Fintech olarak faaliyet yürüten Ödeme ve Elektronik Para Kuruluşlarında Yönetmelik ve Tebliğe Uyum Süresi yaklaşıyor
Ödeme ve Elektronik Para Kuruluşlarında Yönetmelik ve Tebliğe Uyum Süresinde Son 3 ay
Fintech alanında faaliyet gösteren Ödeme ve Elektronik Para Kuruluşları için geçtiğimiz yıl aralık ayında yayımlanan “Ödeme Hizmetleri Ve Elektronik Para İhracı İle Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmelik” (Yönetmelik) ve “Ödeme Ve Elektronik Para Kuruluşlarının Bilgi Sistemleri İle Ödeme Hizmeti Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğ” (Tebliğ) kapsamında uyumluluk süreçleri için tarih verilmişi.
Bilindiği üzere, 6493 Sayılı kanun doğrultusunda faaliyet yürüten ve ikincil düzenlemeler olarak 01.12.2021 tarihinde yayımlanan ve yürürlüğe giren Yönetmelik ve Tebliğ'de Uyum süreci için belirlenen son tarih 01.12.2022 olmuş ve uyum süresi için firmalara yaklaşık olarak 1 yıllık süre tanınmıştı.
Yayımlanan yönetmelik ve tebliğ kapsamında firmaları ilgilendiren kısım sadece süreçlerin düzenlenmesi değil aynı zamanda kullanılan sistem ve yazılımların da geliştirilmesi yönünde değişiklikler yapılması. Firmaların kullanmış oldukları yazılımlara baktığımızda firmanın kendi için de geliştirdiği yazılımlar olduğu gibi dış hizmet olarak alan firmalar da karşımıza çıkmakta. Peki alınan yada firma tarafından geliştirilen yazılım ve diğer süreçlerde UYUM sürecinde yapılması gerekenler neler(di) bir kısmını kısaca paylaşmak isterim.
ÖDEME HİZMETLERİ VE ELEKTRONİK PARA İHRACI İLE ÖDEME HİZMETİ SAĞLAYICILARI HAKKINDA YÖNETMELİK
-
Elektronik Para İhracında
Ergin olmayan kişiler için Yasal temsilcisinde onay/izin prosedürleri (MADDE 5)
- İşyeri kayıt sistemi (MADDE 9) BKM nezdinde oluşturulmuş sistem
-
Anonim ön ödemeli
araçlar online ödemelere kapalı olması ve güvenli damga ile hizmet veren ödeme
noktasında kullanımı (MADDE 7)
-
Temsilci
Sözleşmelerinin yenilenmesi ve İş modellerinin gözden geçirilmesi (MADDE 18)
(TCMB Tarafından kuruluşlara gönderilen Sözleşme yazısı)
-
Yurt dışında
yerleşik tüzel kişilerle birlikte hizmet sunan kuruluşların TCMB sına bilgi
vermesi ve izin alması (MADDE 19)
-
Dış hizmet alımı İçin
getirilen Yükümlülükler (MADDE 21)
-
Yönetim kurulu ve
kurumsal yönetim İçin getirilen Yükümlülükler (MADDE 23)
-
Risk yönetimi
İçin getirilen Yükümlülükler (MADDE 27)
-
Ödenmiş sermaye ve
Asgari özkaynak yükümlülüğü (MADDE 32 - MADDE 33)
-
Ödeme fonlarının
korunması ve nemalandırılması (MADDE 34 )
-
TCMB nezdinde tutulacak
olan mesleki sorumluluk sigortası ve teminat yükümlülükleri (MADDE 33)
-
Sözleşmeler (MADDE
41 - MADDE 46)
-
Bilgi sistemleri
yönetimine ilişkin genel hükümler (MADDE 4)
-
Bilgi
sistemlerine ilişkin risk yönetimi (MADDE 5)
Ulusal ve uluslararası standartlar dikkate alınmalı
bir önceki yıla ait Risk değerlendirmesi ve
Ocak ayında T.C. Merkez Bankasına Raporlama
-
Bilgi sistemleri
işletimi (MADDE 6)
İş Sorumlu belirleme, envanter hazırlama
(yazılım, donanım)
Ağ segmentasyonu, prosedürler
-
Olay yönetimi ve
siber olaylar ( MADDE 7 )
Siber olay yönetim süreçlerinin ve
sınıflandırmaların yapılması, siber olayla karşılaşılması durumunda T.C. Merkez
Bankasına Raporlama,
Müdahale planı hazırlanması ve en az yılda 1
kez testinin yapılması,
-
Bilgi güvenliği
ve bilgi güvenliği yönetimi (MADDE 8 )
Bilgi güvenliği olaynalarını izleme ve raporlama
meknaizmaların kurgulanması, ağ segmentasyonuna göre güncel güvenlik
önlemlerinin alınması,
Kimlik ve erişimin kuruluşa özgün olması ve
dışarıdaki etki alanlarının benzerinin olmaması
Kullanılan sistemlerde İhtiyaç dışı porltarın
kapatılması,
Uzaktan erişimde güvenliğin arttırılması, (2fa,
güçlü kimlik doğrulama)
Görevler ayrılığında güçlü güvenlik doğrulamaların
devreye alınması,
White liste uygulaması ve denetimi
Kuruluş e-postalarında zararlı yazılım
taramaları ve gerekli önlemlerin alınması
Varlık Sınıflandırmasının yapılması,
Kimlik doğrulama (MADDE 10)
Güçlü kimlik doğrulama mekanizmaların oluşturulması,
Güncel teknolojinin kullanımı ile parola
politikasının oluşturulması,
Başarısız kimlik doğrulamaların izlenmesi ve
kullanıcının bilgilendirilmesi
Finansal ve finansal olmayan işlemlerde kimlik
doğrulama uygulamaların planlanması,
5549’a göre Güçlü kimlik doğrulama
sistemlerin oluşturulması
-
Erişim yönetimi -
Güvenlik açıkları ve ihlalleri (MADDE 11 - MADDE 12)
Sızma
testinde ve Zaafiyet taramasında getirilene standartlar
-
Denetim izlerinin
oluşturulması (MADDE 13)
Denetim izletinin tutulamaması durumunda finansal
faaliyetlerin yürütüldüğü sistemlerin durdurulması
-
Bilgi
sistemlerine ilişkin dış hizmet alım sürecinin yönetimi (MADDE 16)
Bilgi sistemleri yönetimine standartı, Sözleşme
standartı, T.C Merkez Bankası tarafından alınan dış hizmeti durdurma yetkisi
-
Yüksek riskli
işlemlerin takibi (MADDE 19)
Müşterilerin gerçekleştirdiği işlemlerde olağan
dışı ve şüpheli bir işlem tespiti halinde telefon yada SMS ile uyarı sistemi,
(5549 sayılı kanunda yer alan yükümlülükler saklı kalmak kaydı ile)
İşlemlerin sıkılığı ve tutar kontrollerin
Masak Şüpheli işlem rehberinde yayınlamış
oldğu işlem tiplerine göre ve iş koluna göre senaryoların oluşturulması ve
testlerin yapılması
Sosyal medya ve çevrim içi platform
taramalarını aktif kullanması,
Senaryoların performansının değerlendirilmesi
-
Uzaktan iletişim
aracı ile yürütülecek süreçler (MADDE 22)
Kimlik tespiti için doğru ve gerekli
bilgilerin alınması,
Bilgi ve belgelerin doğruluk, bütünlük ve tahrif kontrollerin test ve/veya
kontrollerin yapılması,
Ödeme hizmeti sunumunda ilgili bilgi ve belgeler
T.C. Merkez bankasında uygun bulunan bir yöntem ile temini sağlanmalı.
Uzaktan erişim araçları ile kurulan sözleşmelerde süreçler en az yılda iki kez gözden geçirilmeli ve tesleri ile sonuçlarına göre gerekli güncellemeler yapılmalı,
Çevrim içi görüşmede kimlik doğrulaması yapan personelin müşteriye dikkat etmesi ve şüpheli bir durum olup olmadığına dair sorular
Sevgi ve saygılarımla...
Ömer Şahin
Kaynak :
https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=39080&MevzuatTur=7&MevzuatTertip=5
https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=39081&MevzuatTur=9&MevzuatTertip=5
Yorumlar
Yorum Gönder