BDDK Tebliği’nde Fintech Kuruluşlarının Karşılaması Beklenen 12 Temel Süreç Kontrolü

“Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik” (Yönetmelik), yaygın şekilde “İlkeler Tebliği” olarak bilinen mevzuatın, Bankacılık Düzenleme ve Denetleme Kurulu (BDDK) tarafından güncellenmesi ile 1 Temmuz 2020 tarihinde yürürlüğe girmiştir.

Yeni Yönetmelik bankacılık faaliyetlerini gerçekleştirirken bankaların sahip olması ve uyması gereken bilgi güvenliği yönetimi, bilgi teknolojileri yönetimi ve altyapı & iletişim sistemlerinin nitelik ve işlevselliklerini tanımlarken; bu faaliyetlerin gerçekleştirilmesinde 3.taraf/dış kaynak hizmet alımında sağlanması beklenen gereklilikleri de tanımlamaktadır.

Hızlı gelişen teknolojiler, finansal araçlar ve pazarlar; çeşitli iş modelleri ile birçok FinTech (finansal teknoloji) kuruluşunun ortaya çıkmasına ve benzer hızla büyümesine sebep olmuştur. Bu esnada yeteri kadar ilgi gösterilmeyen, ya da kaynak yetersizliklerinden ötürü gösterilemeyen, güvenlik yönetimi konuları, farklı sektörel mevzuatlar uyarınca güncellenen müşteri talepleri ile gündeme gelmekte ve ticari faaliyetlerin devamına yönelik alınması gereken birçok yönetsel ve teknik kontrolü de beraberinde getirmektedir.

Bu doğrultuda ağırlıklı olarak banka müşterileri olan FinTech kuruluşlarına da farklı alanlarda uymaları gereken birçok gereklilik ortaya çıkmıştır. Yönetmelik içerisinde farklı birçok maddede ve ayrı olarak 6.Bölüm – Madde 29 ile tanımlanan “Dış Hizmet Alımı Sürecinin Yönetimi” kapsamında, bankalar hizmet saylayan kuruluşların karşılaması beklenen temel süreç kontrolleri:

  1. Kurumsal bilgi güvenliği politikasının, bilgi güvenliği ve bilgi sistemlerinin yönetimine ilişkin politikaların belirlenerek ilgili taraflara duyurulması ve uygulanması,
  2. Kuruluş içerisinde bilgi güvenliğine ilişkin organizasyon, rol & sorumluluk tanımlamaları ve atamalarının görevler ayrılığı prensibine uygun şekilde yapılması,
  3. Çalışanların bilgi güvenliği politikaları, güncel tehditler ve korunma yöntemlerine yönelik eğitilmesi ve bilgilendirilmesi,
  4. Alınan hizmetler kapsamında yer alan tüm bilgi varlıklarının (fiziksel dokümanlar, dijital ortamda yer alan veriler, altyapı & iletişim varlıkları, insan kaynakları vs. türlerine göre) yönetimine ilişkin bir süreç tasarlanması; varlık envanterleri oluşturulması ve varlık değerleri, güvenlik açıklıkları ve tehditler göz önünde bulundurularak bilgi güvenliği risk değerlendirme çalışmalarının yapılması,
  5. Hizmetler kapsamında yer alan çalışanların işe alım ve istihdamları boyunca yapılan güvenlik kontrolleri,
  6. Hizmetlerin gerçekleştirildiği yerleşkelerin konumu ve altyapı & ağ donanımları ile, fiziksel ve çevresel güvenlikleri,
  7. Sistem ve ağ güvenliğinin erişim, izleme, güncelleme ve güvenlik kontrollerinin bankalar ile eş düzeyde sağlanması,
  8. Sistem erişimlerinde güvenli hesap yönetimi, parola yönetimi ve erişim kontrollerinin uygulanması,
  9. Hizmetler kapsamında işlenen verilerin güvenliğine yönelik Veri Kaybı Önleme (Data Loss Prevention – DLP), veri izleme, yedekleme ve güvenli imha uygulamalarının sağlanıyor olması,
  10. Yazılım/uygulama geliştirme faaliyetlerinde genel ve sektörel güvenli yazılım geliştirme prensiplerinin benimsenmesi,
  11. Bankalara verilen hizmetlerin sürekliliğinin sağlanması yönünde gerekli izleme, planlama ve tatbikat çalışmalarının yapılması ve olası ihlallerin yönetimine yönelik olarak ihlal olay bildirimi ve yönetiminin sağlanması,
  12. İlgili mevzuatlara, hizmet seviyesi anlaşmalarına uyumun takip edilmesi ve periyodik iç ve dış denetimler ve teknik incelemelerle, denetlenmesinin sağlanması olarak ortaya çıkmaktadır.

Kısa vadede bankalar tarafından yapılan yıllık periyodik denetimlerin tekrarı öncesinde; orta ve uzun vadede ise bankacılık gibi ana sektörlerde belirlenen standartların diğer sektörlere de zaman içerisinde genişleyeceği göz önünde bulundurularak, FinTech kuruluşları ve diğer banka hizmet tedarikçilerinin olabilecek en yakın zaman içerisinde bir mevcut durum değerlendirmesi üzerine Yönetmelik’e uyuma yönelik aksiyonları planlayarak uygulamaya almaları faydalı olacaktır.