Türkiye Cumhuriyet Merkez Bankasından:
ÖDEME VE ELEKTRONİK PARA KURULUŞLARININ BİLGİ SİSTEMLERİ İLE ÖDEME HİZMETİ SAĞLAYICILARININ ÖDEME HİZMETLERİ ALANINDAKİ VERİ PAYLAŞIM SERVİSLERİNE İLİŞKİN TEBLİĞDE DEĞİŞİKLİK YAPILMASINA DAİR TEBLİĞ
MADDE 1- 1/12/2021 tarihli ve 31676 sayılı Resmî Gazete’de yayımlanan Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri ile Ödeme Hizmeti Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğin 3 üncü maddesinin birinci fıkrasının (c) bendinde yer alan “kimlik tespiti veya doğrulaması yapılmamış,” ibaresinden sonra gelmek üzere “9/4/2008 tarihli ve 26842 sayılı Resmî Gazete’de yayımlanan Mali Suçları Araştırma Kurulu Genel Tebliği (Sıra No: 5)’nin 2.2.9 uncu maddesinin birinci paragrafında ve 2.2.11 inci maddesinin birinci paragrafında belirtilen parasal sınırlar dahilinde kalan,” ibaresi eklenmiş, (m) bendi aşağıdaki şekilde değiştirilmiş, (ttt) bendinde yer alan “radyo, televizyon,” ibaresi yürürlükten kaldırılmış ve aynı fıkraya aşağıdaki bentler eklenmiştir.
“m) BSİSBDHY: 31/12/2021 tarihli ve 31706 altıncı mükerrer sayılı Resmî Gazete’de yayımlanan Bilgi Sistemleri ve İş Süreçleri Bağımsız Denetimi Hakkında Yönetmeliği,”
“zzz) MASAK: Hazine ve Maliye Bakanlığı Malî Suçları Araştırma Kurulu Başkanlığını,
aaaa) Yakın alan iletişimi: Elektronik cihazlar arasında iletişimi sağlamak için bu cihazların birbirine temas ettirilmesiyle veya yakın mesafede temassız olarak yaklaştırılmasıyla ortaya çıkan manyetik alan üzerinden veri iletiminin sağlandığı kısa menzilli kablosuz bağlantı teknolojisini,”
MADDE 2- Aynı Tebliğin 9 uncu maddesinin üçüncü fıkrasının ilk cümlesi aşağıdaki şekilde değiştirilmiştir.
“Hassas müşteri verileri ve müşteri bilgilerinin şifrelenmiş bir şekilde ya da güvenli bileşenlerde saklanması esastır.”
MADDE 3- Aynı Tebliğin 13 üncü maddesinin üçüncü fıkrasının (d) bendi aşağıdaki şekilde değiştirilmiş, sekizinci fıkrasında yer alan “izin verilmez” ibaresi “izin verilmemesi esastır” şeklinde değiştirilmiş ve aynı fıkraya aşağıdaki cümleler eklenmiştir.
“d) Erişimin veya işlemin gerçekleştiği uygulama, iletişim ağı protokolü, zaman ve kaynak ile hedef port ve IP bilgileri,”
“Denetim izi kayıt sistemi tekrar devreye alınana kadar gerçekleşen işlemlere ait denetim izlerinin, denetim izi kayıt sisteminin süreklilik hedefleri kapsamında tekrar devreye alındıktan sonra güvenliği ve bütünlüğü korunarak denetim izi kayıt sistemine kaydedilmesi sağlanır. Denetim izi kayıt sistemi durduğunda işlemlerin gerçekleşmeye devam ettiği durumlarda, gerçekleştirilen her türlü işlem için gerçekleştirilen işlemin yetkili kişiler tarafından Yönetmelik ve bu Tebliğ hükümlerine uygun şekilde yapıldığını ispat etme yükümlülüğü kuruluşa aittir. Yönetmeliğin 54 üncü maddesi hükümleri saklı kalmak kaydıyla, bu işlemler sebebiyle herhangi bir tarafın zarara uğraması durumunda kuruluş, tarafların uğradığı zararı tazmin etmekle yükümlüdür.”
MADDE 4- Aynı Tebliğin 16 ncı maddesinin yedinci fıkrasında yer alan “bir kredi kuruluşu veya finansal kuruluş” ibaresinden sonra gelmek üzere “ya da bunlara bilgi sistemleri ile alakalı olarak hizmet sunan bağlı ortaklıkları” ibaresi eklenmiş ve aynı maddeye aşağıdaki fıkralar eklenmiştir.
“(12) Verilerin gizliliği, bütünlüğü ve erişilebilirliği ile kuruluşun sunduğu hizmetlerin sürekliliğini etkileme potansiyeli olmayan, hassas müşteri verileri ve müşteri bilgilerinin dış hizmet sağlayıcı ile paylaşılmasına sebebiyet vermeyen ve kuruluşa özel olarak tasarlanıp sunulmayan hizmet alımlarına ilişkin olarak dokuzuncu fıkra hükümleri niteliğiyle bağdaştığı ölçüde uygulanır.
(13) Kritik bilgi sistemleri ve güvenlik kapsamında alınacak ürün ve hizmetlerin Türkiye’de üretilmesi veya üreticilerinin ar-ge merkezlerinin Türkiye’de bulunması için azami özen gösterilir ve dış hizmet alımında önemli bir kriter olarak değerlendirilir. Bu tür sağlayıcıların ve üreticilerin Türkiye’de müdahale ekiplerinin bulunması şarttır. Banka, kuruluşların kullanacağı güvenlik ürünleri ve diğer bilgi teknolojileri unsurları hakkında ilave şartlar belirlemeye yetkilidir.”
MADDE 5- Aynı Tebliğin 19 uncu maddesinin dördüncü fıkrasının (e) bendi ve yedinci fıkrasının (ç) bendinde yer alan “T.C. Hazine ve Maliye Bakanlığı Mali Suçları Araştırma Kurulu” ibareleri “MASAK” şeklinde, yedinci fıkrasının (d) bendinde yer alan “T.C. Hazine ve Maliye Bakanlığı Mali Suçları Araştırma Kuruluna” ibaresi “MASAK’a” şeklinde değiştirilmiştir.
MADDE 6- Aynı Tebliğin 21 inci maddesine aşağıdaki fıkra eklenmiştir.
“(4) Ödeme işleminin taraflarından birinin (kendisinin veya hizmet sağlayıcısının) yurt dışında bulunduğu durumlarda kuruluş; verilerin yurt içinde saklanmaya devam edilmesi kaydıyla, sadece ödeme işleminin sorunsuz şekilde gerçekleşebilmesinin gerektirdiği kadarıyla sınırlı olmak şartıyla ve ölçülülük ilkesine uygun olarak ihtiyaç duyulan veriyi, ödeme işlemine ilişkin müşteriden gelen talep ya da talimata bağlı olarak ve 6698 sayılı Kanunun 9 uncu maddesine ilişkin yükümlülükler saklı kalmak üzere yurt dışındaki ilgili üçüncü kişilerle paylaşabilir. Banka, yapacağı değerlendirme neticesinde ödemeler alanının gelişimini olumsuz etkileyeceğine karar vermesi durumunda, bu fıkra uyarınca yapılan paylaşımları durdurabilir veya bunlara ilişkin ilave sınırlandırma getirebilir.”
MADDE 7- Aynı Tebliğin 22 nci maddesi aşağıdaki şekilde değiştirilmiştir.
“MADDE 22 – (1) Kuruluş, uzaktan iletişim aracı ile yürütülecek kimlik tespiti ve sözleşme ilişkisinin kurulması süreçlerinde, Banka tarafından uygun bulunan merkezi bir yapının kullanılmaması durumunda uzaktan kimlik tespitine ve kimliği tespit edilecek kişinin doğrulanmasına imkân verecek internet tabanlı yöntemleri kullanır ve asgari olarak aşağıdaki hususları yerine getirir:
a) Kimlik tespitinin yapılabilmesi için kimliği tespit edilecek kişiden alınması gerekli bilgi ve belgelerin temin edilmesi.
b) Uzaktan kimlik tespiti için temin edilen belgenin ve belgede bulunan veri ve bilgilerin doğruluğunun esas olarak yakın alan iletişimi kullanılarak kontrol edilmesi, beyaz ışık altında görsel olarak ayırt edilebilen güvenlik ögeleri, fotoğraf ve imza başta olmak üzere söz konusu belgenin ve belgede bulunan veri ve bilgilerin orijinallik, bütünlük, yıpranma ile tahrif edilme durumlarına ilişkin testlerinin yapılması ve belgenin ön ve arka yüzünün görsel ögeler yönünden kontrolü sürecinin kesintisiz bir şekilde kayıt altına alınması.
c) (b) bendi uyarınca yakın alan iletişimi kullanılarak doğrulamanın herhangi bir nedenle yapılamaması halinde, söz konusu belgenin ve belgede bulunan veri ve bilgilerin doğruluğunun optik karakter tanıma, kart okuyucu veya MASAK’ın görüşü alınarak Banka tarafından belirlenen diğer yöntemlerden en az birisi kullanılarak kontrol edilmesi, beyaz ışık altında görsel olarak ayırt edilebilen güvenlik ögeleri, fotoğraf ve imza başta olmak üzere söz konusu belgenin ve belgede bulunan veri ve bilgilerin orijinallik, bütünlük, yıpranma ile tahrif edilme durumlarına ilişkin testlerin yapılması ve belgenin ön ve arka yüzünün görsel ögeler yönünden kontrolü sürecinin kesintisiz bir şekilde kayıt altına alınması.
ç) Uzaktan kimlik tespitinin yapılabilmesi için biyometrik verilerin kullanımına ve sözleşme sürecinin uzaktan iletişim aracı ile yürütüleceğine ilişkin kimliği tespit edilecek kişinin onayının ve açık rızasının kayıt altına alınması.
d) Kimliği tespit edilecek kişinin çevrim içi gerçek zamanlı video, çevrim içi gerçek zamanlı hareketli fotoğraf veya çevrim içi görüntülü görüşme yöntemleri kullanılarak canlılık testinin yapılması ve uzaktan kimlik tespiti sürecinde kişinin yüzü ile kimlik belgesinden yakın alan iletişimi kullanılarak alınabilmesi halinde temassız yongadaki fotoğrafın, alınamaması halinde ise kimlik belgesi üzerinde yer alan fotoğrafın biyometrik karşılaştırmasının yapılması ve kimlik belgesindeki fotoğrafın ve kişisel bilgilerin kişi ile uyuştuğunun doğrulanması.
e) Işık ve gürültü seviyesi, sinyal gücü ve benzeri kıstaslar açısından cihaz ve ortam kontrolünün yapılması.
f) Uzaktan iletişim aracı olarak kullanılacak yöntem ile ilgili iletişim bilgilerinin uygun yöntemlerle doğrulanması.
(2) Birinci fıkra uyarınca yapılan canlılık testi işlemlerinde çevrim içi gerçek zamanlı video veya çevrim içi gerçek zamanlı hareketli fotoğraf yöntemlerinin kullanılması halinde, kimliği tespit edilecek kişi tarafından söz konusu video veya hareketli fotoğrafın yapılacak yönlendirmelere uygun şekilde anlık olarak çekilmesi, bu kapsamda önceden çekilen bir video veya hareketli fotoğraf kaydının canlılık testine dahil edilmesine izin vermeyecek bir yapı oluşturulması ve bu kapsamda yapılacak tüm kayıtların gerçek zamanlı olarak kuruluş sunucularında kaydedilmesinin sağlanması zorunludur. Kimliği tespit edilecek kişinin canlılık testinin yapılması esnasında kimliği tespit edilecek kişiye üçüncü taraflarca öngörülemezliği sağlayacak şekilde belirlenmiş olan seçenekler arasından rastgele verilecek komutlar çerçevesinde en az üç görüntü üzerinden gerekli kontrollerin yapılması ve söz konusu sürecin kesintisiz bir şekilde kayıt altına alınması gerekir.
(3) Anonim ön ödemeli araçlar, 5549 sayılı Kanun ve ilgili mevzuat hükümleri kapsamında kimlik tespiti yapılması zorunlu olmayan ve sürekli iş ilişkisi kapsamına girmeyen tek seferlik ödeme işlemleri ile Mali Suçları Araştırma Kurulu Genel Tebliği (Sıra No: 5)’nin 2.2.11 inci maddesinin üçüncü paragrafı kapsamında sanal terminal hizmeti sunan tüzel kişiler için gerekli bilgi, sözleşme, dekont ve benzeri belgelere ilişkin süreçlerin işletilmesi esnasında uzaktan iletişim aracı kullanılması halinde birinci fıkra hükümlerinin uygulanması zorunlu değildir.
(4) Birinci fıkra kapsamında uzaktan iletişim aracı ile yürütülen süreçler, personelin manuel müdahalesinin bulunduğu hallerde görevler ayrılığı prensibine uygun olarak, tek bir kişi tarafından başlatılması, onaylanması ve tamamlanmasına imkân verilmeyecek şekilde tasarlanır ve işletilir. Bu madde kapsamında uzaktan iletişim aracı ile yürütülen süreçlerde kullanılan bilgi sistemleri 16 ncı maddenin on üçüncü fıkrası kapsamında kritik bilgi sistemi olarak kabul edilir.
(5) Birinci fıkra kapsamında uzaktan iletişim aracı ile yürütülen süreçler, tüm adımları içerecek şekilde kayıt altına alınır ve elde edilen veriler, Kanun, Yönetmelik ve bu Tebliğ ile diğer ilgili düzenlemelere uygun bir şekilde saklanır. Uyuşmazlık durumunda, uzaktan iletişim aracı ile yürütülen süreçler esnasında Yönetmelik ve bu Tebliğde yer alan hükümlere uygun işlem tesis edildiğinin ispatından kuruluş sorumludur.
(6) Kuruluş, birinci fıkra kapsamında uzaktan iletişim aracı ile yürütülecek süreçlere ilişkin izlenecek süreç ve prosedürleri yazılı olarak oluşturur, oluşturulan süreç ve prosedürleri yılda en az iki defa olmak üzere düzenli olarak test eder ve test sonuçlarında ortaya çıkan eksiklik, hata, zayıflık ve açıklara ilişkin olarak teknolojik ve operasyonel gereklilikler başta olmak üzere tüm önlemleri alır ve gerekli güncellemeleri yapar.
(7) Birinci fıkra kapsamında uzaktan iletişim aracı ile yürütülecek süreçlerde kimliği tespit edilecek kişiden alınacak belgeler, bu belgelerin doğrulanması esnasında dikkat edilecek güvenlik ve doğrulama özellikleri ile bu kapsamda kullanılacak kriterler ve kimliği tespit edilecek kişinin doğrulanması esnasında dikkate alınacak güvenlik ve doğrulama özellikleri ile bu kapsamda kullanılacak kriterler yazılı olarak dokümante edilir.
(8) Birinci fıkra kapsamında uzaktan iletişim aracı ile yürütülecek süreçlerde, görüşme esnasında kimliği tespit edilecek kişinin kimlik tespitinin yapılması, doğrulanması ve sözleşmenin başka bir tarafın zoru ya da zorlamasıyla yapılmadığından emin olunabilmesi için sorulacak sorular ve yönlendirme amacıyla kullanılacak ifadeler; görüşmenin seyrine ilişkin aşamalar ile her aşamada sorulacak sorular ve yönlendirme amacıyla kullanılacak ifadeler yazılı olarak oluşturulur ve güncel gelişme ve tehditler çerçevesinde düzenli olarak güncellenir.
(9) Kuruluş, birinci fıkra kapsamında belirtilen yöntemler yoluyla yürütülecek süreçlerde aşağıdaki şartları yerine getirmekle yükümlüdür:
a) Sürecin gerçek zamanlı ve kesintisiz şekilde yürütülmesi gerekir.
b) Süreç uçtan uca güvenli iletişim ile gerçekleştirilir.
c) Kullanılan yöntemdeki görüntü ve ses kalitesinin, bu madde uyarınca gerekli kontrollerin etkin bir şekilde yapılmasını sağlayacak şekilde yeterli seviyede olması sağlanır ve süreç boyunca görüntü kalitesinin istenilen seviyede olduğunu gösterecek kontroller oluşturulur. Görüntü kalitesinin ölçülmesinde asgari olarak, görüşme yapılan kişinin görsel olarak net bir şekilde görüntülenebilmesinin, sunulan belgenin beyaz ışık altında görsel olarak doğrulanabilmesinin ve sunulan belgenin tahrif edilmemiş olduğunun kontrol edilebilmesinin mümkün olmasına dikkat edilir.
ç) Süreç esnasında kimliği tespit edilecek kişi tarafından sunulan belgenin geçerliliği hususunda ya da dolandırıcılık veya sahtecilik teşkil edebilecek eylemlerden şüphe edilmesi durumunda, süreç sonlandırılır.
(10) Bu maddede yer alan şartlara uyulmadığı durumlarda birinci fıkranın (d) bendinde belirtilen yöntemler yoluyla sözleşme kurulamaz, bu şekilde kurulan sözleşmelerde yetkilendirilmemiş, hatalı gerçekleşmiş veya benzeri sorunlu işlemlerde tüm sorumluluk kuruluşa ait olur.
(11) Kuruluş, uzaktan iletişim aracı ile kimlik tespiti yaptığı kişileri ve kurduğu sözleşmelere taraf müşterilerini farklı bir risk profilinde izler. Bu müşterilerce yapılan işlemlerin türüne ve tutarına bağlı olarak ilave güvenlik ve kontrol yöntemleri uygulanır.
(12) Birinci fıkra uyarınca uzaktan iletişim aracı ile kurulacak sözleşmelerde, uzaktan kimlik tespitinin yapılmasının ya da müşteri kimliğinin yüz yüze tespit edilmesinin ardından, müşterinin sözleşmeyi kuran irade beyanının, çevrim içi görüntülü görüşme ya da sözleşme ilişkisinin elektronik kanal üzerinden kurulmasının tercih edilmesi durumunda 10 uncu madde kapsamında güçlü kimlik doğrulama yapılması sonrasında aynı elektronik kanal üzerinden alınması şarttır. Bu fıkranın uygulanmasında Yönetmeliğin dördüncü kısmının ikinci bölümünde yer alan hükümler saklıdır.
(13) Bu maddede yer alan şartlar dâhilinde uzaktan kimlik tespitinin yapılması halinde 10 uncu madde kapsamında güçlü kimlik doğrulamanın gerekleri yerine getirilmiş sayılır.
(14) Bu maddenin uygulanmasında 30/4/2021 tarihli ve 31470 sayılı Resmî Gazete’de yayımlanan Mali Suçları Araştırma Kurulu Genel Tebliği (Sıra No: 19) hükümleri öncelikli olarak uygulanır.
(15) Banka, ihtiyaç duyulması halinde bu madde kapsamında uygulanacak diğer usul ve esasları belirlemeye yetkilidir.”
MADDE 8- Aynı Tebliğin geçici 1 inci maddesinin ikinci fıkrasına aşağıdaki cümleler eklenmiş, üçüncü fıkrasına aşağıdaki cümle ve bentler eklenmiş, aynı maddenin beşinci fıkrasında yer alan “BSDHY” ibareleri “BSİSBDHY” şeklinde değiştirilmiş ve aynı maddeye aşağıdaki fıkra eklenmiştir.
“Nezdinde bulunan ödeme hesapları için müşterilerine doğrudan çevrim içi erişim imkânı sağlamayan ödeme hizmeti sağlayıcıları bu Tebliğin 24 üncü maddesinin birinci fıkrası kapsamında yerine getirmesi gereken yükümlülükleri 31/12/2025 tarihine kadar yerine getirir. Nezdinde ödeme hesabı bulunduran ödeme hizmeti sağlayıcılarının, Kanunun geçici 3 üncü maddesinin üçüncü fıkrası uyarınca Bankaya faaliyet izni başvurusunda bulunmuş olup faaliyet izni değerlendirme süreci devam edenler ile Yönetmeliğin 4 üncü maddesinin birinci fıkrasının (f) ve (g) bentlerinde belirtilen ödeme hizmetlerini sunmak üzere Bankadan izin almış olan kuruluşlara bu Tebliğin 24 üncü maddesinin birinci fıkrası kapsamında teknik gereklilikleri belirlenmiş veri paylaşım servisleri ile ilgili sunduğu hizmetleri, standart olmayan servisleri kullanarak vermesi 30/6/2024 tarihine kadar bu fıkraya aykırılık olarak değerlendirilmez.”
“Bu fıkranın uygulanmasında aşağıdaki bentlerde yer alan istisnalar saklıdır:
a) Kanunun geçici 3 üncü maddesinin üçüncü fıkrası uyarınca Bankaya faaliyet izni başvurusunda bulunmuş olup faaliyet izni değerlendirme süreci devam edenler, bu Tebliğin 24 üncü maddesinin birinci fıkrası kapsamında teknik gereklilikleri belirlenmiş veri paylaşım servisleri hizmetlerini, 30/6/2024 tarihine kadar standart olmayan servisleri kullanarak verebilir. Banka, bu süreyi, altı ayı aşmamak üzere uzatmaya yetkilidir.
b) 5411 sayılı Kanun kapsamındaki bankalar ile Yönetmeliğin 4 üncü maddesinin birinci fıkrasının (f) ve (g) bentlerinde belirtilen ödeme hizmetlerini sunmak üzere Bankadan izin almış olan kuruluşlar, Banka Ödeme Sistemlerinde 2020 yılı içerisinde gerçekleştirilen hesaba ödeme işlemleri açısından, toplam adedine göre ilk on katılımcı arasında yer almayan ödeme hizmeti sağlayıcıları nezdinde bulunan ödeme hesapları ile ilgili olarak bu Tebliğin 24 üncü maddesinin birinci fıkrası kapsamında teknik gereklilikleri belirlenmiş veri paylaşım servisleri hizmetlerini 30/6/2024 tarihine kadar standart olmayan servisleri kullanarak verebilir. Banka, bu süreyi, altı ayı aşmamak üzere uzatmaya yetkilidir.”
“(6) Kanunun yürürlüğe girdiği tarih itibarıyla, Bankacılık Düzenleme ve Denetleme Kurumu tarafından para havalesi işleminin taraflarından birinin hizmet sağlayıcısının yurt dışında olduğu işlemlerin gerçekleştirilmesi, bunun dışında faaliyette bulunulmaması ve bu faaliyetlerin sadece temsilcilerin gişeleri aracılığıyla yürütülmesi başta olmak üzere çeşitli önkoşullara bağlı olarak Kanunun 12 nci maddesinin birinci fıkrasının (ç) bendinde belirtilen ödeme hizmetinin sunulmasına ilişkin sınırlı şekilde faaliyet izni verilmiş olan kuruluşlar, bu Tebliğin 21 inci maddesi hükümlerine, Bankacılık Düzenleme ve Denetleme Kurumu tarafından faaliyet izni verilirken ortaya konulan önkoşullara uyum sağlamaya devam etmek şartı ile, 30/6/2024 tarihine kadar uyum sağlamakla yükümlüdür. Banka, bu süreyi, her defasında altı ayı aşmamak üzere iki kez uzatmaya yetkilidir.”
MADDE 9- Bu Tebliğ yayımı tarihinde yürürlüğe girer.
MADDE 10- Bu Tebliğ hükümlerini Türkiye Cumhuriyet Merkez Bankası Başkanı yürütür.
