Bankacılık Düzenleme ve Denetleme Kurumu (BDDK), bankaların faaliyetlerinin ifasında kullandıkları bilgi sistemlerinin yönetimi ile elektronik bankacılık hizmetlerinin sunulmasında ve bunlara ilişkin risklerin yönetiminde esas alınacak asgari usul ve esaslar ile tesis edilmesi gereken bilgi sistemleri kontrollerini düzenledi.
BDDK'nın Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik'i 1 Temmuz 2020'de yürürlüğe girecek. Yönetmeliğin yürürlüğe girmesiyle birlikte bugüne kadar bankaların tabi olduğu Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ de yürürlükten kaldırılacak.
Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik; BDDK'nın bankalarda bilgi sistemlerinin denetim ve gözetim faaliyetleri ile edindiği tarihsel tecrübeler ile birlikte diğer kamu kurumlarından, bankalardan ve banka müşterilerinden gelen talepler, öneriler ve şikayetlerin değerlendirilmesi neticesinde bankaların halihazırda kullandığı çeşitli hizmet kanalları, bu hizmetlerin kullanımından kaynaklanan riskler, teknolojik altyapı, siber ve fiziksel güvenlik kontrolleri gibi bilgi sistemleri yönetimi bileşenlerine ilişkin politikalar, prosedürler, uygulamalar ve organizasyonel yapıların, teknolojik gelişmelere cevap verebilecek şekilde güncellenmesi amacıyla hazırlandı.
Kişisel veriler ve hassas verilerin iletimi ve güvenliği hususunda yapılması gerekenler, bu verilerin sorgulanması ve yapılan sorgulamalara dair kayıtların saklanması ve yurt dışına aktarımlarının sınırlandırılması konusunda hükümler yönetmelikle belirlendi. Bankanın bilgi sistemleri elemanları olan bilgi varlıkları için hazırlanması gereken varlık envanteri ve veri envanteri, varlık ve verilerin güvenlik sınıfları ve erişim haklarının belirlenmesi ve varlık sınıflandırma kılavuzunun hazırlanması konusunda düzenleme yapıldı.
Bilgi güvenliği farkındalığını artırmak üzere yapılması gereken çalışmalar da düzenlendi
Bankaların, tebliğde de yer aldığı üzere, bilgi sistemleri sürekliliğinin sağlanması amacıyla birincil sistemleri ile veri ve sistem yedeklerinin bulunduğu ikincil sistemlerini yurt içinde konumlandırma zorunluluğu ile birlikte birincil sistemlerin tamamen devre dışı kaldığı felaket senaryolarında dahi en geç 24 saat içerisinde faaliyetlerin yeniden sürdürebilir olması gerektiği hususu yönetmelik kapsamında düzenlendi.
Kritik donanım ve sistemler için yedekli çalışma ya da hazırda bekleme düzenleri kurulması, ağ ve iletişim altyapısındaki kesintilere karşı uygun alternatif iletişim kanalları oluşturulması ve yedekleme planın yazılı hale getirilmesi konusunda hükümler belirlendi. Ayrıca, soruşturma veya kovuşturma yürüten adli mercilerden bankalara giden veri taleplerine cevap verilmesi hususunda talep edilen verilerin ilgili mercilere iletilmesi, yedeklerinin alınması ve saklanması hakkında düzenleme yapıldı.
Yönetmelik ile kritik altyapı sektörlerinden biri olan bankacılık sektöründe, siber olay yönetimi hususunda bankaların yapması gereken çalışmalar ve Kurumsal Siber Olaylara Müdahale Ekibi (SOME) aracılığıyla yerine getirmeleri gereken sorumlulukları ayrıntılı olarak açıklandı. Ayrıca, banka genelinde bilgi güvenliği farkındalığını artırmak üzere yapılması gereken çalışmalar da yönetmelik kapsamında düzenlendi.
Bankaların, iletişim ve altyapı teknolojilerinin gelişimiyle birlikte yaygınlaşan bulut hizmet modelinin avantajlarından yararlanırken, risklerinden kaçınmalarını sağlamak üzere özel ve topluluk bulut hizmeti kullanımına ilişkin düzenleme de yönetmelikte yer aldı. Kritik bilgi sistemleri ve güvenlik kapsamında yerli ürün ve hizmetlerin kullanımını teşvik eden ve finans sektörüne özel bulut altyapılarının oluşumu için sektörü teşvik edici hükümler yönetmeliğe eklendi.
İnternet bankacılığı, mobil bankacılık, telefon bankacılığı, açık bankacılık servisleri ile ATM cihazları gibi müşterilerin, bankanın fiziksel şubelerine gitmeden uzaktan bankacılık işlemlerini gerçekleştirebildikleri her türlü elektronik dağıtım kanalının oluşturduğu elektronik bankacılık hizmetleri yönetmelikte ayrı bir kısımda ele alındı. Bu hizmetler kapsamında, kimlik doğrulama ve işlem güvenliği, işlemlerin takibi, hizmet kalitesinin sağlanması ve müşterilerin bilgilendirilmesine ilişkin yapılması gerekenler ayrıntılı olarak açıklandı.
BDDK yetkililerinden alınan bilgiye göre, yönetmelik ile internet bankacılığı, mobil bankacılık, açık bankacılık servisleri, bulut bilişim gibi yeni ortaya çıkan veya ciddi gelişmelerin yaşandığı alanlarda mevzuat gereksinimi karşılanmakla birlikte tebliğde hakkında hükümlerin yer aldığı hususlarda da daha kapsamlı düzenleme yapıldı. Bankaların bilgi sistemleri ve elektronik bankacılık hizmetlerini güvenli ve kesintisiz olarak yürütmelerini sağlamaları için yönlendirilmeleri amaçlandı.