Elektronik ortamda yapılacak sözleşmeler, anlaşmalar veya herhangi bir işlem için, gerçek veya tüzel kişilerin kimliklerini doğrulamak her sektör için önem arz etmektedir. Bu doğrultuda, Türkiye’de çok sayıda sektör için sektörün ilgili kurumları tarafından ortaya konmuş uygulamalar ve mevzuatlar mevcuttur. İlgili kurumlar tarafından bazı sektörler için hazırlanmış bu uygulama ve mevzuatları birlikte inceleyelim.
Bankacılık Sektörü
Kimlik doğrulama hem geleneksel bankacılık hem de uzaktan bankacılık için önemli bir rol oynamaktadır. Geleneksel bankacılık, kişilerin kimlik belgesini ibraz etmeleri yoluyla kimlik doğrulaması yapmaktayken uzaktan bankacılık için çeşitli yöntemler ortaya konmuştur.
Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) tarafından yayımlanan Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik’e [1] göre, bankalar tarafından uzaktan kimlik doğrulama için kullanılabilecek yöntemler şöyledir:
- Biyometrik Kimlik Doğrulama: Parmak izi, yüz tanıma, ses tanıma gibi yöntemler kullanılarak müşterinin kimliği doğrulanır.
- Teknolojik Kimlik Doğrulama: Elektronik imza, mobil imza, e-Devlet şifresi gibi yöntemler kullanılarak müşterinin kimliği doğrulanır.
- Kişisel Bilgi Doğrulama: Müşterinin kimlik belgesinde yer alan bilgilerin doğrulanması yoluyla kimlik doğrulama yapılır.
Bankalar, bu yöntemlerin bir veya birkaçını birlikte kullanarak müşterilerinin kimliklerini uzaktan doğrulayabilirler.
BDDK’nın yanı sıra, Hazine ve Maliye Bakanlığı Mali Suçları Araştırma Kurulu Genel Tebliği’nde Değişiklik Yapılmasına İlişkin Tebliğ ile Mali Suçları Araştırma Kurulu (MASAK) [2] da uzaktan kimlik tespitine ilişkin değişiklikler yayınlanmıştır. Bu değişikliklere göre;
- “Yakın Alan İletişimi” ve “Güvenlik Unsurları” yöntemleri tanımları yapıldı. Yakın Alan İletişimi ile yapılacak kimlik tespitinin temel olarak kimlik belgesi ile gerçekleştirilmesi gerektiği söylenmektedir. Bu yöntem ile kimliğin doğrulanamaması halinde ise, kimlik belgesinde yer alan güvenlik unsurlarının şekil ve içerik bakımından doğrulanması gerektiği belirtilmiştir.
- Uzaktan kimlik tespitinde sürecin çevrimiçi, kesintisiz, görüntülü ve gerçek zamanlı olarak yürütülmesi gerektiği belirtilmiştir.
- Uzaktan kimlik tespiti sürecinin kısmen veya tamamen hizmet alım suretiyle gerçekleştirilmesi durumunda hizmet alınacak kuruluşun TS EN ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasına sahip olması zorunlu kılınmıştır.
- Uzaktan kimlik tespitinin müşteri temsilcisi tarafından gerçekleştirilen işlemlerinin kısmen veya tamamen çevrimiçi ve yapay zekâ temelli yöntemlerle gerçekleştirilebileceği düzenlenmiştir.
Aracı Kurumlar
Sermaye Piyasası Kurulu, Aracı Kurumlar ve Portföy Yönetim Şirketleri Tarafından Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Tebliğ’de [5] uzaktan kimlik doğrulama ve sözleşme ilişkisi kurmaya yönelik usul ve esasları belirtmiştir. Tebliğe göre;
- Uzaktan kimlik tespiti sürecinin çevrimiçi ortamlarda görüntülü bir şekilde gerçekleştirilebileceği,
- Özel nitelikli kişisel verilerden sadece kişinin açık rızası dahilinde biyometrik verisinin kullanılabileceği ve görüşmenin kayıt altına alınabileceği,
- Görüntülü görüşmelerin uçtan uca güvenli bir şekilde gerçekleştirilirken zamanlı ve kesintisiz bir şekilde yapılacağı, ayrıca dolandırıcılık ya da sahtecilik şüphesi durumunda görüşmenin sonlandırılacağı,
- Uzaktan kimlik tespiti sürecinde güvenliğin tamamen portföy yönetim şirketlerinde olduğu,
- Elektronik sözleşmelerin, sadece uygun usulde gerçekleştirilmiş bir kimlik doğrulama süreci sonrasında yapılabileceği
belirtilmiştir. Ayrıca Değişiklik Tebliği ile;
- Elektronik ortamda kurulan sözleşmelerin bir kopyasının elektronik ya da fiziksel yollarla müşteriye iletilmesi gerekliliği,
- Aracı kurum tarafından elektronik ortamda sunulan yatırım hizmetleri için en az iki bileşenden oluşan kimlik doğrulama mekanizması ve doğrulama kodu uygulanması gerekliliği belirtilmiştir.
Elektronik Haberleşme Sektörü
Elektronik haberleşme sektöründe uzaktan kimlik doğrulama sürecinin düzenlenmesi Bilgi Teknolojileri ve İletişim Kurumu Elektronik Haberleşme Sektöründe Başvuru Sahibinin Kimliğinin Doğrulanma Süreci Hakkında Yönetmelik [4] ile düzenlenmiştir.
Bu Yönetmelik, elektronik haberleşme sektöründe,
- Abonelik sözleşmesi,
- Numara taşıma başvurusu,
- İşletmeci değişikliği başvurusu,
- Nitelikli elektronik sertifika başvurusu,
- Kayıtlı elektronik posta başvurusu
- SIM değişikliği başvurusu
İşlemlerine ilişkin belgelerin elektronik ortamda düzenlenmesi halinde başvuru sahibinin kimliğinin doğrulanması amacıyla uygulanacak sürece ilişkin usul ve esasları kapsamaktadır. Bu yönetmeliğe göre;
- Sektörde hizmet veren şirketler, uzaktan kimlik doğrulama işlemlerini yüz yüze kanallarda, kendi internet sitelerinden, mobil uygulamalardan veya benzer mecralar üzerinden yapabilecek,
- Kimlik doğrulama işlemleri için e-Devlet Kapısı, ICAO 9303 standardına uygun yakın alan iletişimi özelliği olan belge ile birlikte yapay zekâ veya yetkili marifetiyle görüntülü doğrulama,
- TCKK ile birlikte PAdES oluşturma,
- Yüz yüze kanallarda başvuru sahibinin kimlik belgesiyle birlikte işleme özgülenecek video görüntüsü alma
Yöntemleriyle uzaktan kimlik doğrulama sürecinin gerçekleştirilebileceği belirtilmiş ve her madde detaylandırılmıştır.
- Hizmet sağlayıcı/işletmecilerin;
- Kimlik bilgilerinin muhafaza edilmesine,
- Kimlik doğrulama amacıyla aktarılırken şifrelenmesine,
- İşlemin amacına,
- Yetkisiz erişimlere veya görevler ayrılığı prensibine aykırı olarak kontrolsüz bir şekilde gerçekleştirilecek değişikliklere karşı korunmasına,
- Bilgi sistemlerinde gerçekleştirilen tüm süreçlere ilişkin işlem kayıtlarının gizliliği, güvenliği ile bütünlüğünün sağlanarak tutulmasına,
ilişkin önlemleri almaları ve bu noktada hizmet sağlayıcı/işletmecilerin süreci iyi yönetmeleri olabilecek teknolojik, operasyonel ve benzeri riskler göz önünde bulundurularak gerekli güvenlik tedbirleri almaları gerekmektedir.
BDDK Uyumluluk Paketi
Türkiye Siber Güvenlik Kümelenmesi üyesi şirketler tarafından hazırlanan BDDK Uyumluluk Paketi, veri güvenliği ve mobil cihaz güvenliğine yönelik yeni standartlar sunarak sır niteliğindeki müşteri bilgileri için daha yüksek seviyede güvenlik sağlayan bir çözümdür. Paket, bahsi geçen yasal mevzuatın usul ve esaslarına uygun olarak hazırlanmıştır.
- Mobil uygulamalar ve app shielding için güvenlik çözümleri sağlamaktadır. Bu çözümler ile birlikte, “Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik”in (BDDK) [1] 4. maddesinin 3. Bölümünde yer alan uzaktan kimlik tespiti sürecinde olası teknolojik, operasyonel ve benzeri risklerin dikkate alınarak yeterli seviyede güvenlik önlemlerinin alınması ilkesine uyumlu olunması sağlanmaktadır. Mobil uygulamaların güvenliği için sağlanan çözümler, BDDK mevzuatının [1] yanı sıra MASAK [2] ve BTK [3] mevzuatları ile de uyumludur.
- Uyumlama paketi içerisinde dolandırıcılığın önlenmesi için çözümler mevcuttur. Bu çözümler ile birlikte; BDDK [1], BTK [4] ve SPK [5]’nın ilgili mevzuatında yer alan dolandırıcılık veya sahtecilik durumu için gerekli güvenli tedbirlerinin alınması şartı yerine getirilmektedir.
- SPK [5], BDDK [1], BTK [4] ve MASAK [2] yayımladıkları mevzuatlar çerçevesinde gerek yüz yüze gerekse uzaktan kimlik doğrulama süreçlerinin güvenli bir şekilde yürütülmesini amaçlamaktadır. BDDK Uyumluluk Paketi de ilgili yasal mevzuat ile uyumlu çözümler sunmaktadır.
- İlgili yönetmelik ve tebliğler ile uzaktan müşteri edinimi ve uzaktan kimlik doğrulaması sürecinde biyometrik veri kullanılması ve karşılaştırma yapılabilmesi yasal hale getirilmiştir. Ayrıca, uzaktan kimlik doğrulama sürecinde, kimlik tespiti için SMS OTP (One Time Password) kullanımını seçenek olarak ortaya konulmaktadır. BDDK Uyumluluk Paketi, söz konusu mevzuatın gerekliliklerinin sağlanmasına yardımcı olmaktadır.
- Bu paket, SPK’nın yayınladığı “Aracı Kurumlar ve Portföy Yönetim Şirketleri Tarafından Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasın İlişkin Tebliğ”in [5] 2. Bölümünün 5. Maddesini, MASAK’ın yayınladığı “Mali Suçları Araştırma Kurulu Genel Tebliği (Sıra No: 19)’da Değişiklik Yapılmasına İlişkin Tebliğ (Sıra No: 24)”in [2] 2. ve 3. Maddesini ve BTK’nın yayınlamış olduğu “Elektronik Haberleşme Sektöründe Başvuru Sahibinin Kimliğinin Doğrulanma Süreci Hakkında Yönetmelik ”in [3,4] tamamını kapsamaktadır.
Kimlik doğrulama ve elektronik sözleşme süreçleri, bankacılık, aracı kurumlar ve elektronik haberleşme sektörleri için hayati bir öneme sahiptir. Bu sektörlerde, müşteri güvenliğini ve gizliliğini sağlamak, elektronik ortamda gerçekleştirilen işlemleri güvence altına almak için çeşitli kimlik doğrulama yöntemleri belirlenmiştir.
Bu düzenlemeler, sektördeki dijital dönüşümün sağlıklı ve güvenli bir şekilde devam etmesine katkıda bulunmaktadır. Sektörde faaliyet gösteren kurumlar, BDDK Uyumlama Paketi gibi çözümler ile ilgili düzenlemelere tam uyum sağlamak ve müşterilerine güvenli bir dijital deneyim sunmak adına sürekli olarak güvenlik önlemlerini gözden geçirmelidirler.
Bankacılık, Aracı Kurumlar ve Elektronik Haberleşme Sektörlerinde Kimlik Doğrulama İçin Yasal Zorunluluklar ile ilgili detaylı bilgi almak için tıklayınız.
KAYNAKÇA
[1] 1 Nisan 2021 tarihli ve 31441 sayılı Resmî Gazete’de yayımlanan “Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik” (BDDK)
https://www.resmigazete.gov.tr/eskiler/2021/04/20210401-7.htm
[2] 11 Ağustos 2023 tarihli ve 32276 sayılı Resmî Gazete’de yayımlanan “Mali Suçları Araştırma Kurulu Genel Tebliği (Sıra No: 19)’da Değişiklik Yapılmasına İlişkin Tebliğ (Sıra No: 24)” (Hazine ve Maliye Bakanlığı)
https://www.resmigazete.gov.tr/eskiler/2023/08/20230811-4.htm
[3] 26 Haziran 2021 tarihli ve 31523 sayılı Resmî Gazete’de yayımlanan “Elektronik Haberleşme Sektöründe Başvuru Sahibinin Kimliğinin Doğrulanma Süreci Hakkında Yönetmelik” (BTK)
https://resmigazete.gov.tr/eskiler/2021/06/20210626-21.htm
[4] 18 Mayıs 2021 tarihli ve 2021/DK-BTD/129 sayılı Karar “Elektronik Haberleşme Sektöründe Başvuru Sahibinin Kimliğinin Doğrulanma Süreci Hakkında Yönetmelik” (BTK)
[5] 8 Şubat 2022 tarihli ve 31744 sayılı Resmî Gazete’de yayımlanan “Aracı Kurumlar ve Portföy Yönetim Şirketleri Tarafından Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Tebliğ (III-42.1)” (Sermaye Piyasası Kurulu)
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.