Yönetim gözetimi MADDE 25 – (1) İnternet bankacılığı faaliyetleri kapsamında sunulan bankacılık hizmetlerinin, internetin doğasından kaynaklanan güvenliği sağlayamama, kimliği doğru belirleyememe, inkâr edebilme ve sorumluluk atayamama gibi konularda bir takım ek risklere maruz kalacağı da göz önünde bulundurulur ve ilgili hizmetlere ilişkin süreçler üzerinde bu Tebliğin 26 ila 31 inci maddeleri arasında yer alan hükümler doğrultusunda ilave kontroller tesis edilir. … K imlik doğrulama MADDE 27 – (1) Banka, sunmakta olduğu internet bankacılığı hizmetleri için, bu hizmetlerin arz ettiği risk seviyelerine uygun ve güvenilir bir kimlik doğrulama mekanizması tesis eder. Müşterilerin, kurulan kimlik doğrulama mekanizmasından geçmeden hizmetlerden yararlanmasına müsaade etmeyecek bir yapı banka tarafından kurulur. (2) Hizmetler için risk seviyelerinin tespiti yapılırken asgari olarak; a) Müşteri tipi, b) Müşteriye sunulan işlemsel olanaklar, c) Banka ile müşteri arasında paylaşılan bilgilerin hassasiyeti, ç) Kullanılan iletişim alt yapısı ve d) İşlem hacmi hususları dikkate alınır. (3) İnternet bankacılığı için kimlik doğrulama işlemi, gerçekleştirilecek işleme taraf banka, müşteri ve varsa destek hizmeti kuruluşu gibi diğer müdahil tüm taraflar için yap ılır. (4) Müşterilere uygulanan kimlik doğrulama mekanizması birbirinden bağımsız en az iki bileşenden oluşur. Bu iki bileşen; müşterinin "bildiği", müşterinin "sahip olduğu" veya müşterinin "biyometrik bir karakteristiği olan" unsur sınıflarından farklı ikisine ait olmak üzere seçilir. Müşterinin "bildiği" unsur olarak parola/değişken parola bilgisi gibi bileşenler, "sahip olduğu" unsur olarak tek kullanımlık parola üretim cihazı, kısa mesaj servisi ile sağlanan tek kullanımlık parola gibi bileşenler kullanılabilir. Bileşenler tamamen müşterinin şahsına özgü olmalı ve bunlar sunulmadan kimlik doğrulama gerçekleştirilememeli, hizmetlere erişim sağlanamamalıdır. (5) Kimlik doğrulamada elektronik imza kullanılması durumunda, yalnızca 15/01/2004 tarihli ve 50 70 sayılı Elektronik İmza Kanununun 4 üncü maddesinde düzenlenen güvenli elektronik imza kullanıldığı takdirde bu maddenin dördüncü fıkrasındaki hükümler yerine getirilmiş sayılır. Elektronik imza vasıtasıyla kimlik doğrulama gerçekleştirmede yabancı elektronik sertifikaların kullanılması halinde, bu fıkrada anılan Kanunun "Yabancı elektronik sertifikalar" başlıklı 14 üncü maddesinde ve ilgili alt düzenlemelerde yer alan hükümler geçerlidir.
48
(6) Müşterilere uygulanan kimlik doğrulamada kullanılacak parolaların ve değişken parolaların yönetilmesi için politika belirlenmeli, bu politika asgari olarak aşağıdaki hususları içermelidir; a) Parolaların ve değişken parolaların tahmin edilmesi ve kırılması zor bir karmaşıklıkta ve uzunlukta olması, müşterilerin parolalarını ve değişken parolalarını belirlerken bu karmaşıklığı sağlayacak biçimde sistemsel olarak zorlanması, b) Değişken parolaların, belirli bir süre için kullanılması, bu süre sonunda kullanım dışı kalması, müşterinin yeni bir değişken parola belirlemeye zorlanması; yeni değişken parolanın, son kullanılan belirli sayıdaki değişken paroladan farklı olmadığı sürece sistemin yeni değişken parolayı kabul etmemesi, c) Parolaların ve değişken parolaların sıfırlanması işlemlerinin yeterli güvenlik kontroller ini içermesi, ç) Müşterilerin, uygun parola ve değişken parola belirleme ve bunların gizliliğinin sağlanmasının önemi konusunda bilgilendirilmesi. (7) Kimlik doğrulamada kullanılacak şifreleme teknikleri, güncel durum itibariyle literatürde kabul görmüş ve güvenilirliğini yitirmemiş algoritmaları baz almalıdır. Kullanılacak şifreleme anahtarları, ilgili algoritmalar için anahtarın geçerli olacağı ve kullanılabileceği zaman zarfında kırılamayacak şekilde uzun seçilmelidir. Geçerliliğini yitirmiş, çalınmış veya kırılmış şifreleme anahtarlarının kullanılabilirliği engellenmelidir. (8) Kimlik doğrulamada kullanılacak şifreleme anahtarları; bu anahtarların ele geçirilme ihtimallerini en aza indiren, gizliliğini sağlayan, değiştirilmesini ve bozulmasını önleyecek yöntemler barındıracak şekilde müşteri kullanımına sunulur. Şifreleme anahtarları kimlik doğrulama için kullanılmak istendiklerinde parola, PIN (Kişisel Tanımlama Numarası) veya biyometrik bir bileşen bilgisi ile erişilebilir olmalıdır. (9) İnternet bankacılığı faaliyetleri kapsamındaki işlemlerin gerçekleştirilmesi için müşteriye işlem doğrulama kodu sorulması durumunda, kullanılacak doğrulama kodları tahmin edilmesi zor olacak şekilde yeterli uzunlukta alfabetik ve/veya rakamsal karakterden oluşmalı, rastgele yaratılmalı ve müşteriye internet kanalı haricinde bir iletim ortamı üzerinden ulaştırılmalıdır. İşlem doğrulama kodları, geçerli bir kodun tahmin edilmesine imkân vermeyecek şekilde değişken ve eşsiz olarak üretilmelidir. (10) Tek kullanımlık parola sunan cihazlardaki bu bilgi belirli bir süre sonra siliniyor olmalı ve/veya bir temizleme olanağı ile cihazdan silinebilmeli, bu cihazların ürettiği parolalar, bilinen parola tahmin yöntemleriyle belirlenmesi imkânsız, değişken ve eşsiz olmalıdır. (1 1) Müşterilere uygulanacak kimlik doğrulama mekanizmasında kullanılacak parola, değişken parola, tek kullanımlık parola cihazı, şifreleme gizli anahtarı, akıllı kart ve işlem doğrulama kodu gibi bileşenlerin üretim aşamalarından başlayarak müşteriye ulaştırılmasına kadar geçen sürecin tamamı boyunca güvenliği sağlanır ve müşteri kullanımına sunulduğu anda güvenilirliğinin bozulmadığından bankaca emin olunur. (12) Banka tarafından internet bankacılığı faaliyetleri kapsamındaki işlemlerde kullanılmak üzere müşterilerine sunulan her türlü yazılımın kaynağının, ilgili banka
49
olduğunun doğrulanabiliyor olması sağlanır ve bu yazılımların kullanıcı güvenliğini tehlikeye sokacak herhangi bir kod içermediğinin belirlenmesini sağlayacak kontroller banka tarafından yapılır. (13) Banka tarafından oluşturulacak kimlik doğrulama mekanizmasının; a) Başarısız kimlik doğrulama teşebbüsleri hakkında, ilgili müşterinin sisteme ilk girdiği anda bilgi vermesi, başarısız teşebbüslerin belirli bir sayıyı aşması halinde ise ilgili müşterinin internet bankacılığına erişimini bloke etmesi, b) Başarısız kimlik doğrulama teşebbüsleri sonrasında, bu teşebbüsü gerçekleştiren kişiye, yanlış girilen kullanıcı bilgisi veya parolası/değişken parolası ile ilgili, örneğin böyle bir kullanıcının sistemde olmadığı veya parolanın/değişken parolanın yanlış girildiği gibi, gereksiz bilgi vermemesi gerekir. (14) Banka, tesis edeceği sistemler ve geliştireceği uygulamalarda müşterilerine ve personeline ait kimlik doğrulama bilgilerini ele geçirmeye yönelik bilinen saldırılara karşı gerekli sistemsel ve yazılımsal önlemleri alır. (15) Olası tehditleri önceden belirleyebilmek ve gerekli önlemleri alabilmek adına, internet bankacılığı hesaplarına erişim için başarılı ve başarısız erişim teşebbüsleri düzenli olarak banka tarafından takip edilir, oransal bir anormallik görüldüğünde incelemeye alınır.