Fintech olarak faaliyet yürüten Ödeme ve Elektronik Para Kuruluşlarında Yönetmelik ve Tebliğe Uyum Süresi yaklaşıyor

-

Ödeme ve Elektronik Para Kuruluşlarında Yönetmelik ve Tebliğe Uyum Süresinde Son 3 ay



    Fintech alanında faaliyet gösteren Ödeme ve Elektronik Para Kuruluşları için geçtiğimiz yıl aralık ayında yayımlanan “Ödeme Hizmetleri Ve Elektronik Para İhracı İle Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmelik” (Yönetmelik) ve “Ödeme Ve Elektronik Para Kuruluşlarının Bilgi Sistemleri İle Ödeme Hizmeti Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğ” (Tebliğ)  kapsamında uyumluluk süreçleri için tarih verilmişi.

Bilindiği üzere, 6493 Sayılı kanun doğrultusunda faaliyet yürüten ve ikincil düzenlemeler olarak 01.12.2021 tarihinde yayımlanan ve yürürlüğe giren Yönetmelik ve Tebliğ'de Uyum süreci  için belirlenen son tarih 01.12.2022  olmuş ve uyum süresi için firmalara yaklaşık olarak 1 yıllık süre tanınmıştı.  

Yayımlanan yönetmelik ve tebliğ kapsamında firmaları ilgilendiren kısım sadece süreçlerin düzenlenmesi değil aynı zamanda kullanılan sistem ve yazılımların da geliştirilmesi yönünde değişiklikler yapılması. Firmaların kullanmış oldukları yazılımlara baktığımızda firmanın kendi için de geliştirdiği yazılımlar olduğu gibi dış hizmet olarak alan firmalar da karşımıza çıkmakta. Peki alınan yada firma tarafından geliştirilen yazılım ve diğer süreçlerde UYUM sürecinde yapılması gerekenler neler(di) bir kısmını kısaca paylaşmak isterim.




ÖDEME HİZMETLERİ VE ELEKTRONİK PARA İHRACI İLE ÖDEME HİZMETİ SAĞLAYICILARI HAKKINDA YÖNETMELİK

 

-        Elektronik Para İhracında Ergin olmayan kişiler için Yasal temsilcisinde onay/izin prosedürleri (MADDE 5)

    

 -        İşyeri kayıt sistemi (MADDE 9) BKM nezdinde oluşturulmuş sistem

-        Anonim ön ödemeli araçlar online ödemelere kapalı olması ve güvenli damga ile hizmet veren ödeme noktasında kullanımı (MADDE 7)

-        Temsilci Sözleşmelerinin yenilenmesi ve İş modellerinin gözden geçirilmesi (MADDE 18) (TCMB Tarafından kuruluşlara gönderilen Sözleşme yazısı)

-        Yurt dışında yerleşik tüzel kişilerle birlikte hizmet sunan kuruluşların TCMB sına bilgi vermesi ve izin alması (MADDE 19)

-        Dış hizmet alımı İçin getirilen Yükümlülükler (MADDE 21)

-        Yönetim kurulu ve kurumsal yönetim İçin getirilen Yükümlülükler (MADDE 23)

-        Risk yönetimi İçin getirilen Yükümlülükler (MADDE 27)

-        Ödenmiş sermaye ve Asgari özkaynak yükümlülüğü (MADDE 32 - MADDE 33)

-        Ödeme fonlarının korunması ve nemalandırılması (MADDE 34 )

-        TCMB nezdinde tutulacak olan mesleki sorumluluk sigortası ve teminat yükümlülükleri (MADDE 33)

-        Sözleşmeler (MADDE 41 - MADDE 46)


ÖDEME VE ELEKTRONİK PARA KURULUŞLARININ BİLGİ SİSTEMLERİ İLE ÖDEME HİZMETİ SAĞLAYICILARININ ÖDEME HİZMETLERİ ALANINDAKİ VERİ PAYLAŞIM SERVİSLERİNE İLİŞKİN TEBLİĞ

 

-        Bilgi sistemleri yönetimine ilişkin genel hükümler (MADDE 4)

-        Bilgi sistemlerine ilişkin risk yönetimi (MADDE 5)

Ulusal ve uluslararası  standartlar dikkate alınmalı

bir önceki yıla ait Risk değerlendirmesi ve Ocak ayında T.C. Merkez Bankasına Raporlama

-        Bilgi sistemleri işletimi (MADDE 6)

İş Sorumlu belirleme, envanter hazırlama (yazılım, donanım)

Ağ segmentasyonu, prosedürler

-        Olay yönetimi ve siber olaylar ( MADDE 7 )

Siber olay yönetim süreçlerinin ve sınıflandırmaların yapılması, siber olayla karşılaşılması durumunda T.C. Merkez Bankasına Raporlama,

Müdahale planı hazırlanması ve en az yılda 1 kez testinin yapılması,

-        Bilgi güvenliği ve bilgi güvenliği yönetimi (MADDE 8 )

Bilgi güvenliği olaynalarını izleme ve raporlama meknaizmaların kurgulanması, ağ segmentasyonuna göre güncel güvenlik önlemlerinin alınması,

Kimlik ve erişimin kuruluşa özgün olması ve dışarıdaki etki alanlarının benzerinin olmaması

Kullanılan sistemlerde İhtiyaç dışı porltarın kapatılması,

Uzaktan erişimde güvenliğin arttırılması, (2fa, güçlü kimlik doğrulama)

Görevler ayrılığında güçlü güvenlik doğrulamaların devreye alınması,

White liste uygulaması ve denetimi

Kuruluş e-postalarında zararlı yazılım taramaları ve gerekli önlemlerin alınması

Varlık Sınıflandırmasının yapılması,

Kimlik doğrulama (MADDE 10)

Güçlü kimlik doğrulama mekanizmaların oluşturulması,

Güncel teknolojinin kullanımı ile parola politikasının oluşturulması,

Başarısız kimlik doğrulamaların izlenmesi ve kullanıcının bilgilendirilmesi

Finansal ve finansal olmayan işlemlerde kimlik doğrulama uygulamaların planlanması,

5549’a göre Güçlü kimlik doğrulama sistemlerin oluşturulması

-        Erişim yönetimi - Güvenlik açıkları ve ihlalleri (MADDE 11 - MADDE 12)

 Sızma testinde ve Zaafiyet taramasında getirilene standartlar

-        Denetim izlerinin oluşturulması (MADDE 13)

Denetim izletinin tutulamaması durumunda finansal faaliyetlerin yürütüldüğü sistemlerin durdurulması

-        Bilgi sistemlerine ilişkin dış hizmet alım sürecinin yönetimi (MADDE 16)

Bilgi sistemleri yönetimine standartı, Sözleşme standartı, T.C Merkez Bankası tarafından alınan dış hizmeti durdurma yetkisi

-        Yüksek riskli işlemlerin takibi (MADDE 19)

Müşterilerin gerçekleştirdiği işlemlerde olağan dışı ve şüpheli bir işlem tespiti halinde telefon yada SMS ile uyarı sistemi, (5549 sayılı kanunda yer alan yükümlülükler saklı kalmak kaydı ile)

İşlemlerin sıkılığı ve tutar kontrollerin

Masak Şüpheli işlem rehberinde yayınlamış oldğu işlem tiplerine göre ve iş koluna göre senaryoların oluşturulması ve testlerin yapılması

Sosyal medya ve çevrim içi platform taramalarını aktif kullanması,

Senaryoların performansının değerlendirilmesi

-        Uzaktan iletişim aracı ile yürütülecek süreçler (MADDE 22)

Kimlik tespiti için doğru ve gerekli bilgilerin alınması,

Bilgi ve belgelerin doğruluk, bütünlük  ve tahrif kontrollerin test ve/veya kontrollerin yapılması,

Ödeme hizmeti sunumunda ilgili bilgi ve belgeler T.C. Merkez bankasında uygun bulunan bir yöntem ile temini sağlanmalı.

Uzaktan erişim araçları ile kurulan sözleşmelerde süreçler en az yılda iki kez gözden geçirilmeli ve tesleri ile sonuçlarına göre gerekli güncellemeler yapılmalı,

Çevrim içi görüşmede kimlik doğrulaması yapan personelin müşteriye dikkat etmesi ve şüpheli bir durum olup olmadığına dair sorular  



Sevgi ve saygılarımla...

Ömer Şahin


Bizi sosyal medyadan takip edebilirsiniz.

 

Kaynak : 

https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=39080&MevzuatTur=7&MevzuatTertip=5

https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=39081&MevzuatTur=9&MevzuatTertip=5

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

T.C. Merkez Bankası, 6493 Sayılı Kanun’da Değişiklik Yapılmasına Dair Kanun Teklifi Taslağı’nı Görüşe Açtı

-
Resim
6493 Sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun'da Değişiklik Taslağı      6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para   Kuruluşları Hakkında Kanun (Kanun) 27 Haziran 2013 tarihinde 28690 sayılı Resmî gazete yayınlanan karar ile Ödeme Sistemleri ve Ödeme Hizmetleri alanında bir düzenleme yürürlüğe girmişti. Yürürlüğe giren kanunla Ödeme ve Elektronik Para kuruluşları Kanun ile lisans kapsamına alınmış ve lisanslama süreci 2014 yılında alınan başvurular ile başlamış olup ilk lisanslar Bankacılık Düzenleme ve Denetleme Kurumu ( BDDK ) tarafından 2015 yılı içerisinde verilmeye başlanmıştı. Ödeme ve Elektronik  Para Kuruluşları 2019 yılının sonuna kadar Bankacılık Düzenleme ve Denetleme Kurumu'nun  (BDDK)  düzenlemesi ve denetimi alanında iken 2019 yılının son aylarında çıkarılan 7192 Sayılı "Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme ve Elektronik P
Devamı

6493 Sayılı Kanunun ikincil düzenlemelerinde Mevzuat 2.0 yayımlandı.

-
Resim
T.C. Merkez Bankası 6493 sayılı Kanun'un düzenlemelerinde değişiklik yaparak Mevzuat 2.0'ı yayınladı.  Ödeme ve Elektronik Para kuruluşları 6493 sayılı kanun ile lisans kapsamına alınmış ve lisanslama süreci 2014 yılında alınan başvurular ile başlamış olup ilk lisanslar Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) tarafından 2015 yılı içerisinde verilmeye başlanmıştı. Ödeme ve Elektronik Para Kuruluşları 2019 yılının sonuna kadar Bankacılık Düzenleme ve Denetleme Kurumu'nun (BDDK) düzenlemesi ve denetimi alanında iken 2019 yılının son aylarında çıkarılan 7192 Sayılı "Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme ve Elektronik Para Kuruluşları Hakkında Kanun ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun" (7192 sayılı Kanun) ile  6493 Sayılı "Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme ve Elektronik Para Kuruluşları Hakkında Kanun"(6493 Sayılı Kanun) da değişiklik yapılarak 01.01.2020 tarihi itibari ile düzenleme ve denetleme yetkisi
Devamı

6493 Sayılı Kanun'un ikincil düzenlemeleri hakkında

-
Resim
  Ödeme ve Elektronik Para Kuruluşlarını düzenleyen ve denetleyen 6493 sayılı Kanun’un ikincil düzenlemeleriyle ilgili Türkiye Cumhuriyet Merkez Bankası (T.C. Merkez Bankası) yaptığı çalışmalar ve denetimler sonucunda yeni düzenleme yapmış ve 01.12.2021 tarihinde yayımlanmıştı. Yayımlanan İkincil Düzenlemeler için kuruluşlara bir yıllık uyum süresi verilmişti. Uyum süreci dolmaya yakın bir sürede T.C. Merkez Bankası tarafından yayımlanan kararlarla Şubat 2023 Yılına ve sonra 2 kez, toplamda 3 olmak üzere uyum süresi için 30.09.2023 tarihine ötelenmişti.  Bu ötelemeler dikkate alındığında Ödeme ve Elektronik Para Kuruluşları yeni bir öteleme beklemekteydi fakat T.C. Merkez Bankası ötelemeyle ilgili bir tebliğ yayınlamadı. 1 Ekim itibariyle yürürlüğe giren ikincil düzenlemelerle ilgili olarak kuruluşların yerine getirmesi gereken yükümlülükler bulunmakta ve onların bir kısmı aşağıda paylaşılmıştır. -           28 Ocak 2023 tarihinde yayımlanan tebliğ ile yeniden değerleme ile belirle
Devamı