Yönetim gözetimi
MADDE 25
–
(1) İnternet bankacılığı faaliyetleri kapsamında sunulan bankacılık
hizmetlerinin, internetin doğasından kaynaklanan güvenliği sağlayamama, kimliği
doğru belirleyememe, inkâr edebilme ve sorumluluk atayamama gibi konularda bir
takım ek risklere maruz kalacağı da göz önünde bulundurulur ve ilgili hizmetlere ilişkin
süreçler üzerinde bu Tebliğin 26 ila 31 inci maddeleri arasında yer alan hükümler
doğrultusunda ilave kontroller tesis edilir.
…
K
imlik doğrulama
MADDE 27
–
(1) Banka, sunmakta olduğu internet bankacılığı hizmetleri için, bu
hizmetlerin arz ettiği risk seviyelerine uygun ve güvenilir bir kimlik doğrulama
mekanizması tesis eder. Müşterilerin, kurulan kimlik doğrulama mekanizmasından
geçmeden hizmetlerden yararlanmasına müsaade etmeyecek bir yapı banka
tarafından kurulur.
(2) Hizmetler için risk seviyelerinin tespiti yapılırken asgari olarak;
a) Müşteri tipi,
b) Müşteriye sunulan işlemsel olanaklar,
c) Banka ile müşteri arasında paylaşılan bilgilerin hassasiyeti,
ç) Kullanılan iletişim alt yapısı ve
d) İşlem hacmi
hususları dikkate alınır.
(3) İnternet bankacılığı için kimlik doğrulama işlemi, gerçekleştirilecek işleme taraf
banka, müşteri ve varsa destek hizmeti kuruluşu gibi diğer müdahil tüm taraflar için
yap
ılır.
(4) Müşterilere uygulanan kimlik doğrulama mekanizması birbirinden bağımsız en az
iki bileşenden oluşur. Bu iki bileşen; müşterinin "bildiği", müşterinin "sahip olduğu"
veya müşterinin "biyometrik bir karakteristiği olan" unsur sınıflarından farklı ikisine ait
olmak üzere seçilir. Müşterinin "bildiği" unsur olarak parola/değişken parola bilgisi gibi
bileşenler, "sahip olduğu" unsur olarak tek kullanımlık parola üretim cihazı, kısa mesaj
servisi ile sağlanan tek kullanımlık parola gibi bileşenler kullanılabilir. Bileşenler
tamamen müşterinin şahsına özgü olmalı ve bunlar sunulmadan kimlik doğrulama
gerçekleştirilememeli, hizmetlere erişim sağlanamamalıdır.
(5) Kimlik doğrulamada elektronik imza kullanılması durumunda, yalnızca 15/01/2004
tarihli ve 50
70 sayılı Elektronik İmza Kanununun 4 üncü maddesinde düzenlenen
güvenli elektronik imza kullanıldığı takdirde bu maddenin dördüncü fıkrasındaki
hükümler yerine getirilmiş sayılır. Elektronik imza vasıtasıyla kimlik doğrulama
gerçekleştirmede yabancı elektronik sertifikaların kullanılması halinde, bu fıkrada
anılan Kanunun "Yabancı elektronik sertifikalar" başlıklı 14 üncü maddesinde ve ilgili
alt düzenlemelerde yer alan hükümler geçerlidir.
48
(6) Müşterilere uygulanan kimlik doğrulamada kullanılacak parolaların ve değişken
parolaların yönetilmesi için politika belirlenmeli, bu politika asgari olarak aşağıdaki
hususları içermelidir;
a) Parolaların ve değişken parolaların tahmin edilmesi ve kırılması zor bir
karmaşıklıkta ve uzunlukta olması, müşterilerin parolalarını ve değişken parolalarını
belirlerken bu karmaşıklığı sağlayacak biçimde sistemsel olarak zorlanması,
b) Değişken parolaların, belirli bir süre için kullanılması, bu süre sonunda kullanım
dışı kalması, müşterinin yeni bir değişken parola belirlemeye zorlanması; yeni
değişken parolanın, son kullanılan belirli sayıdaki değişken paroladan farklı olmadığı
sürece sistemin yeni değişken parolayı kabul etmemesi,
c) Parolaların ve değişken parolaların sıfırlanması işlemlerinin yeterli güvenlik
kontroller
ini içermesi,
ç) Müşterilerin, uygun parola ve değişken parola belirleme ve bunların gizliliğinin
sağlanmasının önemi konusunda bilgilendirilmesi.
(7) Kimlik doğrulamada kullanılacak şifreleme teknikleri, güncel durum itibariyle
literatürde kabul görmüş ve güvenilirliğini yitirmemiş algoritmaları baz almalıdır.
Kullanılacak şifreleme anahtarları, ilgili algoritmalar için anahtarın geçerli olacağı ve
kullanılabileceği zaman zarfında kırılamayacak şekilde uzun seçilmelidir. Geçerliliğini
yitirmiş,
çalınmış
veya
kırılmış
şifreleme
anahtarlarının
kullanılabilirliği
engellenmelidir.
(8) Kimlik doğrulamada kullanılacak şifreleme anahtarları; bu anahtarların ele
geçirilme ihtimallerini en aza indiren, gizliliğini sağlayan, değiştirilmesini ve
bozulmasını önleyecek yöntemler barındıracak şekilde müşteri kullanımına sunulur.
Şifreleme anahtarları kimlik doğrulama için kullanılmak istendiklerinde parola, PIN
(Kişisel Tanımlama Numarası) veya biyometrik bir bileşen bilgisi ile erişilebilir
olmalıdır.
(9) İnternet bankacılığı faaliyetleri kapsamındaki işlemlerin gerçekleştirilmesi için
müşteriye işlem doğrulama kodu sorulması durumunda, kullanılacak doğrulama
kodları tahmin edilmesi zor olacak şekilde yeterli uzunlukta alfabetik ve/veya
rakamsal karakterden oluşmalı, rastgele yaratılmalı ve müşteriye internet kanalı
haricinde bir iletim ortamı üzerinden ulaştırılmalıdır. İşlem doğrulama kodları, geçerli
bir kodun tahmin edilmesine imkân vermeyecek şekilde değişken ve eşsiz olarak
üretilmelidir.
(10) Tek kullanımlık parola sunan cihazlardaki bu bilgi belirli bir süre sonra siliniyor
olmalı ve/veya bir temizleme olanağı ile cihazdan silinebilmeli, bu cihazların ürettiği
parolalar, bilinen parola tahmin yöntemleriyle belirlenmesi imkânsız, değişken ve
eşsiz olmalıdır.
(1
1) Müşterilere uygulanacak kimlik doğrulama mekanizmasında kullanılacak parola,
değişken parola, tek kullanımlık parola cihazı, şifreleme gizli anahtarı, akıllı kart ve
işlem doğrulama kodu gibi bileşenlerin üretim aşamalarından başlayarak müşteriye
ulaştırılmasına kadar geçen sürecin tamamı boyunca güvenliği sağlanır ve müşteri
kullanımına sunulduğu anda güvenilirliğinin bozulmadığından bankaca emin olunur.
(12) Banka tarafından internet bankacılığı faaliyetleri kapsamındaki işlemlerde
kullanılmak üzere müşterilerine sunulan her türlü yazılımın kaynağının, ilgili banka
49
olduğunun doğrulanabiliyor olması sağlanır ve bu yazılımların kullanıcı güvenliğini
tehlikeye sokacak herhangi bir kod içermediğinin belirlenmesini sağlayacak kontroller
banka tarafından yapılır.
(13) Banka tarafından oluşturulacak kimlik doğrulama mekanizmasının;
a) Başarısız kimlik doğrulama teşebbüsleri hakkında, ilgili müşterinin sisteme ilk
girdiği anda bilgi vermesi, başarısız teşebbüslerin belirli bir sayıyı aşması halinde ise
ilgili müşterinin internet bankacılığına erişimini bloke etmesi,
b) Başarısız kimlik doğrulama teşebbüsleri sonrasında, bu teşebbüsü gerçekleştiren
kişiye, yanlış girilen kullanıcı bilgisi veya parolası/değişken parolası ile ilgili, örneğin
böyle bir kullanıcının sistemde olmadığı veya parolanın/değişken parolanın yanlış
girildiği gibi, gereksiz bilgi vermemesi
gerekir.
(14) Banka, tesis edeceği sistemler ve geliştireceği uygulamalarda müşterilerine ve
personeline ait kimlik doğrulama bilgilerini ele geçirmeye yönelik bilinen saldırılara
karşı gerekli sistemsel ve yazılımsal önlemleri alır.
(15) Olası tehditleri önceden belirleyebilmek ve gerekli önlemleri alabilmek adına,
internet bankacılığı hesaplarına erişim için başarılı ve başarısız erişim teşebbüsleri
düzenli olarak banka tarafından takip edilir, oransal bir anormallik görüldüğünde
incelemeye alınır.
Dostları ilə paylaş: |