11.02.2022 tarihinde yürürlüğe giren Finansal Kiralama, Faktoring, Finansman ve Tasarruf Finansman Şirketlerince Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik’te (‘’Yönetmelik’’) yer alan, müşteri temsilcisine ilişkin değerlendirmeler aşağıdaki gibidir:
Müşteri Temsilcisi Tanımı ve Sürecin Yönetimi
Yönetmelik’in Tanımlar başlıklı 3. maddesinde müşteri temsilcisi, ‘’kişinin uzaktan kimlik tespitini yapacak şirket personelini ya da dış hizmet alımı yoluyla istihdam edilen personeli’’ olarak tanımlanmaktadır. İşbu ifadeden anlaşılacağı üzere müşteri temsilcisinin dış hizmet alımı yoluyla istihdam edilmesi de mümkündür.
Uzaktan kimlik tespiti, müşteri temsilcisi ile kişinin; fiziksel olarak aynı ortamda bulunmasına gerek olmadan çevrim içi olarak görüntülü görüşmesi ve birbirleriyle iletişim kurması ile yapılır. Uzaktan kimlik tespitinde uygulanacak yöntem, yüz yüze yapılan kimlik tespiti yöntemine benzer ve asgari seviyede risk ihtiva edecek şekilde tasarlanır.
Kullanılacak görüntülü görüşme yönteminde olası teknolojik, operasyonel ve benzeri riskler dikkate alınarak yeterli seviyede güvenlik önlemleri alınır.
Tespit işlemi kritik bir işlem olarak değerlendirilir ve işlemin bilgi teknolojileri veya müşteri temsilcisi tarafından tek başına başlatılması, onaylanması ve tamamlanmasına imkan vermeyecek şekilde tasarlanır ve işletilir.
Süreç;
- kişi tarafından başlatılır,
- bilgi teknolojileri tarafından uygulanan kontroller ile devam eder ve
- müşteri temsilcisinin onaylaması ve ek kontroller ile tamamlanır.
Müşteri temsilcisinin yapmış olduğu bu ek kontrollerde işlemin riskli bulunması halinde işlem ikinci bir onaya gönderilebilir ya da sonlandırılır.
Kimlik tespiti sırasında kullanılacak belgelere, bu belgelerde var olan doğrulanabilir özelliklere ve doğrulamanın yapıldığı sırada kullanılacak kriterlere ilişkin detaylı dokümanlar oluşturulur. Ayrıca, şirket belirlediği tespit sürecinin uygulanmasından önce sürece ilişkin dokümanlar oluşturur ve sürecin etkinliğini test eder. Bu test sonuçları yazılı hale getirilir, test sonuçlarının başarılı bulunmaması halinde gerekli güncellemeler yapılır ve süreç tam yeterlilik seviyesine gelmeden uygulanmaya başlanmaz. Kullanılan süreç, yılda en az bir kez gözden geçirilir ve gerekli güncellemeler yapılır. Gözden geçirme işleminde; güvenlik ihlallerinin tespit edilmesi, ilgili mevzuatta değişiklik yapılması, şirketin muhtemel dolandırıcılık veya sahtecilik teşkil edebilecek eylemlerden haberdar olması, kullanılan kimlik tespiti yöntemine ilişkin zayıflıkların tespit edilmesi gibi durumlar göz önüne alınır.
Dış Hizmet Alımında Şartlar
Müşteri temsilcisinin dış hizmet yoluyla da istihdamı mümkün olup dış hizmet alımının şartları şu şekildedir:
Müşteri temsilcisi dış hizmet alımı ile istihdam edilecek ise, müşteri temsilcisinin şirkete özel erişimi sınırlandırılmış ayrı bir alanda çalışması Bankacılık Düzenleme ve Denetleme Kurumu’nun iznine tabi tutulmuştur.
Uzaktan kimlik tespitine ilişkin kullanılacak bu süreçte; sistem, ürün ve hizmetlerin Türkiye’de üretilmesi veya üreticilerin ar-ge merkezlerinin Türkiye’de bulunması için azami özen gösterilir. Bu tür sağlayıcıların ve üreticilerin Türkiye’de müdahale ekiplerinin bulunması şart koşulmuştur. Bu dış hizmet alımında önemli bir kriter olarak değerlendirilir.
Müşteri Temsilcisinin Çalışma Ortamı
Uzaktan kimlik tespitini gerçekleştirecek müşteri temsilcisinin bu konuda eğitim almış olması gerekir. Müşteri temsilcisinin kimlik tespitinde kullanılacak belgelere, bu belgelerin özelliklerine, uygulanan geçerli doğrulama yöntemlerine, dolandırıcılık veya sahtecilik teşkil edebilecek eylemlere ilişkin bilgi sahibi olması sağlanır.
Müşteri temsilcisinin, bu sürece ilişkin yılda en az bir defa ve süreçte gerçekleştirilen her güncelleme sonrası kişisel verilerin korunması mevzuatı da dahil olmak üzere eğitim alması sağlanır. Ayrıca, kimlik tespiti yapılan kişinin şirket müşterisi olma veya şirketin sunduğu hizmetlerden yararlanma isteğini kendi iradesiyle şirketten talep ettiğine dair karar verebilmesine yönelik de bir eğitim alması sağlanır.
Uzaktan kimlik tespiti sürecinde, müşteri temsilcisinin yaşanabilecek güvenlik zafiyetlerinin ya da suistimallerin engellenmesine yönelik gerekli tedbirlerin alındığı, erişimi sınırlandırılmış ayrı alanlarda çalışması gerekir. Kişiye güven vermesi açısından görüntülü görüşme sırasında, müşteri temsilcisinin şirket adına çalıştığını yansıtacak şekilde uygun bir ortamda bulunması ya da bu şekilde yöntemler kullanması gereklidir.
Engelli kişilere hizmet verilebilmesi açısından en az bir müşteri temsilcisinin gerekli eğitimleri almış olması gerekir.
Sürecin Başlatılması ve Uyulması Gereken Genel İlkeler
Müşteri temsilcisi ve kişi arasında görüntülü görüşme başlamadan önce, kişinin başvurusu uzaktan kimlik tespiti sürecinin işletildiği şirket uygulaması üzerinden elektronik ortamda doldurulan bir form ile alınır. Kişiden bu form vasıtasıyla alınan bilgiler kapsamında bir risk değerlendirmesi yapılır, yapılan değerlendirme neticesinde gerekirse süreç başlamadan sonlandırılabilir.
Bu form ile kişiden alınacak bilgiler;
- Kişinin adı ve soyadı,
- Doğum yeri ve tarihi,
- Uyruğu,
- Kimlik belgesinin türü ve numarası,
- Adresi,
- İş ve mesleğine ilişkin bilgileri,
- Telefon numarası,
- E-posta adresi,
- Türk vatandaşları için bu bilgilere ek olarak anne ve baba adı,
- Başkasının adı ve hesabına hareket edilmediğine ilişkin beyanı.
Uygulanacak olan uzaktan kimlik tespiti sürecinde, özel nitelikli kişisel verilerden yalnızca biyometrik veri kullanılabilir. Bu verinin kullanılabilmesine ilişkin olarak kişiden açık rızası alınır ve bu rıza elektronik ortamda kayıt altına alınır.
Kişi ile yapılacak görüntülü görüşme esnasında, müşteri temsilcisinin soracağı sorular belirlenir ve bu soruların sırası ya da türü değişkenlik gösterir. Bu görüntülü görüşme, gerçek zamanlı ve kesintisiz şekilde yapılır. Temsilci ve kişi arasındaki görsel ve işitsel iletişimin bütünlüğü ve gizliliği yeterli seviyede olmalıdır. Bu görüntülü görüşmeler, uçtan uca güvenli iletişim ile gerçekleştirilir. Görüntü kalitesi, sunulan belgeyi beyaz ışık altında görsel olarak doğrulamaya ve sunulan belgenin yıpranmamış ya da tahrif edilmemiş olduğunu kontrol edebilmeye yönelik güvenlik ögelerinin incelenmesine olanak tanır.
Süreç esnasında, kişiye yalnızca yapılan kimlik tespiti işlemi için geçerli, merkezi olarak üretilen SMS OTP gönderilir. Gönderilen SMS OTP’nin çevrim içi olarak uygulama ara yüzü üzerinden geri gönderilmesi sağlanır. Sistemde bu SMS OTP’nin başarılı şekilde onaylanması durumunda kişinin cep telefon numarası doğrulanmış olur.
Kullanılabilecek Kimlik Belgesi ve Doğrulaması
Süreçte, beyaz ışık altında görsel olarak ayırt edilebilen güvenlik ögelerine, fotoğraf ve ıslak imzaya sahip kimlik belgesi kullanılır.
Yakın alan iletişimi (‘’NFC’’) kullanılarak, kimlik belgesinin yongası üzerinde yer alan kimlik bilgilerinin doğrulaması, kimlik belgesinden kişinin tespit edilmesi için gereken eşleşmenin sağlandığı anlamına gelir. Doğrulama işlemi; kullanılan kimlik belgesinin, belgeyi çıkaran yetkili makam tarafından verildiği ve belgenin temassız yongası üzerindeki bilgilerin değiştirilmediği ve bu yonga üzerindeki anahtarların kopyalanarak yapılmadığı oluşturulmadığı kontrol edilerek yapılır.
NFC kullanılarak yukarıda belirtilen şekilde doğrulamanın herhangi bir nedenle gerçekleştirilememesi durumunda güvenlik unsurlarından en az dördünün şekil ve içerik bakımından doğrulaması sağlanır. Yalnızca görsel güvenlik unsurları ile doğrulama sağlanması halinde, kişi ile sürekli iş ilişkisi tesisi öncesinde risk temelli yaklaşım çerçevesinde sıkılaştırılmış tedbirlerden bir veya birden fazlası uygulanır. Yürütülen bu işlemlerde ispat yükümlülüğü şirkette olacaktır.
Uygulanacak tedbirlere Mali Suçları Araştırma Kurulu Genel Tebliği (Sıra No:19)’nde yer verilmiştir. Bu kapsamda uygulanabilecek tedbirler;
- Müşteri hakkında ilave bilgi edinmek ve müşteri ile gerçek faydalanıcının kimlik bilgilerini daha sık güncellemek,
- İş ilişkisine girilmesi, mevcut iş ilişkisinin sürdürülmesini ya da işlemin gerçekleştirilmesini üst seviyedeki görevlinin onayına bağlamak,
- Uygulanan kontrollerin sayı ve sıklığını artırmak ve ilave kontrol gerektiren işlem türlerini belirlemek suretiyle iş ilişkisini sıkı gözetim altında tutmak,
- Sürekli iş ilişkisi tesisinde ilk finansal hareketin, müşterinin tanınmasına ilişkin esasların uygulandığı bir başka finansal kuruluştan yapılmasını zorunlu tutmak,
- Müşterinin mali profiline ve faaliyetlerine uygun olmayan veya faaliyetleriyle ilgisi bulunmayan işlemleri yakından izlemek,
- Tutar ve işlem sayısı limiti belirlemek de dahil uygun ve etkili tedbirleri almaktır.
Görsel olarak kimlik tespiti esnasında kişinin kimlik belgesini kameranın önünde yatay veya dikey eğmesi ve müşteri temsilcisinin vereceği direktiflere göre ilave hareketler yapması sağlanır. Bu amaçla, kişiden kimlik belgesinin güvenlikle ilgili kısımlarından sistem tarafından değişken ve rastgele şekilde belirlenen alanlarına parmağını koyması istenir. Bu esnada müşteri temsilcisi, kişi ve kişi tarafından sunulan kimlik belgesinin ön ve arka yüzünü de kapsayacak bu belge üzerindeki bilgileri de içeren ekran görüntüleri ya da fotoğraflar alır. Alınan bu görüntü ve fotoğraflar sayesinde müşteri temsilcisi, beyaz ışık altında ayırt edilebilen tüm güvenlik ögeleri ile birlikte kimlik belgesinin doğru açıyla tam olarak kapsandığından ve kimlik belgesi üzerindeki kısımlar arasındaki geçiş noktalarında tahrifatı ve sahteliği gösteren hiçbir yapaylık bulunmadığından emin olur.
Kimlik belgesinde bulunan bilgilerin geçerliliği ve gerçekliğine ilişkin asgari olarak;
- Kimlik belgesinde bulunması gereken karakterlerin yazı tipi, düzeni, sayısı, büyüklüğü, aralığı ve tipografisi gibi belgeyi çıkaran yetkili makamca tanımlanan özelliklere sahip olduğu,
- Kimlik belgesinin zarar görmemiş, tahrif edilmemiş, değiştirilmemiş ve özellikle üzerine sonradan fotoğraf yapıştırılmamış olduğu,
- Kimlik belgesin geçerlilik süresinin söz konusu kimlik belgesinin sahip olduğu standartlara aykırı olmadığı,
- Kimlik belgesinin MRZ’sinde yer alan bilgiler ile kimlik belgesine ait bilgilerin uyuştuğu,
- Kişiye ilişkin kimlik belgesinde yer alan bilgilerin şirket tarafından bilinen, Kimlik Paylaşım Sistemi’nden alınan ve varsa kimlik tespiti yapmak amacıyla şirketin erişimine açık diğer bilgiler ile eşleştiği,
- Kimlik belgesinde yer alan seri numarasının görüntülü görüşme sırasında kimlik belgesi üzerinden kişiye okutulması suretiyle seri numarası doğrulanır.
MRZ: Optik karakter okuma yöntemlerini kullanarak makine okuması için biçimlendirilmiş, zorunlu ve isteğe bağlı verileri kapsayan, kimlik belgesi üzerinde yer alan sabit boyutlu alanı ifade eder.
Uzaktan kimlik tespiti sırasında yapılan görüntülü görüşme esnasında kişiye canlılık testi yapılır. Şirket, sahte yüz teknolojisine dair riskleri önlemek amacıyla ilave tedbirler alır. Kişinin yüzü ile kimlik belgesinden NFC ile alınan temassız yongadaki fotoğrafın, NFC ile alınamaması halinde ise kimlik belgesi üzerindeki fotoğrafın biyometrik karşılaştırılması yapılır. Temsilci, kullanılan kimlik belgesindeki fotoğrafın ve kişisel bilgilerin kişi ile uyuştuğuna emin olur.
Müşteri temsilcisi, ilgili süreçte kişi ile kuracağı diyalog ve gözlemleri sonucunda kimlik belgesindeki bilgilerin, görüşme esnasında kişi tarafından sağlanan bilgilerin ve kişinin belirttiği niyetin inandırıcı olduğuna kanaat getirir. Bu kanaate varırken, başka bir kişinin zorlamasıyla, baskı altında gerçekleşen hareketlere ve benzeri dolandırıcılık yöntemlerine ilişkin riskler göz önünde bulundurulur.
Görüntülü görüşme aşamasının sonunda, kişinin şirket tarafından verilecek hizmetler hakkında bilgilendirilmesi ve şirket müşterisi olacağını kabul ettiğine ilişkin sözlü onay alınması ile süreç tamamlanır.
Görüntülü Görüşmenin Sonlandırılması
Zayıf ışık koşulları, düşük görüntü kalitesi ya da iletimi ve benzeri durumlar nedeniyle Yönetmelik’te belirtildiği şekilde görsel doğrulama yapılmasının veya kişi ile sözlü iletişim kurmanın mümkün olmadığı hallerde uzaktan kimlik tespitinin görüntülü görüşme aşaması sonlandırılır. Eğer süreçte başkaca bir tutarsızlık ya da belirsizlik bulunuyorsa yine sonlandırılabilir.
Müşteri temsilcisi ile yapılan görüntülü görüşme aşamasında, kişi tarafından sunulan belgenin geçerliliği hususunda ya da dolandırıcılık veya sahtecilik teşkil edebilecek eylemlerden şüphe edilmesi durumunda da uzaktan kimlik tespiti süreci sonlandırılır.
Uzaktan kimlik tespiti sürecinin tamamı, sürecin tüm adımlarını içerecek ve denetlenebilecek şekilde kayıt altına alınır ve saklanır. Kullanılan yöntemlerin kişiyi yanlış tespit riskini en aza indirecek şekilde olması şirketin sorumluluğuna bırakılmıştır. Şirket, uzaktan kimlik tespiti yaptığı kişileri farklı bir risk profilinde izler. Bu kişiler tarafından yapılan işlemin türüne ve tutarına bağlı olarak ilave güvenlik yöntemleri uygulanabilir. Kişilere ya da yapılan işlemlere ilişkin itiraz edilmesi durumunda ispat yükümlülüğü yine şirkette olacaktır.