Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik ile bankacılık faaliyetlerinin sunulmasında ve bunlara ilişkin risklerin yönetiminde esas alınacak asgari usul ve esaslar yeniden belirlenmiştir*.
Şöyle ki;
Bu yönetmelikte aksi belirtilmedikçe mesleki bilgilerin görüntülenmesi gibi finansal sonuç doğurmayan işlemler de dahil olmak üzere elektronik bankacılık hizmetleri için bankaların müşterilerine birbirinden bağımsız en az iki bileşenden oluşan bir kimlik doğrulama mekanizması uygulanması ve bu bileşenlerin kimlik doğrulama sürecinde kullanılmaları esasında barındırdıkları kimlik doğrulama verilerinin gizliliğini sağlayacak önlemleri alması esastır. Bu iki bileşen müşterinin “bildiği”, “sahip olduğu” veya “biyometrik bir karakteristiği olan” unsur sınıflarından farklı ikisine ait olmak üzere seçilir. Bileşenlerin bağımsız olması, bu bileşenin ele geçirilmesinin diğer bileşenin güvenliğini tehlikeye atmamasını ifade eder. Müşterinin sahip olduğu bileşenin müşteriye özgü olması ve taklit edilememesi esastır.
Kimlik doğrulamada T.C. kimlik kartının kart PİN veya biyometrik veri ile birlikte kullanılması veya elektronik imzanın kullanılması hallerinde yukarıda belirtilen gereksinimin yerine getirilmiş olduğu varsayılır.
BDDK, elektronik bankacılık dağıtım kanalları üzerinden gerçekleştirilebilen işlemler bazında yukarıda belirtilen uygulamaya ilişkin istisna veya ilave güvenlik önlemleri tanımlamaya veya ek usul ve esasları belirlemeye yetkilidir. İki bileşenli kimlik doğrulama kullanılmaksızın gerçekleştirilen her türlü işlem için gerçekleştirilen işlemlerin müşteri tarafından yapıldığını ispat etme yükümlülüğü bankaya ait olacaktır.
Kullanıcılara uygulanacak kimlik doğrulama mekanizmasında kullanılacak bileşenlerin üretim aşamalarından başlayarak kullanıcıya ulaştırılmasına kadar geçen sürecin tamamı boyunca güvenliği sağlanır.
Kimlik doğrulamada kullanılacak şifreleme anahtarları; bu anahtarların ele geçirilme ihtimallerini en aza indiren, gizliliğini sağlayan, değiştirilmesini ve bozulmasını önleyen yöntemler barındırılacak şekilde müşteri kullanımına sunulur.
Kullanıcılara uygulanacak kimlik doğrulama mekanizmasının başarısız kimlik doğrulama teşebbüsleri hakkında ilgili kullanıcıya sisteme ilk girdiği anda bilgi vermesi sağlanır. Başarısız teşebbüslerin belirli bir sayıyı aşması halinde müşterinin erişimi için ilave güvenlik önlemleri alınır, başarısız kimlik doğrulama teşebbüslerinin devam etmesi halinde ise ilgili kullanıcının erişimi engellenir.
Banka, mobil bankacılık uygulamasını yüklenerek aktifleştirilmiş olan müşterilerine, oturum açma ya da oturumun devamına herhangi bir işlemin doğrulaması için hiçbir şekilde SMS ile OTP ya da doğrulama kodu gönderemez ve bunu bir kimlik doğrulama unsuru olarak kullanamaz. Mobil bankacılık uygulamasının ilk kurulumu, aktifleştirilmesi, yeniden aktifleştirilmesi aşamalarında ya da uygulamanın kullanılamaz olması durumunda SMS ile OTP ya da doğrulama kodu gönderilmesi bu fıkra hükmüne aykırılık oluşturmaz.
Banka SIM kart değişikliği gerçekleştirmiş veya numara taşıma yoluyla elektronik haberleşme işletmecisini değiştirmiş müşterilerini Türkiye’de yerleşik mobil haberleşme işletmeleriyle gerekli entegrasyonu sağlayarak SMS OTP göndermeden önce belirler ve ilgili müşterilere, değişiklikler teyit edilmediği müddetçe değişikliğin yapıldığı tarihten itibaren 90 (doksan) gün boyunca elektronik bankacılık hizmetleri sunulurken SIM karta dayalı unsur kimlik doğrulama unsuru olarak kullanılamaz.
Değişiklikler teyit edilirken iki bileşenli kimlik doğrulama kullanılmaksızın gerçekleştirilen her türlü işlem için, gerçekleştirilen işlemlerin, müşteri tarafından yapıldığını ispat etme yükümlülüğü bankaya aittir.
Müşterilere kimlik ya da işlem doğrulama amacıyla kullandırılacak tek kullanımlık parolaların tahmin edilmesi zor olacak şekilde yeterli uzunlukta, rastgele, değişken ve eşsiz olarak üretilmesi ve belirli bir süre için geçerli olması sağlanır.
Müşterilerin kimliğini tespit etmeye yarayan ve resmi kimlik belgesi yerine geçen belgeler üzerinde yer alan bilgiler ile anne kızlık soyadı elektronik bankacılık hizmetlerinin sunulması esnasında hiçbir aşamada kimlik doğrulama amacıyla kullanılamaz.
Bankanın kimlik doğrulamada müşterilerinin bildiği unsur olarak bir güvenlik sorusu kullanmak istemesi durumunda bu güvenlik sorusunun resmi kimlik belgesi yerine geçen belgeler üzerinde yer alan bilgilerden birine ilişkin olmaması ve cevabının müşterinin kendisi tarafından belirleniyor olması gerekir.