Resmi Gazetede bugün (28.06.2026)

-
Resim
  Resmi Gazetede Bugün; 📜   Aracı Kurumlar ve Portföy Yönetim Şirketleri Tarafından Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Tebliğ (III-42.1)’de Değişiklik Yapılmasına Dair Tebliğ (III-42.1.a) Yapılan değişiklikle Kripto Varlık Hizmet Sağlayıcıları Uzaktan müşteri edinimine dahil edildi Tanımlarda ekleme ve güncelleme yapıldı ve Kripto Varlık Hizmet Sağlayıcılar tanıma eklendi, İş prosedürlerin oluşturulması ve test süreçlerinin yazılı halte getirilmesi Prosedürlerin yılda en az iki kez gözden geçirmeli Uzaktan müşteri ediniminde k işilere ya da üçüncü bir tarafa yükümlülük doğuran işlemlerde itiraz hâlinde ispat yükümlülüğü; aracı kurum, portföy yönetim şirketi veya kripto varlık hizmet sağlayıcıdadır Tebliğ yayınlandığı tarihte  yürürlüğe girer detaylar için : https://www.resmigazete.gov.tr/eskiler/2026/02/20260228-4.htm   📜     Kişisel Verileri Koruma Kurulunun 11/02/2026 Tarihli ...
Yorum Gönder

Denetimler Artık Bir "Tik Atma" İşi Değil, Varoluş Meselesi

-

 Rüzgar Sert Esiyor: Denetimler Artık Bir "Tik Atma" İşi Değil, Varoluş Meselesi




Değerli Sektör Paydaşları,


    Ödeme ve Elektronik Para Kuruluşları dünyasında tempo hiç düşmüyor. İnovasyonun hızı baş döndürücü, ancak bu hızın getirdiği riskler de bir o kadar acımasız. Hepimiz biliyoruz ki, müşterinin parasına ve verisine dokunduğunuz an, güven en kırılgan sermayeniz haline gelir.

 

Sektörümüzde Yönetim Kurulları haklı olarak stratejik büyümeye, BT ekipleri kesintisiz operasyona, İç Kontrol ve Uyum ekipleri ise mevzuatın labirentlerinde doğru yolu bulmaya odaklanmış durumda.

 

Ancak, son dönemde sektörümüzde üzülerek şahit olduğumuz faaliyet izni iptalleri ve geçici durdurma kararları, masadaki risklerin ne kadar gerçek olduğunu hepimize çok net bir şekilde hatırlattı. Bu gelişmeler gösterdi ki; uyum ve güvenlik süreçlerindeki zafiyetler, sadece bir ceza riski değil, kurumun kapısına kilit vurulmasıyla sonuçlanabilecek bir varoluş sorunudur.

 

Tam da bu fırtınalı ortamda, bazen yoğunluktan "angarya" gibi görünen ama aslında kurumun yaşam destek ünitesi olan kritik dış değerlendirmelerin önemi katbekat artmış durumda. TCMB düzenlemeleri ve global standartlar gereği yaptırmak zorunda olduğumuz o "üçlü sacayağı"ndan bahsediyorum:

 

1. Sızma (Penetrasyon) Testleri: Bunu sadece yıllık bir zorunluluk olarak görme lüksümüz kalmadı. Kötü niyetli aktörler mesai saatlerine göre çalışmıyor. Kendi sistemlerimize, bir saldırganın acımasız gözüyle bakmadığımız sürece, kapıların ne kadar sağlam olduğunu bilemeyiz. Bu testler, "nereden sızabilirler?" sorusunun en dürüst ve hayat kurtarıcı cevabıdır.

 

2. PCI DSS Uyumu: Eğer kart verisine dokunuyorsanız, bu sizin küresel pasaportunuzdur. Sadece duvara asılacak bir sertifika değil, müşteri verisini koruma taahhüdünüzün kanıtıdır. Bugün bir veri ihlalinin maliyeti, sertifikasyon sürecinin maliyetinden katbekat fazladır ve itibar kaybının telafisi yoktur.

 

3. Bilgi Sistemleri Bağımsız Denetimi (2 Yılda Bir): İşte bu, BT yönetişiminizin "Check-Up"ıdır. TCMB’nin çizdiği çerçevede; sistemlerinizin ne kadar güvenli, iş sürekliliğinizin ne kadar gerçekçi ve iç kontrollerinizin ne kadar işlevsel olduğunun en derin fotoğrafıdır. Son yaşananlar, bu fotoğrafın net çekilmesinin ne kadar hayati olduğunu kanıtladı.


 

Yönetim, BT ve Kontrol Ekiplerine Açık Çağrı:

 

Bu süreçlerin, özellikle operasyonel ekipler üzerinde ciddi bir iş yükü yarattığının farkındayım. Çoğu zaman "denetim için iş yapmak" ile "işi yapmak" arasında sıkışıp kalınıyor.

 

Ancak bakış açımızı değiştirmek zorundayız. Bu bağımsız dış gözler, sektördeki olumsuz örneklerden biri olmamanız için en güçlü sigorta poliçenizdir. Bu denetim süreçlerini sadece "atlatılması gereken bir badire" olarak değil, kurumunuzun dijital bağışıklık sistemini güçlendirecek ve lisansınızı koruyacak bir kalkan olarak görün.

 

Önümüzdeki dönemde Sızma Testleri, PCI DSS süreçleri veya yaklaşan Bilgi Sistemleri Bağımsız Denetimi döneminiz için; bu süreçleri sadece "yasak savar" mantığıyla değil, kuruma gerçekten katma değer yaratacak ve sizi risklerden koruyacak bir iş ortaklığıyla yürütmek isterseniz, bir kahve eşliğinde konuşmak için her zaman buradayım.

 

Güvenli, uyumlu ve en önemlisi sürdürülebilir günler dilerim.

 

#Fintech #ÖdemeSistemleri #ElektronikPara #TCMB #BilgiGüvenliği #SızmaTesti #PCIDSS #BağımsızDenetim #CyberSecurity #Governance #RiskYönetimi #OmersahinTR #Audit 

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

TCMB’den Yeni Rehber: Yasa Dışı Faaliyetlere Karşı Risk Yönetimi Çerçevesi

-
Resim
TCMB’den Yeni Rehber: Yasa Dışı Faaliyetlere Karşı Risk Yönetimi Çerçevesi TCMB’den Yeni Rehber: Yasa Dışı Faaliyetlere Karşı Risk Yönetimi Çerçevesi     T.C. Merkez Bankası, ödeme ve elektronik para kuruluşlarının sunduğu hizmetlerin yasa dışı faaliyetlerde kullanılmasının önlenmesine yönelik kapsamlı bir “Risk Yönetimi Rehberi” yayımladı (Kasım 2025).   🔍   Rehber; - Yönetmeliğin 27. maddesi, ( 6493 sayılı kanun )  - Bilgi Sistemleri ve Veri Paylaşım Servislerine İlişkin Tebliğ’in 19. maddesi dayanak alınarak hazırlanmış olup,  - MASAK , 5549, 6415 ve 7262 sayılı kanunlardan doğan yükümlülüklerin saklı tutulduğunu açıkça belirtmektedir.   📌   Rehberde öne çıkan başlıklar:  - Yasa dışı faaliyetlerin önlenmesine yönelik asgari senaryolar ve teknik-idari tedbirler,  - 3 saat içinde müdahale zorunluluğu olan uyarı sistemleri ,  - Sürekli izleme ve manuel kontrollerle desteklenen sistem altyapısı,  - 7/24 kesintisiz hizmet sunumu beklenti...
Devamı

TCMB’den 4 Kuruluş İçin Faaliyet İzni İptali Kararı

-
Resim
Fintech Sektöründe Kritik Gelişme: TCMB’den 4 Kuruluş İçin Faaliyet İzni İptali Kararı ve Sektör İçin Alınması Gereken Dersler   Değerli Sektör Paydaşları,   1 Şubat 2026 tarihli Resmî Gazete ’de yayımlanan tebliğler ile #TCMB, 6493 sayılı Kanun kapsamında faaliyet gösteren dört ödeme ve elektronik para kuruluşunun faaliyet izinlerini iptal ettiğini öğrenmiş bulunuyoruz.   TCMB tarafından 28 Ocak 2026 tarihinde alınan bu kararlar, regülasyona uyumun sürekliliğinin ne kadar hayati olduğunu bir kez daha gözler önüne seriyor.   İptal kararlarının detaylarına ve yasal dayanaklarına baktığımızda şu tablo ile karşılaşıyoruz:   Faaliyet İzni İptal Edilen Kuruluşlar ve Gerekçeleri: Sektör İçin Kritik Değerlendirme ve Çıkarılması Gereken "Ödev" Sektör olarak çıkarmamız gereken temel ödev şudur:   ➡️  Tasfiye Halinde Mypayz Ödeme Kuruluşu A.Ş. : 6493 sayılı Kanun’un 16. maddesinin birinci fıkrasının (b) bendi uyarınca faaliyet izni iptal edilmiştir.   ➡️ ...
Devamı

Lisans Bekleyen Ödeme ve Elektronik Para Kuruluşları

-
Resim
 İSTANBUL TİCARET ODASINA KAYITLI ÖDEME VE ELEKTRONİK PARA KURULUŞLARI      İstanbul Ticaret Odası üzerinden yaptığım araştırma doğrultusunda Ödeme ve Elektronik Para kuruluşu unvanı ile kayıtlı yada unvan değişikliği yapmış kuruluş/şirketlerin arttığını görmekteyiz. Bu kuruluşların bir kısmının 6493 sayılı kanunun yürürlüğe girmeden öncesinde kurulduğu gibi sonrasında kurulmuş olan kuruluşlarda mevcut. Kuruluş tarihleri üzerinden baktığımızda ise bu kuruluşların bir kısmı uzun süredir lisans almayı beklediği, bir kısmı da başvuru aşamasında beklemekle olduğu görülürken, kuruluşların yeni olup başvuru yapan kuruluşlar olduğu görülmektedir. Bu kuruluşları incelerken dikkatimi çeken ise, içlerinden bazıları Bankacılık Düzenleme ve Denetleme Kurumu ndan veya 01.01.2020 tarihi sonrası Türkiye Cumhuriyet Merkez Bankası 'dan lisans almayıp lisanslı kuruluş izlenimi veriyor olması. Bir diğeri ise Lisans alan kuruluş olup unvanını lisans kapsamında olmayan faaliyetleri gös...
Devamı