BANKALARCA KULLANILACAK UZAKTAN KİMLİK TESPİTİ YÖNTEMLERİNE İLİŞKİN TEBLİĞ TASLAĞI
BANKALARCA KULLANILACAK UZAKTAN KİMLİK TESPİTİ YÖNTEMLERİNE İLİŞKİN TEBLİĞ TASLAĞI YAYIMLANDI
BDDK Müşteri kazanımında yeni bir yöntem getirerek şubeye gitmeden uzaktan kimlik doğrulmasına imkan tanıyacak yönetmelik için çalışmayı başlattı ve taslağı yayımladı.
Uzaktan kimlik Tespitinde önemli ve dikkat Edilmesi gereken noktalar;
- Teknolojik, operasyonel ve benzeri riskler dikkate alınarak yeterli güvenlik seviyesi
- Geçerli doğrulama yöntemlerini öğrenmesi ve bilinen dolandırıcılık yöntemlerine ilişkin eğitim ve denetim
- Müşteri Temsilcisinin gerekli tedbirlerin alındığı, erişimi sınırlandırılmış ayrı alanlarda çalışması
- şüpheye yer bırakmayacak ve kimlik tespitinde herhangi bir kısıtlamaya imkân vermeyecek şekilde olması
- En az dört adedinin doğrulama kriterinin karşılanması
- Kimlik tespiti sürecinde psikolojik sorgulamalar ve gözlemler ile müşterinin kendi isteği ile mi yoksa zorla mı bu işlemi yaptığının tespiti
- Kimlik avına, sosyal mühendisliğe, başka bir tarafın zoru ya da zorlamasıyla baskı altında gerçekleşen hareketlere ve benzeri sahtekârlık yöntemlerine ilişkin riskler
- Yanlış tespit riskini en aza indirecek şekilde kullanılmasını sağlamak bankanın sorumluluğundadır
- itiraz halinde ispat yükümlülüğü bankadadır
BANKALARCA KULLANILACAK UZAKTAN KİMLİK TESPİTİ
YÖNTEMLERİNE İLİŞKİN TEBLİĞ TASLAĞI
BİRİNCİ BÖLÜM
Amaç ve Kapsam, Dayanak ve Tanımlar
Amaç ve kapsam
MADDE 1 - (1) Bu Tebliğin amacı, bankalar tarafından yeni müşteri kazanımında ve
müşteri kimliğinin doğrulanmasında kullanılabilecek uzaktan kimlik tespiti yöntemlerine
ilişkin usul ve esasları düzenlemektir.
Dayanak
MADDE 2
(1) Bu Tebliğ, 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanununun 76
ncı maddesinin ikinci fıkrası ve 15/3/2020 tarihli ve 31069 sayılı Resmî Gazete’de yayımlanan
Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliğin 43
üncü maddesi uyarınca düzenlenmiştir.
Tanımlar ve kısaltmalar
MADDE 3
(1) Bu Tebliğde yer alan;
a) Açık rıza: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununda
tanımlanan açık rızayı,
b) Banka: Kanunun 3 üncü maddesinde tanımlanan bankaları,
c) Basit cihazla görülebilen güvenlik öğeleri: Gözle net olarak görülemeyen ancak
büyüteç ve benzeri basit alet ve yöntemlerle ayırt edilebilen hologram ve mikro yazı gibi
güvenlik öğelerini,
ç) Beyaz ışık: Gün ışığı gibi görünürde renksiz olan ışığı,
d) Bilgi teknolojileri (BT): Herhangi bir biçimdeki verinin, girişinin yapılması,
saklanması, işlenmesi, iletilmesi ve çıktılarının alınması için kullanılan donanım, yazılım,
iletişim altyapısı ve ilgili diğer teknolojileri,
e) Gözle görülebilen güvenlik öğeleri: Bakıldığı anda çıplak gözle ayırt edilebilen giyoş,
gökkuşağı baskı, optik değişken mürekkep, gizli görüntü ve hologram gibi güvenlik öğelerini,
f) Kanun: 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanununu,
g) Kimlik Paylaşımı Sistemi: 8/12/2006 tarihli ve 26370 sayılı Resmî Gazete’de
yayımlanan Kimlik Paylaşımı Sistemi Yönetmeliğinde tanımlanan Kimlik Paylaşımı Sistemini,
ğ) Kişi: Uzaktan kimlik tespiti gerçekleştirilecek gerçek kişiyi,
h) Kurul: Bankacılık Düzenleme ve Denetleme Kurulunu,
ı) MRZ: 3/12/2019 tarihli ve 30967 sayılı Resmî Gazete’de yayımlanan Türkiye
Cumhuriyeti Kimlik Kartı Yönetmeliğinde tanımlanan MRZ’yi,
i) Müşteri temsilcisi: Kişinin uzaktan kimlik tespitini gerçekleştirecek banka
personelini,
j) SMS OTP: Yönetmelikte tanımlanan SMS OTP’yi,
k) Yakın alan iletişimi: Elektronik cihazların güvenilir, temassız işlem yapabilmesini ve
sayısal içeriğe ve/veya elektronik cihazlara erişimini mümkün kılan, veri okuma ve yazmakta
kullanılan kısa menzilli kablosuz teknolojiyi,
l) Yönetmelik: 15/3/2020 tarihli ve 31069 sayılı Resmî Gazete’de yayımlanan
Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği,
ifade eder.
İKİNCİ BÖLÜM
Uzaktan Kimlik Tespitine İlişkin Şartlar
Uzaktan kimlik tespitine ilişkin genel ilkeler
MADDE 4
(1) Uzaktan kimlik tespiti, müşteri temsilcisi ile kişinin; fiziksel olarak
aynı ortamda bulunmasına gerek olmadan, çevrim içi olarak görüntülü görüşmesi ve birbiriyle
iletişim kurması ile gerçekleşir.
(2) Görüntülü görüşme ile uzaktan kimlik tespiti yöntemi bu Tebliğde belirtilen şartlar
dâhilinde uygulanır. Uygulanacak yöntem, yüz yüze yapılan kimlik tespiti yöntemine benzer
ve asgari seviyede risk ihtiva edecek şekilde tasarlanır.
(3) Uzaktan kimlik tespitinde kullanılacak görüntülü görüşme yönteminde olası
teknolojik, operasyonel ve benzeri riskler dikkate alınarak yeterli güvenlik seviyesi oluşturulur.
(4) Uzaktan kimlik tespitine ilişkin süreçler ve sistemler, Yönetmeliğin 11 inci
maddesinin beşinci fıkrası kapsamında, görevler ayrılığı prensibine uygun şekilde kritik bir
işlem olarak değerlendirilir ve işlemin tek bir kişi tarafından başlatılması, onaylanması ve
tamamlanmasına imkân vermeyecek şekilde tasarlanır ve işletilir.
(5) Bankanın belirlediği görüntülü görüşme ile uzaktan kimlik tespiti sürecinin
uygulanmasından önce, süreç belgelenir ve sürecin etkinliği test edilerek sonuçları yazılı hale
getirilir. Test sonuçlarına göre ihtiyaç duyulması halinde gerekli güncellemeler yapılır.
(6) Görüntülü görüşme ile uzaktan kimlik tespiti süreci yılda en az bir defa gözden
geçirilir. Güvenlik olaylarının ve dolandırıcılık teşebbüslerinin tespit edilmesi veya
gerçekleşmesi, ilgili mevzuatta değişiklik yapılması, bankanın muhtemel bir sahtekârlıktan
haberdar olması ve kullanılan uzaktan kimlik tespiti yöntemine ilişkin zayıflıkların ortaya
çıkması gibi durumlarda teknolojik gelişmeler ve uygulamada kazanılan deneyimler dikkate
alınarak sürecin ayrıca gözden geçirilmesi sağlanır ve gerekli güncellemeler yapılır.
Görüntülü görüşme ile uzaktan kimlik tespitini gerçekleştirecek personel ve
çalışma ortamı
MADDE 5
(1) Görüntülü görüşme ile uzaktan kimlik tespiti, bankanın bu konuda
eğitim almış müşteri temsilcisi tarafından yapılır.
(2) Müşteri temsilcisinin, kimlik tespitinde kullanılabilecek belgelerin özelliklerini ve
bu belgeler için uygulanan geçerli doğrulama yöntemlerini öğrenmesi ve bilinen dolandırıcılık
yöntemlerine, bu Tebliğde ve ilgili diğer mevzuatta yer alan yükümlülüklere ilişkin bilgi sahibi
olması sağlanır. Kimlik tespiti sırasında kullanılacak belgelere, bu belgelerde var olan
doğrulanabilir özelliklere ve doğrulamanın yapılması sırasında kullanılacak kriterlere ilişkin
detaylı dokümanlar oluşturulur.
(3) Müşteri temsilcisinin, görüntülü görüşme ile uzaktan kimlik tespiti sürecine ilişkin
yılda en az bir defa ve her bir güncelleme sonrasında eğitim alması sağlanır.
(4) Uzaktan kimlik tespiti sürecinde müşteri temsilcisinin, yaşanılabilecek güvenlik
olaylarının engellenmesine yönelik gerekli tedbirlerin alındığı, erişimi sınırlandırılmış ayrı
alanlarda çalışması sağlanır.
(5) Engelli kişilere hizmet verebilmek amacıyla en az bir müşteri temsilcisine gerekli
eğitimlerin verilmesi sağlanır.
Görüntülü görüşme ile uzaktan kimlik tespiti sürecinde uyulması gereken ilkeler
MADDE 6
(1) Görüntülü görüşme ile uzaktan kimlik tespitinin başlamasından önce
kişinin başvurusu bir form ile alınır, alınan veriler kullanılarak kişi hakkında risk
değerlendirmesi gerçekleştirilir.
(2) Müşteri temsilcisine uzaktan kimlik tespiti işlemleri atanırken suistimal olasılığını
azaltmak için gerekli mekanizmalar tesis edilir.
(3) Bu Tebliğ kapsamında uygulanacak görüntülü görüşme ile uzaktan kimlik tespiti
sürecinin başlangıcında kişinin açık rızası kayıt altına alınır.
(4) Kişi ile yapılan görüntülü görüşmede müşteri temsilcisinin soracağı asgari sorular
belirlenir ve sorulan soruların sırası ve/veya türü değişkenlik arz eder.
(5) Görüntülü görüşme ile uzaktan kimlik tespiti gerçek zamanlı ve kesintisiz şekilde
yapılır. Müşteri temsilcisi ile kişi arasındaki görsel-işitsel iletişimin bütünlüğünün ve
gizliliğinin yeterli seviyede olması sağlanır. Bu amaçla, yapılan görüntülü görüşme uçtan uca
güvenli iletişim ile gerçekleştirilir.
(6) Gerçekleşen iletişimin görüntü ve ses kalitesinin, yeterli seviyede ve bu Tebliğde
yer alan hükümler ve kontroller çerçevesinde şüpheye yer bırakmayacak ve kimlik tespitinde
herhangi bir kısıtlamaya imkân vermeyecek şekilde olması sağlanır. Görüntü kalitesi, sunulan
belgeyi beyaz ışık altında görsel olarak doğrulayabilmeye ve sunulan belgenin yıpranmamış ya
da tahrif edilmemiş olduğunu kontrol edebilmeye yönelik güvenlik öğelerinin incelenmesine
olanak tanır.
(7) Görüntü kalitesini değerlendirmek amacıyla uygun görsel güvenlik öğeleri belirlenir
ve kalitenin tüm görüşme esnasında yeterli seviyede olması gerekir.
Kullanılabilecek kimlik belgeleri ve bunların doğrulanması
MADDE 7
(1) Görüntülü görüşme ile uzaktan kimlik tespiti sürecinde beyaz ışık
altında görsel olarak ayırt edilebilen ve asgari olarak giyoş, gökkuşağı baskı, optik değişken
mürekkep, gizli görüntü, hologram ve mikro yazı güvenlik öğelerine, fotoğraf ve ıslak imzaya
sahip olan kimlik belgeleri kullanılır.
(2) Kimlik belgesinin sahip olduğu çıplak gözle veya basit cihazla görülebilen farklı
optik güvenlik öğelerinden rastgele seçilen en az dört adedinin doğrulama kriterinin
karşılanması ve yakın alan iletişimi kullanılarak kimlik belgesinin yongası üzerinde yer alan
kimlik bilgilerinin doğrulanması, kimlik belgesinden kişinin kimliğinin tespit edilmesi için
gereken eşleşmenin sağlandığı anlamına gelir.
(3) Görüntülü görüşme ile kimlik tespiti sırasında beyaz ışık altında görsel olarak ayırt
edilebilen optik güvenlik öğelerinin, kimlik belgesinde bulunan ve belgenin eğik tutulmasıyla
görünebilen her bir tekil öğe ile şekil ve içerik bakımından eşleşmesi sağlanır. Eşleşmeler uygun
BT uygulamaları aracılığıyla gerçekleştirilir. Ayrıca, müşteri temsilcisi tarafından, ekran
görüntüleri veya video kayıtları arasından seçilecek tekil fotoğraflar ile bir karşılaştırma yapılır.
(4) Görsel kimlik tespiti esnasında kişinin, kimlik belgesini kameranın önünde yatay
veya dikey olarak eğmesi ve müşteri temsilcisinin vereceği talimata göre ilave hareketler
yapması sağlanır. Bu amaçla kişiden, kimlik belgesinin güvenlikle ilgili kısımlarından sistem
tarafından değişken ve rastgele şekilde belirlenen kısımlarına parmağını koyması istenir.
(5) Müşteri temsilcisi, görüntülü görüşme sürecinde kişiyi ve kişi tarafından sunulan
kimlik belgesinin ön ve arka yüzü ile birlikte belgenin üzerindeki bilgileri gösteren fotoğraflar
ve/veya ekran görüntüleri oluşturur.
(6) Müşteri temsilcisi, kişinin hareketlerinden alınan, kesilen ve büyütülen tekil
görselleri kullanarak, beyaz ışık altında görsel olarak ayırt edilebilen tüm güvenlik öğeleri ile
birlikte kimlik belgesinin doğru açıyla tam olarak kapsandığından ve kimlik belgesinin
üzerindeki kısımlar arasındaki geçiş noktalarında tahrifatı gösteren hiçbir yapaylık
bulunmadığından emin olur.
(7) Sunulan kimlik belgesinde bulunan veri ve bilgilerin geçerliliği ve gerçekliğine
ilişkin doğrulama, görüntülü görüşme ile uzaktan kimlik tespiti sürecinin bir parçası olarak
gerçekleştirilir. Bu kapsamda asgari olarak;
a) Kimlik belgesinde bulunması gereken, beyaz ışık altında görsel olarak ayırt edilebilen
ve belgedeki karakterlerin yazı tipi, düzeni, sayısı, büyüklüğü, aralığı ve tipografisi gibi belgeyi
çıkaran yetkili makamca tanımlanan özelliklere sahip olduğu,
b) Kimlik belgesinin zarar görmemiş, tahrif edilmemiş, değiştirilmemiş ve özellikle
üzerine sonradan fotoğraf yapıştırılmamış olduğu,
c) Kimlik belgesi geçerlilik süresinin bu türden kimlik belgelerinin sahip olduğu
standartlara aykırı olmadığı,
ç) Kimlik belgesinin MRZ’sinde yer alan bilgiler ile kimlik belgesine ait bilgilerin
uyuştuğu,
d) Kişiye ilişkin kimlik belgesinde yer alan bilgilerin banka tarafından bilinen, Kimlik
Paylaşımı Sisteminden alınan ve varsa kimlik tespiti yapmak amacıyla bankanın erişimine açık
olan diğer bilgiler ile eşleştiği,
e) Kişiden görüntülü görüşme sırasında varsa kimlik belgesinde yer alan seri numarası,
doğrulanır.
Kimliği tespit edilecek kişinin doğrulanması
MADDE 8
(1) Görüntülü görüşme ile uzaktan kimlik tespiti sırasında kişinin
canlılığını tespit edici teknikler kullanılır. Kişinin yüzü ile kimlik belgesinde yer alan fotoğrafın
biyometrik karşılaştırması yapılır.
(2) Müşteri temsilcisi, kullanılan kimlik belgesindeki fotoğrafın ve kişisel bilgilerin kişi
ile uyuştuğundan emin olur. Kimlik belgesinde yer alan fotoğrafın, veriliş tarihinin ve doğum
tarihinin tutarlılığı kontrol edilir.
(3) Müşteri temsilcisi, kimlik tespiti sürecinde psikolojik sorgulamalar ve gözlemler
yardımıyla kimlik belgesindeki bilgilerin, görüşme esnasında kişi tarafından sağlanan bilgilerin
ve belirtilen niyetin inandırıcı ve yeterli olduğuna kanaat getirir. Bu amaçla, örneğin, kimlik
belgesi üzerindeki fotoğrafın doğruluğunu kontrol etmek üzere kişinin yaşının yanı sıra kimlik
belgesi üzerindeki doğum tarihi ve yeri ile ilgili sorular sorar.
(4) Müşteri temsilcisinin, kişinin banka müşterisi olma veya bankacılık hizmetlerinden
yararlanma isteğini kendi iradesiyle bankadan talep ettiğine şüphe bırakmayacak şekilde karar
verebilmeleri konusunda eğitim alması sağlanır. Bu kapsamda kimlik avına, sosyal
mühendisliğe, başka bir tarafın zoru ya da zorlamasıyla baskı altında gerçekleşen hareketlere
ve benzeri sahtekârlık yöntemlerine ilişkin riskler göz önünde bulundurulur.
Görüntülü görüşme ile kimlik tespiti sürecinin sonlandırılması
MADDE 9
(1) Zayıf ışık koşulları, düşük görüntü kalitesi ya da iletimi ve benzeri
durumlar nedeniyle bu Tebliğde belirtildiği şekilde görsel doğrulama yapmanın ve/veya kişi ile
sözlü iletişim kurmanın mümkün olmadığı hallerde uzaktan kimlik tespiti süreci iptal edilir.
Süreçte herhangi başka bir tutarsızlık veya belirsizlik bulunması durumunda da bu hüküm
uygulanır.
(2) Uzaktan kimlik tespiti sırasında kişi tarafından sunulan belgelerin geçerliliği
hususunda ya da sahtecilik veya dolandırıcılık teşebbüsünden şüphe edilmesi durumunda, yüz
yüze görüntülü görüşme ile uzaktan kimlik tespiti süreci sonlandırılır.
İşlem doğrulama kodunun iletimi
MADDE 10
(1) Görüntülü görüşme esnasında, kişiye yalnızca yapılan kimlik tespiti
işlemi için geçerli, merkezi olarak üretilen SMS OTP iletilir. İletilen SMS OTP’nin kişi
tarafından çevrim içi olarak uygulama ara yüzü üzerinden geri gönderilmesi sağlanır. Kişinin
söz konusu SMS OTP’yi uygulama ara yüzüne girmesi ve sistemde bu doğrulama kodunun
başarılı şekilde onaylanması durumunda uzaktan kimlik tespiti işlemi tamamlanmış olur.
Verilerin saklanması
MADDE 11
(1) Uzaktan kimlik tespiti sürecinin tamamı, sürecin tüm adımlarını
içerecek şekilde kayıt altına alınır ve saklanır. Bilgi ve belge saklama gereklilikleri diğer
mevzuatın bilgi ve belge saklama ile ilgili hükümleri aynen saklı kalmak koşuluyla uygulanır.
Uzaktan kimlik tespitinde sorumluluk
MADDE 12
(1) Uzaktan kimlik tespiti için kullanılan çözümlerin kişiyi yanlış tespit
riskini en aza indirecek şekilde kullanılmasını sağlamak bankanın sorumluluğundadır. Banka
uzaktan kimlik tespiti ile kimlik tespiti gerçekleştirdiği kişileri farklı bir risk profilinde izler.
Bu kişilerce yapılan işlemin türüne ve tutarına bağlı olarak ilave güvenlik ve kontrol yöntemleri
uygulanır. Kişilere ya da üçüncü bir tarafa yükümlülük doğuran işlemlerde itiraz halinde ispat
yükümlülüğü bankadadır.
(2) Bu Tebliğde yer alan şartlar dâhilinde uzaktan kimlik tespitinin yapılması halinde
kimlik doğrulamada Yönetmeliğin 34 üncü maddesinin birinci fıkrasının gerekleri yerine
getirilmiş sayılır.
(3) Bankanın Yönetmelikte ve bu Tebliğde yer alan hükümlere uyum durumu, şikâyetler
ve dolandırıcılık olayları gibi unsurların değerlendirilmesi neticesinde ve gerekli görülen
hallerde uzaktan kimlik tespiti kullanımını kısıtlamaya veya durdurmaya Kurul yetkilidir.
ÜÇÜNCÜ BÖLÜM
Çeşitli ve Son Hükümler
Yürürlük
MADDE 13 - (1) Bu Tebliğ 1/1/2021 tarihinde yürürlüğe girer.
Yürütme
MADDE 14 - (1) Bu Tebliğ hükümlerini Bankacılık Düzenleme ve Denetleme Kurumu
Başkanı yürütür.
Kaynak:
https://www.bddk.org.tr/ContentBddk/dokuman/duyuru_0851_01.pdf
Yorumlar
Yorum Gönder