen kullanıcı bilgisi veya şifresi ile ilgili, orneğin boyle bir kullanıcının sistemde olmadığı veya şifrenin yanlış girildiği gibi, gereksiz bilgi vermemesi gerekecek.
Banka, muşterilerine ve personeline ait kimlik doğrulama bilgilerini ele gecirmeye yonelik bilinen saldırılara karşı gerekli sistemsel ve yazılımsal onlemleri alacak.
Olası tehditleri onceden belirleyebilmek ve gerekli onlemleri alabilmek adına, internet bankacılığı hesaplarına erişim icin başarılı ve başarısız erişim teşebbusleri duzenli olarak banka tarafından takip edilecek, oransal bir anormallik gorulduğunde incelemeye alınacak.
MUŞTERİ İSTEMEDEN İNTERNET HİZMETİ ACILMAYACAK
Banka, tum internet bankacılığı faaliyetleri icin yeterli ve etkin bir denetim izi tutma mekanizması tesis edecek. Banka, muşteri talebi olmadan internet bankacılığı hizmetini ilgili muşteri icin kullanıma acamayacak. Muşteri, internet bankacılığı hizmetine erişimi kapatmışsa veya kapattırmışsa, muşterinin yeni bir talebi olmadan internet bankacılığı hizmeti kullanıma acılamayacak.
ATM ONLEMLERİ
Banka, ATM cihazlarına ilişkin hırsızlık, sahtekarlık, fiziksel saldırı gibi tehditlere ilişkin riskleri minimize edici onlemleri tesis edecek ve ATM cihazlarının guvenli kullanımı hususunda muşterilerinde farkındalık yaratacak. ATM cihazları uzerine, zararlı icerikli programların kotu niyetli kişilerce yuklenmesini ve yetkisiz erişimi engelleyecek gerekli yazılımlar yuklenecek. Cihaza yetkisiz kişilerin herhangi bir şekilde başka bir elektronik cihaz bağlamasını sağlayacak butun giriş noktaları erişime kapatılacak.
ATM cihazları uzerinden gercekleştirilen işlemler icin kullanılan iletişim ağı veri guvenliği, gizliliği ve butunluğunu sağlayacak ozellikte olacak. Muşterilerin girdiği PIN bilgileri ve gercekleştirilecek işlemlere ilişkin bilgiler cihaz icinde ve cihaz dışındaki ATM ağı boyunca şifrelenmis bir şekilde iletilecek.
ATM cihazlarının servis surekliğinin sağlanması ve maruz kalabilecekleri risklerin erken tespiti adına, Banka tarafından ATM cihazları icin uzaktan yonetim ve takip sistemleri kurulacak. Soz konusu sistem duzenli olarak belirli hata kodları yaratan ATM cihazlarını ve hesap numaralarını, bunlar uzerinde şupheli işlemler gercekleştiriliyor olması ihtimaline karsı, sistemsel olarak takip edebilecek ve gerekli uyarıları yapabilecek işlevselliğe sahip olacak.
AYNA VE IŞIKLANDIRMA KOŞULU
Banka, kendi sınırları dahilinde bulunmayan ATM cihazlarını, muşterilerinin bu cihazları guvenli olarak kullanabilecekleri yerlere konumlandıracak. Bu kapsamda, ATM cihazlarının etrafı uygun bir şekilde ışıklandırılacak ve cihaz uzerine kullanıcının etrafını gosterebilecek Şekilde ayna tipi aparatlar yerleştirilecek. ATM cihazları, etraftan gecen şahısların muşterinin klavye hareketlerini goremeyeceği bir şekilde konumlandırılacak.
FİZİKSEL SALDIRIYA KARŞI ALARM
ATM cihazları, bulundukları zemine sağlam olarak tutturulmadıkca ve kolayca yerlerinden taşınmalarını engelleyici herhangi bir onlem alınmadıkca, bina dışına konumlandırılayacak. Mumkunse ATM cihazları uzerine fiziksel saldırıları algılayacak alarmlar ve sensorler yerleştirilecek.
Banka, ATM cihazlarının bulunduğu yerlere guvenlik kamerası koyacak. Guvenlik kamerası muşterinin klavye hareketlerini goremeyecek bicimde konumlandırılacak. Guvenlik kamerası kayıtları en az uc ay sureyle saklanacak ve kamera techizatları calıştıklarına dair duzenli olarak kontrol edilecek.