Bankacılık Düzenleme ve Denetleme Kurumu (BDDK), internet başta olmak üzere bankacılık işlemlerine dönük dolandırıcılıkların artması üzerine güvenlik önlemlerini belirleyen bir düzenleme hazırladı.
İnternet bankacılığında, müşterilere uygulanan kimlik doğrulama mekanizmasında; parola/şifre bilgisi, tek kullanımlık şifre üretim cihazı, parmak izi gibi bileşenler kullanılabilecek.
Bankalar, ATM cihazlarının etrafı uygun bir şekilde ışıklandırılacak ve cihaz üzerine kullanıcının etrafını gösterebilecek şekilde ayna tipi aparatlar yerleştirilecek. Mümkünse ATM cihazları üzerine fiziksel saldırıları algılayacak
alarmlar ve sensörler yerleştirilecek. Bankalar, ATM cihazlarının bulunduğu yerlere güvenlik kamerası koyacak.
Bankalar belirlenen güvenlik düzenlemelerini iki yıl içerisinde yerine getirecek.
BDDK, Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İliskin Tebliğ taslağı hazırladı. Buna göre; bilgi sistemleri üzerinden gerçeklesen işlemler için uygun bir kimlik doğrulama mekanizması kurulacak. Bilgi sistemlerine erişim için kullanılan kimlik doğrulama verilerinin tutulduğu veritabanlarının güvenliğini sağlamaya yönelik gerekli önlemler alınacak. Bu amaçla alınacak önlemler asgari olarak kimlik doğrulama verilerinin veritabanlarında şifreli olarak muhafaza edilecek. Yapılacak her türlü kontrolsüz değişikliği algılayacak sistemler kurulacak.
Bilgi sistemleri kapsamındaki faaliyetlere ilişkin yetkilendirme veritabanında kontrolsüz değişikliğin olması veya veritabanının güvenilirliğini yitirmesi durumunda, veritabanı güncel ve güvenilir duruma getirilene kadar kullanılmayacak. Güvenilir olmayan veritabanı üzerinden yetkilendirme ve erişim hakkı tahsisi işlemleri gerçekleştirilemeyecek.
Bilgi sistemleri üzerindeki; riskler, sistemlerin boyutu ve
faaliyetlerin karmaşıklığı göz önünde bulundurularak bilgi sistemlerinin kullanımına ilişkin etkin bir denetim izi kayıt mekanizması tesis edilecek.
DENETİM İZLERİ 3 YIL SAKLANACAK
Oluşturulacak denetim izlerinde asgari olarak; erişim talebinin hangi uygulama üzerinden geldiği, yeri ve zamanı; erisim talebinde bulunan kişinin kimliği, yapılan işlemlerin zamanı ve içeriği, erişimin başarılı ya da başarısız olması durumu bilgilerini içerecek. Denetim izleri sorgular için asgari 1 yıl, işlemler için asgari 3 yıl boyunca banka nezdinde saklanacak. Banka, müşterilerini ve personelini, aktivitelerinin kaydının tutulduğu konusunda haberdar edecek.
Banka, bilgi sistemleri faaliyetleri kapsamında gerçeklesen
işlemlerin ve bu işlemler kapsamında iletilen, islenen ve saklanan verilerin gizliliğini sağlayacak önlemleri alacak. Alınacak önlemler, gizliliği sağlanmaya çalışılan işlem ve verilerin gizlilik derecesine uygun olacak, gerekli yerlerde ek kontroller tesis edilecek. Bu çerçevede yapılan çalışmalar, sırların saklanmasına ilişkin mevzuat yükümlülüklerini karşılayacak nitelikte olacak.
Banka tarafından sunulan elektronik bankacılık/alternatif dağıtım kanalları (internet, telefon, televizyon, WAP/GPRS, Kiosk, ATM vb.) hizmetlerinden yararlanacak müşteriler; hizmetlere ilişkin şartlar, riskler ve istisnai durumlarla ilgili olarak açık bir şekilde bilgilendirilecek. Buna ek olarak bankanın söz konusu hizmetlere ilişkin risklerin etkisini azaltmaya yönelik benimsediği güvenlik prensipleri ve bu risklerden korunmak için kullanılması gerekli yöntemler mutlak suretle müşterinin dikkatine sunulacak.
MAHREMİYET KORUNACAK
Banka, müşteri bilgilerinin mahremiyetini sağlamaya yönelik
gerekli tedbirleri alacak. Banka, mahremiyeti konu alan politika ve prosedürleri olusturacak, yazılı hale getirip ilgili tüm birimlere iletecek. Banka, bankacılık faaliyetleri kapsamında edindiği müşteriye ait bilgileri amaçları dışında kullanamayacak, saklayamayacak ve diğer taraflarla paylaşamayacak.
Müşterilerin, kişisel bilgileri toplanmadan, kullanılmadan ve diğer taraflarla paylaşılmadan önce rızası alınacak, müşterilere kişisel bilgilerini diğer taraflarla paylaşıp paylaşmama konusunda seçenek sunulacak ve müşterinin böyle bir seçeneğinin bulunduğuna dair mutlaka bilgilenmesi sağlanacak.
İNTERNET BANKACILIĞI İÇİN ÖZEL ÖNLEM
İnternet bankacılığı faaliyetleri kapsamında sunulan bankacılık hizmetlerinin, internetin doğasından kaynaklanan bir takım ek risklere maruz kalacağı da göz önünde bulundurulacak ve gerekiyorsa ilgili hizmetlere ilişkin süreçler üzerinde ilave kontroller tesis edilecek.
Güvenlik kontrollerinin yeterliliğini test etmek üzere bağımsız ekiplere, en az yılda bir kez olmak üzere, internet bankacılığı faaliyetleri kapsamındaki sistemler için sızma testleri yaptırılacak. Banka, internet bankacılığı faaliyetleri kapsamında gerçeklesen sıra dışı ve şüpheli işlemleri tespit etmek için takip mekanizmaları kuracak.
Banka, sunmakta olduğu internet bankacılığı hizmetleri için, bu hizmetlerin arz ettiği risk seviyelerine uygun ve güvenilir bir kimlik doğrulama mekanizması tesis edecek. Müşterilerin, kurulan kimlik doğrulama mekanizmasından geçmeden hizmetlerden yararlanmasına müsaade etmeyecek bir yapı banka tarafından kurulacak.
İNTERNET İÇİN PARMAK İZİ
Müşterilere uygulanan kimlik doğrulama mekanizması birbirinden bağımsız en az iki bileşenden oluşacak. Bu iki bileşen; müşterinin “bildiği”, müşterinin “sahip olduğu” veya müşterinin “biyometrik bir karakteristiği olan” unsur sınıflarından farklı birine ait olmak üzere seçilecek. Müşterinin “bildiği” unsur olarak parola/şifre bilgisi gibi bileşenler, “sahip olduğu” unsur olarak tek kullanımlık şifre üretim cihazı gibi bileşenler, “biyometrik bir karakteristiği” olarak da parmak izi gibi bileşenler kullanılabilecek.
Kimlik doğrulamada kullanılacak şifreleme teknikleri, güncel durum itibariyle literatürde kabul görmüş ve güvenilirliğini yitirmemiş algoritmaları baz almak durumunda olacak. Kullanılacak şifreleme anahtarları, ilgili algoritmalar için anahtarın geçerli olacağı ve kullanılabileceği zaman zarfında kırılamayacak şekilde uzun seçilecek. Geçerliliğini yitirmiş, çalınmış veya kırılmış şifreleme anahtarlarının kullanılabilirliği engellenecek.
Banka tarafından oluşturulacak kimlik doğrulama mekanizmasının; başarısız kimlik doğrulama teşebbüsleri hakkında, ilgili müşterinin sisteme ilk girdiği anda bilgi vermesi, başarısız teşebbüslerin belirli bir sayıyı asması halinde ise ilgili müşterinin internet bankacılığına erişimini bloke etmesi gerekecek. Başarısız kimlik doğrulama teşebbüsleri sonrasında, bu teşebbüsü gerçekleştiren kişiye, yanlış girilen kullanıcı bilgisi veya şifresi ile ilgili, örneğin böyle bir kullanıcının sistemde olmadığı veya şifrenin yanlış girildiği gibi, gereksiz bilgi vermemesi gerekecek.
Banka, müşterilerine ve personeline ait kimlik doğrulama bilgilerini ele geçirmeye yönelik bilinen saldırılara karşı gerekli sistemsel ve yazılımsal önlemleri alacak.
Olası tehditleri önceden belirleyebilmek ve gerekli önlemleri alabilmek adına, internet bankacılığı hesaplarına erişim için başarılı ve başarısız erişim teşebbüsleri düzenli olarak banka tarafından takip edilecek, oransal bir anormallik görüldüğünde incelemeye alınacak.
MÜŞTERİ İSTEMEDEN İNTERNET HİZMETİ AÇILMAYACAK
Banka, tüm internet bankacılığı faaliyetleri için yeterli ve etkin bir denetim izi tutma mekanizması tesis edecek. Banka, müşteri talebi olmadan internet bankacılığı hizmetini ilgili müşteri için kullanıma açamayacak. Müşteri, internet bankacılığı hizmetine erişimi kapatmışsa veya kapattırmışsa, müşterinin yeni bir talebi olmadan internet bankacılığı hizmeti kullanıma
açılamayacak.
ATM ÖNLEMLERİ
Banka, ATM cihazlarına ilişkin hırsızlık, sahtekarlık, fiziksel saldırı gibi tehditlere ilişkin riskleri minimize edici önlemleri tesis edecek ve ATM cihazlarının güvenli kullanımı hususunda müşterilerinde farkındalık yaratacak. ATM cihazları üzerine, zararlı içerikli programların kötü niyetli kişilerce
yüklenmesini ve yetkisiz erişimi engelleyecek gerekli yazılımlar yüklenecek. Cihaza yetkisiz kişilerin herhangi bir şekilde başka bir elektronik cihaz bağlamasını sağlayacak bütün giriş noktaları erişime kapatılacak.
ATM cihazları üzerinden gerçekleştirilen işlemler için kullanılan iletişim ağı veri güvenliği, gizliliği ve bütünlüğünü sağlayacak özellikte olacak. Müşterilerin girdiği PIN bilgileri ve gerçekleştirilecek işlemlere ilişkin bilgiler cihaz içinde ve cihaz dışındaki ATM ağı boyunca şifrelenmis bir şekilde iletilecek.
ATM cihazlarının servis sürekliğinin sağlanması ve maruz kalabilecekleri risklerin erken tespiti adına, Banka tarafından ATM cihazları için uzaktan yönetim ve takip sistemleri kurulacak. Söz konusu sistem düzenli olarak belirli hata kodları yaratan ATM cihazlarını ve hesap numaralarını, bunlar üzerinde şüpheli işlemler gerçekleştiriliyor olması ihtimaline karsı, sistemsel olarak takip edebilecek ve gerekli uyarıları yapabilecek
işlevselliğe sahip olacak.
AYNA VE IŞIKLANDIRMA KOŞULU
Banka, kendi sınırları dahilinde bulunmayan ATM cihazlarını, müşterilerinin bu cihazları güvenli olarak kullanabilecekleri yerlere konumlandıracak. Bu kapsamda, ATM cihazlarının etrafı uygun bir şekilde ışıklandırılacak ve cihaz üzerine kullanıcının etrafını gösterebilecek Şekilde ayna tipi aparatlar yerleştirilecek. ATM cihazları, etraftan geçen
şahısların müşterinin klavye hareketlerini göremeyeceği bir şekilde konumlandırılacak.
FİZİKSEL SALDIRIYA KARŞI ALARM
ATM cihazları, bulundukları zemine sağlam olarak tutturulmadıkça ve kolayca yerlerinden taşınmalarını engelleyici herhangi bir önlem alınmadıkça, bina dışına konumlandırılayacak. Mümkünse ATM cihazları üzerine fiziksel saldırıları algılayacak alarmlar ve sensörler yerleştirilecek.
Banka, ATM cihazlarının bulunduğu yerlere güvenlik kamerası koyacak. Güvenlik kamerası müşterinin klavye hareketlerini göremeyecek biçimde konumlandırılacak. Güvenlik kamerası kayıtları en az üç ay süreyle saklanacak ve kamera teçhizatları çalıştıklarına dair düzenli olarak kontrol edilecek.
Banka, bu Tebliğ hükümlerinin gereklerini yayım tarihinden itibaren azami iki yıl içerisinde yerine getirecek.