Bankacılık Düzenleme ve Denetleme Kurumunun, "Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ"i, Resmi Gazetenin bugünkü sayısında yayımlandı.

Tebliğe göre, bankalar, bilgi sistemlerinin yönetimini kurumsal yönetim uygulamalarının bir parçası olarak ele alacaklar ve bilgi sistemlerinin yönetimine ilişkin politikalar, prosedürler ve süreçler tesis edecekler.

Bankalar, bankacılık faaliyetlerinde bilgi ve teknolojilerini kullanıyor olmalarından kaynaklanan riskleri ölçmek, izlemek, kontrol etmek ve raporlamak üzere gerekli önlemi alacaklar.

Bankaların üst yönetimi de bilgi sistemleri kullanımından kaynaklanan risklerin yönetilmesi için etkin bir gözetim yürütecekler ve bilgi sistemlerine ilişkin güvenlik önlemlerin uygun düzeye getirilmesi hususunda gerekli kararlığı gösterecekler, bu amaçla yürütülecek faaliyetlere yönelik olarak yeterli kaynağı tahsis edecek.

Banka üst yönetimi ayrıca, bilgi güvenliği politikası kapsamında, bilgi sistemlerinden kaynaklanan güvenlik risklerinin yeterli düzeyde yönetildiğinden emin olmak için, güvenlik kontrol sürecini değerlendirmeye tabi tutacaklar ve uygunluğunu onaylayacaklar.

Güvenlik alanındaki güncel gelişmeler ve yeni açıklar takip edilecek, gerekli yazılım güncellemeleri yapılacak, gerekli yamalar uygulanacak.

Banka üst yönetimi, bilgi sistemleri kapsamında alınacak destek hizmetlerine ilişkin olarak, söz konusu hizmetin destek hizmeti alımı yoluyla gerçekleştirilmesinin banka açısından doğuracağı risklerin yeterli düzeyde değerlendirilmesi, yönetilmesi ve destek hizmeti kuruluşu ile ilişkilerin etkin bir şekilde yürütülebilmesine olanak sağlayacak yeterli bir gözetim mekanizmasını tesis edecek.

Görevler ve sorumluluklar prensibi

Bilgi sistemlerine ilişkin sistem, veri tabanı ve uygulamaların geliştirilmesinde, test edilmesinde ve işletilmesinde görevler ve sorumluluklar ayrılı prensibi uygulanacak, atanan görevler ve sorumluluklar görev ayrılığı prensibine göre periyodik olarak gözden geçirilecek ve gerekiyorsa güncellenecek.

Süreçler ve sistemler, kritik bir işlemin tek bir personel veya destek hizmeti kuruluşu tarafından girilmesi, yetkilendirilmesi ve tamamlanmasına imkan vermeyecek şekilde tasarlanacak.

Bankalar, bilgi sistemlerine ilişkin veri tabanlarına, uygulamalara ve sistemlere erişim için uygun bir yetkilendirme ve erişim kontrolü tesis edecek.

Bilgi sistemleri üzerindeki riskler, sistemlerin boyutu ve faaliyetlerin karmaşıklığı göz önünde bulundurularak bilgi sistemlerinin kullanımına ilişkin etkin bir denetim izi kayıt mekanizması tesis edilecek.

Müşteriler, açık şekilde bilgilendirilecek

Bankalar tarafından sunulan elektronik bankacılık/alternatif dağıtım kanalları (internet, telefon, televizyon, WAP/GPRS, Kioks, ATM...vs) hizmetlerinden yararlanacak müşteriler; hizmetlere ilişkin şartlar, riskler ve istisnai durumlarla ilgili olarak açık bir şekilde bilgilendirilecek.

Buna ek olarak bankanın söz konusu hizmetlere ilişkin risklerin etkisini azaltmaya yönelik benimsediği güvenlik prensipleri ve bu risklerden korunmak için kullanılması gereken yöntemler müşterinin dikkatine sunulacak.

Bankalar, faaliyetlerinin ifası sırasında bilgi sistemleri aracılığıyla edindiği veya sakladığı müşteri bilgilerinin mahremiyetini sağlamaya yönelik politika ve prosedürleri oluşturacak, yazılı hale getirecek, ilgili tüm birimlere iletecek ve bunların gerektirdiği tedbirleri alacak.

Bilgi sistemlerinde yaşanabilecek problemler nedeniyle faaliyetlerin kesintiye uğramasını önlemek üzere yönetim kurulu tarafından onaylanmış bilgi sistemlerine ilişkin bir iş süreklilik ve kurtarma planı hazırlanacak. Acil ve beklenmedik durumlar için de gerekli önlemler alınacak.

İnternet bankacılığında güvenlik

İnternet bankacılığına ilişkin her türlü altyapı bankanın bilgi sistemlerinin bir parçası olarak değerlendirilecek.

Bu çerçevede, güvenlik kontrollerinin yeterliliğini test etmek üzere bağımsız ekiplere, en az yılda bir kez olmak üzere, internet bankacılığı faaliyetleri kapsamındaki sistemler için sızma testleri yapılacak.

Bankalar, sunmakta oldukları internet bankacığı hizmetleri için, bu hizmetlerin arz ettiği risk seviyelerine uygun ve güvenilir bir kimlik doğrulama mekanizmasını tesis edecek.

Müşterilere uygulanan kimlik doğrulama mekanizması birbirinden bağımsız en az iki bileşenden oluşacak. Bu iki bileşen, müşterinin "bildiği", müşterinin "sahip olduğu" veya müşterinin "biyometrik bir karakteristiği olan" unsur sınıflarından farklı ikine ait olmak üzere seçilecek.

Bankalar, sunmakta oldukları internet bankacılığı faaliyetleri kapsamında gerçekleştirilen işlemler için inkar edilemezliği ve sorumluluk almayı mümkün kılacak teknikleri kullanacaklar ve kontrolleri tesis edecekler.

Tüm internet bankacığı faaliyetleri için yeterli ve etkin bir denetim izi tutma mekanizması da tesis edilecek.

Bankalar, internet bankacılığı hizmetine ilişkin mevcut politika ve prosedürler ile dikkat edilmesi gereken hususlar konusunda müşterilerini bilgilendirecekler, gerekli uyarılarda bulunacaklar.

Bankalar, yaptıkları pazarlama faaliyetleri, reklamlar veya yayınlar vasıtasıyla müşterilerine internet bankacılığı sistemlerinin mutlak suretle güvenli olduğu veya internet bankacılığı servislerinde hiçbir güvenlik riskinin bulunmadığı izlenimini ve bilgisini verecek ifadelerden kaçınacaklar.

Müşteriler internet bankacılığı risklerine ve tehlikelerine karşı uyarılacak ve bu hususlarda müşteri farkındalığı oluşturulması için azami özen gösterilecek.

ATM güvenliği

Bankalar, ATM cihazlarına ilişkin hırsızlık, sahtekarlık, fiziksel saldırı gibi tehditlere ilişkin riskleri minimize edecek önlemleri tesis edecekler ve ATM cihazlarının güvenli kullanımı hususunda müşterilerine farkındalık yaratacak.

Bankalar, bilgi sistemleri alt yapısında, gerek temel bankacılık faaliyetlerinin ifasında gerekse alternatif dağıtım kanallarının tesisinde kullanılan kablosuz haberleşme teknolojilerine ilişkin riskleri yönetmek üzere gerekli önlemleri alacak.

Tebliğ, 1 Ocak 2008 tarihinden itibaren yürürlüğe girecek. Tebliğ hükümleri ile ilgili mevcut faaliyet ve sistemleri, yürürlük tarihinden itibaren azami 2 yıl içerisinde tebliğ hükümlerine uygun hale getirilecek.