Yemleme ( “phishing”) Hazırlayanlar



Yüklə 0,54 Mb.
Pdf görüntüsü
səhifə30/40
tarix19.12.2023
ölçüsü0,54 Mb.
#184619
1   ...   26   27   28   29   30   31   32   33   ...   40
Yemleme PhНshНng

Yönetim gözetimi 
 
MADDE 25 
– 
(1) İnternet bankacılığı faaliyetleri kapsamında sunulan bankacılık 
hizmetlerinin, internetin doğasından kaynaklanan güvenliği sağlayamama, kimliği 
doğru belirleyememe, inkâr edebilme ve sorumluluk atayamama gibi konularda bir 
takım ek risklere maruz kalacağı da göz önünde bulundurulur ve ilgili hizmetlere ilişkin 
süreçler üzerinde bu Tebliğin 26 ila 31 inci maddeleri arasında yer alan hükümler 
doğrultusunda ilave kontroller tesis edilir.
… 
K
imlik doğrulama 
 
MADDE 27 
– 
(1) Banka, sunmakta olduğu internet bankacılığı hizmetleri için, bu 
hizmetlerin arz ettiği risk seviyelerine uygun ve güvenilir bir kimlik doğrulama 
mekanizması tesis eder. Müşterilerin, kurulan kimlik doğrulama mekanizmasından 
geçmeden hizmetlerden yararlanmasına müsaade etmeyecek bir yapı banka 
tarafından kurulur.
(2) Hizmetler için risk seviyelerinin tespiti yapılırken asgari olarak;
a) Müşteri tipi,
b) Müşteriye sunulan işlemsel olanaklar,
c) Banka ile müşteri arasında paylaşılan bilgilerin hassasiyeti,
ç) Kullanılan iletişim alt yapısı ve
d) İşlem hacmi
hususları dikkate alınır.
(3) İnternet bankacılığı için kimlik doğrulama işlemi, gerçekleştirilecek işleme taraf 
banka, müşteri ve varsa destek hizmeti kuruluşu gibi diğer müdahil tüm taraflar için 
yap
ılır.
(4) Müşterilere uygulanan kimlik doğrulama mekanizması birbirinden bağımsız en az 
iki bileşenden oluşur. Bu iki bileşen; müşterinin "bildiği", müşterinin "sahip olduğu" 
veya müşterinin "biyometrik bir karakteristiği olan" unsur sınıflarından farklı ikisine ait 
olmak üzere seçilir. Müşterinin "bildiği" unsur olarak parola/değişken parola bilgisi gibi 
bileşenler, "sahip olduğu" unsur olarak tek kullanımlık parola üretim cihazı, kısa mesaj 
servisi ile sağlanan tek kullanımlık parola gibi bileşenler kullanılabilir. Bileşenler 
tamamen müşterinin şahsına özgü olmalı ve bunlar sunulmadan kimlik doğrulama 
gerçekleştirilememeli, hizmetlere erişim sağlanamamalıdır.
(5) Kimlik doğrulamada elektronik imza kullanılması durumunda, yalnızca 15/01/2004 
tarihli ve 50
70 sayılı Elektronik İmza Kanununun 4 üncü maddesinde düzenlenen 
güvenli elektronik imza kullanıldığı takdirde bu maddenin dördüncü fıkrasındaki 
hükümler yerine getirilmiş sayılır. Elektronik imza vasıtasıyla kimlik doğrulama 
gerçekleştirmede yabancı elektronik sertifikaların kullanılması halinde, bu fıkrada 
anılan Kanunun "Yabancı elektronik sertifikalar" başlıklı 14 üncü maddesinde ve ilgili 
alt düzenlemelerde yer alan hükümler geçerlidir.


48 
(6) Müşterilere uygulanan kimlik doğrulamada kullanılacak parolaların ve değişken 
parolaların yönetilmesi için politika belirlenmeli, bu politika asgari olarak aşağıdaki 
hususları içermelidir;
a) Parolaların ve değişken parolaların tahmin edilmesi ve kırılması zor bir 
karmaşıklıkta ve uzunlukta olması, müşterilerin parolalarını ve değişken parolalarını 
belirlerken bu karmaşıklığı sağlayacak biçimde sistemsel olarak zorlanması,
b) Değişken parolaların, belirli bir süre için kullanılması, bu süre sonunda kullanım 
dışı kalması, müşterinin yeni bir değişken parola belirlemeye zorlanması; yeni 
değişken parolanın, son kullanılan belirli sayıdaki değişken paroladan farklı olmadığı 
sürece sistemin yeni değişken parolayı kabul etmemesi,
c) Parolaların ve değişken parolaların sıfırlanması işlemlerinin yeterli güvenlik 
kontroller
ini içermesi,
ç) Müşterilerin, uygun parola ve değişken parola belirleme ve bunların gizliliğinin 
sağlanmasının önemi konusunda bilgilendirilmesi.
(7) Kimlik doğrulamada kullanılacak şifreleme teknikleri, güncel durum itibariyle 
literatürde kabul görmüş ve güvenilirliğini yitirmemiş algoritmaları baz almalıdır. 
Kullanılacak şifreleme anahtarları, ilgili algoritmalar için anahtarın geçerli olacağı ve 
kullanılabileceği zaman zarfında kırılamayacak şekilde uzun seçilmelidir. Geçerliliğini 
yitirmiş, 
çalınmış 
veya 
kırılmış 
şifreleme 
anahtarlarının 
kullanılabilirliği 
engellenmelidir.
(8) Kimlik doğrulamada kullanılacak şifreleme anahtarları; bu anahtarların ele 
geçirilme ihtimallerini en aza indiren, gizliliğini sağlayan, değiştirilmesini ve 
bozulmasını önleyecek yöntemler barındıracak şekilde müşteri kullanımına sunulur. 
Şifreleme anahtarları kimlik doğrulama için kullanılmak istendiklerinde parola, PIN 
(Kişisel Tanımlama Numarası) veya biyometrik bir bileşen bilgisi ile erişilebilir 
olmalıdır.
(9) İnternet bankacılığı faaliyetleri kapsamındaki işlemlerin gerçekleştirilmesi için 
müşteriye işlem doğrulama kodu sorulması durumunda, kullanılacak doğrulama 
kodları tahmin edilmesi zor olacak şekilde yeterli uzunlukta alfabetik ve/veya 
rakamsal karakterden oluşmalı, rastgele yaratılmalı ve müşteriye internet kanalı 
haricinde bir iletim ortamı üzerinden ulaştırılmalıdır. İşlem doğrulama kodları, geçerli 
bir kodun tahmin edilmesine imkân vermeyecek şekilde değişken ve eşsiz olarak 
üretilmelidir.
(10) Tek kullanımlık parola sunan cihazlardaki bu bilgi belirli bir süre sonra siliniyor 
olmalı ve/veya bir temizleme olanağı ile cihazdan silinebilmeli, bu cihazların ürettiği 
parolalar, bilinen parola tahmin yöntemleriyle belirlenmesi imkânsız, değişken ve 
eşsiz olmalıdır.
(1
1) Müşterilere uygulanacak kimlik doğrulama mekanizmasında kullanılacak parola, 
değişken parola, tek kullanımlık parola cihazı, şifreleme gizli anahtarı, akıllı kart ve 
işlem doğrulama kodu gibi bileşenlerin üretim aşamalarından başlayarak müşteriye 
ulaştırılmasına kadar geçen sürecin tamamı boyunca güvenliği sağlanır ve müşteri 
kullanımına sunulduğu anda güvenilirliğinin bozulmadığından bankaca emin olunur.
(12) Banka tarafından internet bankacılığı faaliyetleri kapsamındaki işlemlerde 
kullanılmak üzere müşterilerine sunulan her türlü yazılımın kaynağının, ilgili banka 


49 
olduğunun doğrulanabiliyor olması sağlanır ve bu yazılımların kullanıcı güvenliğini 
tehlikeye sokacak herhangi bir kod içermediğinin belirlenmesini sağlayacak kontroller 
banka tarafından yapılır.
(13) Banka tarafından oluşturulacak kimlik doğrulama mekanizmasının;
a) Başarısız kimlik doğrulama teşebbüsleri hakkında, ilgili müşterinin sisteme ilk 
girdiği anda bilgi vermesi, başarısız teşebbüslerin belirli bir sayıyı aşması halinde ise 
ilgili müşterinin internet bankacılığına erişimini bloke etmesi,
b) Başarısız kimlik doğrulama teşebbüsleri sonrasında, bu teşebbüsü gerçekleştiren 
kişiye, yanlış girilen kullanıcı bilgisi veya parolası/değişken parolası ile ilgili, örneğin 
böyle bir kullanıcının sistemde olmadığı veya parolanın/değişken parolanın yanlış 
girildiği gibi, gereksiz bilgi vermemesi
gerekir.
(14) Banka, tesis edeceği sistemler ve geliştireceği uygulamalarda müşterilerine ve 
personeline ait kimlik doğrulama bilgilerini ele geçirmeye yönelik bilinen saldırılara 
karşı gerekli sistemsel ve yazılımsal önlemleri alır.
(15) Olası tehditleri önceden belirleyebilmek ve gerekli önlemleri alabilmek adına, 
internet bankacılığı hesaplarına erişim için başarılı ve başarısız erişim teşebbüsleri 
düzenli olarak banka tarafından takip edilir, oransal bir anormallik görüldüğünde 
incelemeye alınır.

Yüklə 0,54 Mb.

Dostları ilə paylaş:
1   ...   26   27   28   29   30   31   32   33   ...   40




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©azkurs.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin