(DHA) - Bankacılık Düzenleme ve Denetleme Kurumu (BDDK), "Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik Taslağı" hazırladı.
BDDK'nın internet sitesinde yayımlanan taslağın "amaç ve kapsamı" şöyle tanımlandı:
"Bu yönetmeliğin amacı, bankaların faaliyetlerinin ifasında kullandıkları bilgi sistemlerinin yönetimi ile elektronik bankacılık hizmetlerinin sunulmasında ve bunlara ilişkin risklerin yönetiminde esas alınacak asgari usul ve esaslar ile tesis edilmesi gereken bilgi sistemleri kontrollerini düzenlemektir."
Yönetmeliğin "Elektronik Bankacılık Hizmetleri"ne ilişkin bölümünde, "Kimlik doğrulama ve işlem güvenliği"nin düzenlendiği 34. maddesinin 10. altmaddesinde şöyle denildi:
"Müşterinin anne kızlık soyadı, T.C. Kimlik No'su, nüfus cüzdanı veya T.C. kimlik kartları üzerinde yer alan bilgiler elektronik bankacılık hizmetlerinin sunulması esnasında hiçbir aşamada kimlik ya da işlem doğrulama amacıyla kullanılamaz. Bankanın kimlik doğrulamada müşterinin bildiği unsur olarak bir güvenlik sorusu kullanmak istemesi durumunda, bu güvenlik sorusunun nüfus cüzdanı veya T.C. kimlik kartları üzerinde yer alan bilgilerden birine ilişkin olmaması ve cevabının müşterinin kendisi tarafından belirleniyor olması gerekir."
Yönetmeliğin 9. maddesinde düzenlenen "Veri gizliliği" de şöyle tanımlandı:
(1) Banka, bankacılık faaliyetlerinin yürütülmesinde kullanılan verilerin taşındığı, iletildiği, işlendiği, saklandığı ve yedek olarak tutulduğu sırada gizliliğini sağlayacak önlemleri alır. Verilerin tutulduğu ortamın kağıt veya elektronik ortam olmasından bağımsız olarak alınacak önlemlerin, gizliliği sağlanmaya çalışılan verilerin gizlilik derecesine uygun olması ve gerekli yerlerde ek kontrollerin tesis edilmesi esastır. Veri barındıran medya ya da cihazların kullanımdan kaldırılması durumunda, içerdikleri verilerin gizlilik derecesine uygun olarak güvenli bir şekilde imha edilmesi sağlanır.
(2) Veri gizliliğini sağlamada kullanılacak şifreleme teknikleri için güncel durum itibariyle güvenilirliğini yitirmemiş ve günün teknolojisine uygun algoritmalar temel alınır. Kullanılacak şifreleme anahtarları, ilgili algoritmalar için anahtarın geçerli olacağı ve kullanılabileceği zaman zarfında kırılamayacak şekilde uzun seçilir ve ilgili veri ya da operasyonun kritiklik seviyesine göre bu anahtarların geçerlilik süresi belirlenir. Geçerlilik süresi dolan ya da güvenilirliğini yitirdiği bilinen şifreleme anahtarlarının kullanımı engellenir.
Şifreleme anahtarlarının tüm yaşam döngüsü boyunca güvenliğinin sağlanması, güvenli bir şekilde oluşturulması, müşteri ve personel kullanımına sunulması ve saklanması esastır.
(3) Hassas verilerin iletiminde uçtan uca güvenli iletişimin kullanılması ve bu verilerin şifrelenmiş bir şekilde saklanması esastır. Bu kapsamda, bankanın personeline tahsis ettiği hassas veri içeren tüm masaüstü, dizüstü ve mobil cihazların içeriğinin şifrelenmesi sağlanır ve ağa bağlı sunucu cihazlar üzerinde açık metin halinde banka kartı veya kredi kartı numarası, TC kimlik numarası gibi hassas verilerin bulunup bulunmadığını belirlemek için sunucu makineleri periyodik olarak taranır.