Ana Sayfa » Haberler » Bankacılık Düzenleme ve Denetleme Kurumu, Elektronik Bankacılık Hizmetlerinde ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasında Kimlik Doğrulama ve İşlem Güvenliği için Sağlanması Gereken Kriterler Hakkında 2022/2 Sayılı Genelge Taslağını Yayımladı

Bankacılık Düzenleme ve Denetleme Kurumu, Elektronik Bankacılık Hizmetlerinde ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasında Kimlik Doğrulama ve İşlem Güvenliği için Sağlanması Gereken Kriterler Hakkında 2022/2 Sayılı Genelge Taslağını Yayımladı

Bankacılık Düzenleme ve Denetleme Kurumu, Elektronik Bankacılık Hizmetlerinde ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasında Kimlik Doğrulama ve İşlem Güvenliği için Sağlanması Gereken Kriterler Hakkında 2022/2 Sayılı Genelge Taslağını yayımladı.

Genelgede, 15/03/2020 tarihli ve 31069 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliğin (BSEBY) 34 ve 35’inci maddelerinde elektronik bankacılık hizmet kanallarında kimlik doğrulama ve işlem güvenliğinin nasıl gerçekleştirilmesi gerektiği ve bu kanallar üzerinden gerçekleştirilecek işlemler için hem banka hem de müşteriler için inkâr edilemezliği ve sorumluluk atamayı mümkün kılacak teknikler kullanılması gerektiği düzenlenmekte olup, BSEBY’nin 38’inci ve 39’uncu maddelerinde ise internet bankacılığı ve mobil bankacılık dağıtım kanalları özelinde bu hususlara ilişkin ilave hükümlere yer verilmiştir.

01/04/2021 tarihli ve 31441 sayılı Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmeliğin (UKTY) 12’nci maddesinin ikinci fıkrasında ise BSEBY’nin 38 ve 39’uncu maddelerine atıfta bulunulmak suretiyle aşağıdaki hükümlere yer verilmiştir:

(2) Bu Yönetmelikte yer alan şartlar dâhilinde uzaktan kimlik tespitinin yapılmasını ya da şubeler aracılığıyla müşteri kimliğinin yüz yüze tespit edilmesini müteakiben, mesafeli olsun olmasın, müşterilerce gerçekleştirilmek istenen işlemlere yönelik olarak bir bilişim veya haberleşme cihazı üzerinden yazılı şeklin yerine geçecek nitelikte bir sözleşme ilişkisi kurulabilmesi için;

a) Söz konusu sözleşmenin bütün şartlarının, müşterinin okuyabileceği şekilde internet bankacılığı ya da mobil bankacılık dağıtım kanalları üzerinden müşteriye iletilmesi,

b) Müşteriye iletilen sözleşme ve bu sözleşme ile müşterinin sözleşmeyi kuran irade beyanının, BSEBY’nin 38’inci maddesinin üçüncü fıkrası ile 39 uncu maddesinin birinci fıkrasında belirtilen müşteriye özgü şifreleme gizli anahtarı ile imzalanarak bankaya iletilmesi,

c) a bendine göre iletilen sözleşmede müşteriye sözleşme içeriği olarak hangi bilgiler gösterilmiş ise (b) bendine göre müşteri tarafından yalnızca o bilgilerin imzalanmasının sağlanması, şarttır.

Elektronik Bankacılık Hizmetlerinde ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasında Kimlik Doğrulama ve İşlem Güvenliği için Sağlanması Gereken Kriterler Hakkında Ek Açıklamalar yayınlandı.

Müşteriye Özgü Şifreleme Gizli Anahtarının Kullanılması ve İşlem İmzalama

BSEBY Madde 34-38-39’daki hükümler çerçevesinde, müşteriye atanmış ve özgülenmiş bir şifreleme gizli anahtarının kullanım alanları:

1. Kimlik doğrulama,
2. Yetkilendirme (işlem doğrulama).

İşlemlerinden oluşmakta olup hem internet bankacılığı dağıtım kanalı hem de bu dağıtım kanalının özelleşmiş bir hali olan mobil bankacılık dağıtım kanalında kimlik doğrulama ve yetkilendirme işlemlerinin gerçekleştirilebilmesi için “doğrulama kodu” üretilmesi ve bunun müşteriye özgü şifreleme gizli anahtarı ile imzalanması şart koşulmuştur.

Şifreleme gizli anahtarının içerik imzalama öncesi aktifleştirilmesi için kullanılacak “PIN” gibi “müşterinin bildiği unsurun” mobil uygulamanın yüklü olduğu cihaz üzerinde lokalde değil, banka nezdinde çevrimiçi doğrulanması gerekmektedir.

BSEBY’nin “inkâr edilemezlik ve sorumluluk atama” başlıklı 35’inci maddesine göre bankaların, sunmakta oldukları elektronik bankacılık hizmetleri kapsamında gerçekleştirilen işlemlerde hem kendileri hem de müşterileri için inkâr edilemezliği ve sorumluluk atamayı mümkün kılacak teknikler kullanmaları gerekmektedir.

BSEBY’nin 38’inci maddesinin üçüncü fıkrasına göre ise finansal sonuç doğuran işlemler için doğrulama kodlarının, işlemi gerçekleştirirken müşterinin onayladığı tutar ve alıcı bilgisine göre spesifik olması, tutar veya fonun aktarılacağı alıcı bilgisindeki herhangi bir değişiklik halinde bu bilgilere göre oluşturulmuş ilgili doğrulama kodunun da geçersiz hale gelmesi gerekmekte ve doğrulama kodlarının müşteriye atanmış bir şifreleme gizli anahtarı ile imzalanmış şekilde tek kullanımlık olarak üretilmesi gerekmektedir.

Diğer Genelgelere veya Haberlere göz atmak için tıklayın.