Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) tarafından geçtiğimiz yıl mart ayında Resmi Gazete'de yayımlanan ve yürürlük tarihi 1 Temmuz 2020 olarak belirlenen ancak koronavirüs salgının olumsuz etkileri yüzünden bazı maddeleri hariç yürürlük tarihi 1 Ocak 2021 yılına çekilen Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik yürürlüğe girdi.
Yeni sistem ile kimlik doğrulama yöntemleri sil baştan değişti.
Elektronik bankacılık hizmetleri için bankalar müşterilerine birbirinden bağımsız en az iki bileşenden oluşan bir kimlik doğrulama mekanizması uygulayacak.
ELEKTRONİK KİMLİK KARTLARI KULLANILABİLECEK
Yeni dönemde kimlik doğrulama işlemleri elektronik kimlikler, PIN numaraları, biyometrik veri veya elektronik imzanın kullanılması şeklinde olacak. Kullanıcılara uygulanacak kimlik doğrulama mekanizmasında kullanılacak bileşenlerin üretim aşamalarından başlayarak kullanıcıya ulaştırılmasına kadar geçen sürecin tamamı boyunca güvenliğini ise bankalar sağlayacak.
GÜVENLİĞİNDEN BANKALAR SORUMLU
Bankalar kimlik doğrulamada kullanılacak şifreleme anahtarlarını, bu anahtarların ele geçirilme ihtimallerini en aza indiren, gizliliğini sağlayan, değiştirilmesini ve bozulmasını önleyen yöntemler barındıracak şekilde müşterilerin kullanımına sunacak.
ÇOK SAYIDA BAŞARISIZ GİRİŞİMDE ERİŞİM ENGELLENECEK
Kullanıcılara uygulanacak kimlik doğrulama mekanizmasında, başarısız kimlik doğrulama teşebbüsleri hakkında ilgili kullanıcıya sisteme ilk girdiği anda bilgi vermesi sağlanacak. Yeni Şafak'ta yer alan habere göre, Başarısız teşebbüslerin belirli bir sayıyı aşması halinde ise müşterinin erişimi için ilave güvenlik önlemleri alınacak ve başarısız kimlik doğrulama teşebbüslerinin devam etmesi halinde ise ilgili kullanıcının erişimi engellenecek.
DOĞRULAMA İÇİN SMS GÖNDERİLEMEYECEK
Yeni düzenleme ile bankalar, mobil bankacılık uygulamasını yükleyerek aktifleştirmiş olan müşterilerine, oturum açma ya da oturumun devamında herhangi bir işlemin doğrulanması için hiçbir şekilde SMS ile OTP ya da doğrulama kodu gönderemeyecek ve bunu bir kimlik doğrulama unsuru olarak kullanamayacak. Mobil bankacılık uygulamasının ilk kurulumu, aktifleştirilmesi, yeniden aktifleştirilmesi aşamalarında ya da uygulamanın kullanılamaz olması durumunda SMS ile OTP ya da doğrulama kodu gönderilebilecek.
ANNE KIZLIK SOYADI SORULMAYACAK
1 Ocak itibariyle yürürlüğe giren düzenlemenin en dikkat çeken maddelerinden biri ise kimlik doğrulama bilgilerine yönelik oldu. Bankalar yeni düzenlemeyle müşterinin kimliğini tespit etmeye yarayan ve resmi kimlik belgesi yerine geçen belgeler üzerinde yer alan bilgiler ile anne kızlık soyadını elektronik bankacılık hizmetlerinin sunulması esnasında hiçbir aşamada kimlik doğrulama amacıyla artık kullanılamayacak.
Öte yandan bankanın kimlik doğrulamada müşterinin bildiği unsur olarak bir güvenlik sorusu kullanmak istemesi durumunda, bu güvenlik sorusunun resmi kimlik belgesi yerine geçen belgeler üzerinde yer alan bilgilerden birine ilişkin olmaması ve cevabının müşterinin kendisi tarafından belirleniyor olması gerekecek.
1 Ocak itibariyle çok sayıda banka kimlik doğrulamada yeni ürünlerini müşterilerine sunmaya başladı.
İLAVE GÜVENLİK ÖNLEMLERİ SUNULACAK
Bankalar yeni düzenlemeyle elektronik bankacılık dağıtım kanallarından gerçekleştirilebilecek işlemler için müşterilerine, varsayılan ve müşteri tarafından güncellenebilecek erişim kısıtlamaları, günlük işlem limitleri, güvenli alıcılar listesi gibi ilave güvenlik önlemleri de sunacak.
SAHTE SİTE VE UYGULAMALARA YÖNELİK DİKKAT ÇEKEN DETAY
Yeni yönetmelikte bankaların adı kullanılarak açılan sahte site ve uygulamalara yönelik de dikkat çeken bir detay yer alıyor.
Bankalar elektronik bankacılık hizmetlerinde kullanmak üzere müşterilerine sunduğu her türlü yazılım ya da mobil uygulamanın kaynağının, ilgili banka olduğunun doğrulanabiliyor olmasını da sağlanacak. Banka bu yazılım ya da mobil uygulamaların, müşteri güvenliğini tehlikeye sokacak herhangi bir kod içermemesini sağlamakla, güvenlik açıklarını giderecek gerekli önlemleri almakla da yükümlü olacak.
UZAKTAN KİMLİK TESPİTİ YAPILABİLECEK
Yönetmelikte müşterinin veya müşteri adına hareket eden kişinin kimliğini tespit etmek amacıyla, uzaktan kimlik tespiti yöntemleri kullanabileceğine ilişkin düzenleme de yer aldı. Bu madde ile artık bankalar müşteriyle sözleşme ilişkisi kurarken yüz yüze gelmeden, fiziki belge, ıslak imza kullanmadan teknolojiye uygun yöntemleri kullanabilecek.