“Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmelik” (“Yönetmelik”), ödeme kuruluşları ve elektronik para kuruluşlarının yetkilendirilmesi ve faaliyetleri ile ödeme hizmeti sağlayıcılarına, ödeme hizmetlerinin sunulmasına ve elektronik para ihracına ilişkin usul ve esasları düzenlemekte iken; “Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri ile Ödeme Hizmeti Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğ” (“Tebliğ”), ödeme kuruluşları ile elektronik para kuruluşlarının faaliyetlerinin yürütülmesinde kullandıkları bilgi sistemlerinin yönetimi ve yetkilendirilmiş bağımsız denetim kuruluşları tarafından denetlenmesi ile ödeme hizmeti sağlayıcılarının ödeme hizmetleri alanındaki veri paylaşım servislerine ilişkin usul ve esasları düzenlemektedir. Bu çerçevede ödeme ve elektronik para kuruluşları tarafından hassas müşteri verilerinin ve müşteri bilgilerinin şifrelenmesi ya da güvenli bileşenlerde saklanması zaruridir.
Hassas müşteri verisi ile müşteri bilgisi nedir?
Tebliğ’in 3. maddesinde hassas müşteri verisi ile müşteri bilgisi aşağıdaki şekilde tanımlanmıştır.
- Hassas müşteri verisi: Ödeme emrinin verilmesinde veya müşterinin kimliğinin doğrulanmasında kullanılan ve üçüncü kişilerce ele geçirilmesi veya değiştirilmesi halinde dolandırıcılık ya da müşteri adına sahte işlem yapılmasına imkân verebilecek kişisel veriler ile müşteri güvenlik bilgileri,
- Müşteri bilgisi: Müşterilere ait, işlem bilgisi, bakiye bilgisi, kişisel veri, kimlik tanımlayıcısı, unvan dahil olmak üzere müşterinin kişisel ve finansal durumuna ilişkin doğrudan veya dolaylı yoldan edinilen her türlü bilgi olarak ifade edilmektedir.
Ödeme Hizmetleri Direktifi 2’de (“Payment Services Directive 2”) de söz konusu veriler, dolandırıcılık ve/veya fiktif işlem yapmak için kullanılabilecek kişisel güvenlik kimlik bilgileri de dahil olmak üzere tüm veriler olarak tanımlanmıştır. Özellikle kimlik doğrulama amacıyla kullanılan müşteriye ait parola, CVV, parmak izi gibi işlem güvenliğini sağlamak ve özellikle elektronik bankacılık hizmetlerinde müşterinin ayırt edilmesini sağlamak amacıyla kullanılan veriler, hassas veri niteliğinde değerlendirilebilir. Ödeme Kuruluşları ve Elektronik Para Kuruluşları, Tebliğ uyarınca:
- Müşterinin hassas müşteri verilerine, bu verileri oluşturan ve kullananlar dışında diğer taraflarca erişilememesini ve bu verilerin güvenli ve verimli kanallar vasıtasıyla iletilmesini sağlar.
- Gizlilik derecesi, bütünlük gereksinimi, kullanılabilirlik gereksinimi, saklama süresi ve asgari yedekleme sıklığı ile veriler özelinde sınıflandırma sağlar.
- Hassas müşteri verileri veya müşteri bilgilerine sahip sistemlerin özel iç ağda bulunması ve hiçbir şekilde doğrudan internetten erişilemiyor olmasını sağlar. Özel iç ağdaki sistemlere yalnızca vekil uygulamalar veya güvenlik duvarı cihazları üzerinden iletişim kurulmasını sağlar. İnternet üzerinden veya Kuruluş dış ağından görünür olan sunucu veya sistemler, görünür olmalarını gerektirecek geçerli bir iş ihtiyacı olup olmadığının tespit edilmesi amacıyla düzenli olarak kontrol edilir ve eğer gerekli değilse bu sunucu ve sistemlerin Kuruluş iç ağına taşınması ve iç ağ IP adreslerine sahip olmasını sağlar.
- İç ağdan dış ağa akan trafik içeriğini, veri sızıntısını tespit edecek altyapı kontrolünü sağlar.
- Mobil uygulamalarının kullandığı hassas müşteri verileri ile müşteri bilgilerinin, mobil uygulamanın kullanıldığı cihazda yer alan diğer yazılım ve uygulamalar tarafından erişilemez olmasını sağlayacak önlemler alır.
- Faaliyetlerinin yürütülmesi sırasında edindiği ve bilgi sistemleri aracılığıyla işlediği, ilettiği veya sakladığı hassas müşteri verileri ve müşteri bilgilerinin gizliliğini ve güvenliğini sağlamaya ve kuruluş dışına sızmasını önlemeye yönelik politika ve prosedürleri yazılı olarak oluşturur ve bu amaçla gerekli tedbirleri alır.
- Müşterinin işlem bilgileri, bakiye vb. bilgileri talep etmesi halinde elektronik ortamda müşterilerine ileteceği hassas müşteri verisi veya müşteri bilgisi içeren her türlü ekstre, dekont, hesap özeti gibi belgelerin, kuruluşça sunulan elektronik kanallar üzerinden sağlar.
- Üye işyerleri ve temsilciler ile akdedilecek sözleşmelerde de gerekliliklerinin yerine getirilmesini sağlar.
Sonuç itibariyle, Ödeme Kuruluşları ve Elektronik Para Kuruluşları nezdinde Yönetmelik ve Tebliğ uyarınca mevcut yükümlülüklerin yerine getirilebilmesi için en kritik & önemli husus; hassas müşteri verisi ve müşteri bilgilerinin tespitinin sağlanması, şifrelenmesi ve mevzuata uygunluğunun eksiksiz bir şekilde temin edilmesidir.
Kaynakça:
- Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmelik
- Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri ile Ödeme Hizmeti Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğ
- Payment Services Directive 2 (PSD2)
- https://oded2016.wordpress.com/wp-content/uploads/2017/12/oded_avrupa_birligi_odeme_hizmetleri_direktifi_2.pdf
Turkish