Bu Tebliğin amacı, Risk Merkezi, bilgi alışverişi, takas ve mahsuplaşma
04 Aralık 2013 Tarihli Resmi Gazete
Sayı: 28841
Bankacılık Düzenleme ve Denetleme Kurumundan:
BİLGİ ALIŞVERİŞİ, TAKAS VE MAHSUPLAŞMA KURULUŞLARINDA BİLGİ SİSTEMLERİ YÖNETİMİNDE ESAS ALINACAK İLKELER İLE İŞ SÜREÇLERİ VE BİLGİ SİSTEMLERİNİN DENETİMİNE İLİŞKİN TEBLİĞ
BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak ve Tanımlar
Amaç
MADDE 1 – (1) Bu Tebliğin amacı, Risk Merkezi, bilgi alışverişi, takas ve mahsuplaşma kuruluşlarının faaliyetlerinin ifasında kullandıkları bilgi sistemlerinin yönetiminde esas alınacak asgari usul ve esaslar ile bilgi sistemleri ve iş süreçlerinin, yetkilendirilmiş bağımsız denetim kuruluşları tarafından denetlenmesi ile ilgili esasları düzenlemektir.
Kapsam
MADDE 2 – (1) Risk Merkezi, bilgi alışverişi, takas ve mahsuplaşma kuruluşları, bilgi sistemleri denetimini yapmaya yetkili kuruluşlar, bağımsız denetim kuruluşları ve dış hizmet sağlayıcı kuruluşlar 1 inci maddede belirtilen amaçla sınırlı olarak bu Tebliğ hükümlerine tabidir.
Dayanak
MADDE 3 – (1) Bu Tebliğ, 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanununun Ek 1 inci maddesi, 23/2/2006 tarihli ve 5464 sayılı Banka Kartları ve Kredi Kartları Kanununun 27 nci maddesinin üçüncü fıkrası ve 29 uncu maddesinin ikinci fıkrası ile 10/3/2007 tarihli ve 26458 sayılı Resmî Gazete’de yayımlanan Banka Kartları ve Kredi Kartları Hakkında Yönetmeliğin 26/B maddesinin dördüncü fıkrası hükümlerine dayanılarak düzenlenmiştir.
Tanımlar ve kısaltmalar
MADDE 4 – (1) Bu Tebliğde geçen;
a) Bilgi alışverişi kuruluşu: Banka Kartları ve Kredi Kartları Kanununun 4 üncü maddesi çerçevesinde faaliyet izni alarak bilgi alışverişi faaliyetinde bulunan kuruluşları,
b) Birincil sistemler: Faaliyetlerin yürütülmesini ve ilgili düzenlemelerde kuruluş için tanımlanan tüm sorumlulukların yerine getirilmesi açısından gerekli olan bütün bilgilerin, elektronik ortamda güvenli ve istenildiği an erişime imkân sağlayacak şekilde kaydedilmesini ve kullanılmasını sağlayan altyapı, donanım, yazılım ve veriden oluşan sistemin tamamını,
c) BSDHY: 13/1/2010 tarihli ve 27461 sayılı Resmî Gazete’de yayımlanan Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmeliği,
ç) COBIT: Bilgi Sistemleri Denetim ve Kontrol Birliği (ISACA) Bilgi Teknolojileri Yönetişim Enstitüsü (ITGI) tarafından yayınlanmış olan Bilgi Teknolojilerine İlişkin Kontrol Hedeflerinin Kurumca uygun görülen versiyonunu,
d) Denetçi: Bilgi sistemleri ve iş süreçleri denetimini yapmak üzere BSDHY kapsamında yetkilendirilmiş bağımsız denetim kuruluşu tarafından görevlendirilmiş ve unvanları bu BSDHY’nin 18 inci maddesinde sıralanan personeli,
e) İç Sistemler: Banka Kartları ve Kredi Kartları Hakkında Yönetmelik hükümlerine tabi kuruluşlar bakımından anılan Yönetmeliğin 26/A, 26/C ve 26/Ç maddesinde tanımlanan iç kontrol, risk yönetimi ve iç denetim sistemlerini; diğer kuruluşlar için bu Tebliğ uyarınca tesis edilmesi gereken kontrol ve sistemleri,
f) İkincil merkez: İkincil sistemlerin kullanıma hazır olacak şekilde tesis edildiği ve herhangi bir kesinti durumunda personelin çalışmasına imkân tanıyacak ve birincil sistemlerin tesis edildiği yapı ile aynı riskleri taşımayacak şekilde oluşturulmuş yapıyı,
g) İkincil sistemler: Birincil sistemler aracılığı ile yürütülen faaliyetlerde bir kesinti olması halinde, bu faaliyetlerin iş sürekliliği planında belirlenen kabul edilebilir kesinti süreleri içerisinde sürdürülür hale getirilmesini ve ilgili kanun ve düzenlemelerde kuruluş için tanımlanan tüm sorumlulukların yerine getirilmesi açısından gerekli olan bütün bilgilere kesintisiz ve istenildiği an erişilmesini sağlayan birincil sistem yedeklerini,
ğ) İlkeler Tebliği: 14/9/2007 tarihli ve 26643 sayılı Resmî Gazete’de yayımlanan Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliği,
h) İş etki analizi: İş süreçlerinin ve bir faaliyet kesintisinin iş süreçleri üzerinde yaratabileceği etkilerin analizini,
ı) Kurul: Bankacılık Düzenleme ve Denetleme Kurulunu,
i) Kuruluş: Risk Merkezi ile bilgi alışverişi, takas ve mahsuplaşma kuruluşlarını,
j) Kurum: Bankacılık Düzenleme ve Denetleme Kurumunu,
k) Üst yönetim: Kuruluş yönetim kurulu ile genel müdür ve genel müdür yardımcıları, iç sistemler kapsamındaki birimlerin yöneticileri ile başka unvanlarla istihdam edilseler dahi, danışmanlık birimleri dışındaki birimlerin, yetki ve görevleri itibarıyla genel müdür yardımcısına denk veya daha üst konumlarda görev yapan yöneticileri,
l) Yetkili kuruluş: BSDHY kapsamında denetim yapma yetkisi verilen bağımsız denetim kuruluşunu veya BSDHY kapsamında dış hizmet alımı yöntemiyle kuruluşta bilgi sistemleri denetimi yapma izni verilen bağımsız denetim kuruluşu ile dış hizmet sağlayıcı kuruluşu,
m) Risk Merkezi: Bankacılık Kanununun Ek 1 inci maddesinde öngörülen; kredi kuruluşları ile Kurulca uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla gerçek kişiler ve özel hukuk tüzel kişileri ile de paylaşılmasını sağlamak üzere Türkiye Bankalar Birliği nezdinde kurulan, ayrı bir tüzel kişiliği bulunmayan Türkiye Bankalar Birliği Risk Merkezini,
n) Risk Merkezi Yönetimi: Risk Merkezinin görev ve faaliyetlerini sevk ve idare etmek üzere oluşturulmuş olan Türkiye Bankalar Birliği Risk Merkezi Yönetimini,
o) Üye Kuruluş: Kuruluş ile arasında bilgi alışverişi, takas ve mahsuplaşma faaliyetlerinde hizmet alışverişi bulunan tüzel kişileri,
ö) Takas ve mahsuplaşma kuruluşu: Banka Kartları ve Kredi Kartları Kanununun 4 üncü maddesi çerçevesinde faaliyet izni alarak takas ve mahsuplaşma faaliyetinde bulunan kuruluşları
ifade eder.
İKİNCİ BÖLÜM
Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler
Genel ilkeler
MADDE 5 – (1) Kuruluş, İlkeler Tebliğinin 4, 6, 7, 9, 10, 11, 12, 13, 14, 17, 21, 22 ve 33 üncü maddeleri ile 5 inci maddesinin birinci, ikinci, üçüncü ve dördüncü fıkralarına; 8 inci maddesinin birinci fıkrasına, ikinci fıkrasına, üçüncü fıkrasının (a), (b), (c), (ç), (d), (e), (f) ve (g) bentlerine, dördüncü fıkrasına, beşinci fıkrasına ve altıncı fıkrasına; 15 inci maddesinin birinci fıkrasının (a), (b), (c), (ç), (d) ve (e) bentlerine ve 16 ncı maddesinin ikinci fıkrasına tabidir. Bu maddelerde geçen “banka” ifadesi kuruluş; “müşteri” ifadesi kuruluştan hizmet alan üye kuruluşlar veya kişiler; “bankacılık faaliyetleri” ifadesi ise kuruluşun kendi faaliyetleri ve iş süreçleri olarak uygulanır.
(2) Kuruluşun birincil ve ikincil sistemlerini yurt içinde bulundurması zorunludur.
(3) Kuruluş, kendi alanına giren konularda sahtecilik ve dolandırıcılık olaylarını önleyici çalışmalar yapmak, güvenlik önlemleri saptamak, ilgili taraflar arasında gerekli bilgi paylaşımının sağlandığından emin olacak şekilde mekanizmalar kurmak ve sağlanan bilgi paylaşımının etkinliğini takip etmekle yükümlüdür.
(4) Sır kapsamındaki verilere ilişkin olarak kuruluş ile veri alışverişinde bulunan kişilere uygulanan kimlik doğrulama mekanizması birbirinden bağımsız en az iki bileşenden oluşur. Bu iki bileşen; kişinin “bildiği”, “sahip olduğu” veya “biyometrik bir karakteristiği olan” unsur sınıflarından farklı ikisine ait olmak üzere seçilir. Bileşenler tamamen kişinin şahsına özgü olur ve bunlar sunulmadan kimlik doğrulama gerçekleştirilemez, hizmetlere erişim sağlanamaz. 15/1/2004 tarihli ve 5070 sayılı Elektronik İmza Kanununun 4 üncü maddesinde düzenlenen güvenli elektronik imza kullanıldığı takdirde bu fıkradaki hükümler yerine getirilmiş sayılır. Elektronik imza vasıtasıyla kimlik doğrulama gerçekleştirmede yabancı elektronik sertifikaların kullanılması halinde, anılan Kanunun “Yabancı elektronik sertifikalar” başlıklı 14 üncü maddesinde ve ilgili alt düzenlemelerde yer alan hükümler geçerlidir. Müşteri bilgilerinin üçüncü taraflar ile paylaşılması için alınması gereken müşteri rızası, iki bileşenli kimlik doğrulama yapılması ve bilgilerin paylaşımına müşterinin onay verdiğinin gerektiğinde kanıtlanabilmesine yönelik tedbirlerin alınması şartıyla elektronik ortamda alınabilir.
(5) Sızma testi yılda en az bir defa yaptırılır.
Bilgi sistemleri süreklilik, acil ve beklenmedik durum planı
MADDE 6 – (1) Kuruluşun faaliyetlerini ve önemli iş fonksiyonlarını destekleyen bilgi sistemleri servislerinin sürekliliğini sağlamak üzere yönetim kurulu tarafından onaylanmış iş sürekliliği yönetimi ve planının bir parçası olan bilgi sistemleri süreklilik planı hazırlanır.
(2) Planın hazırlanması sürecinde, bilgi sistemleri varlıklarının ve tutulan verilerin önem düzeyi değerlendirilerek iş etki analizi çerçevesinde belirlenen kesintilerin etkileri analiz edilir. Bu analizin sonuçlarına göre her bir servis için kabul edilebilir kesinti süreleri Kurum ve Türkiye Cumhuriyet Merkez Bankasının görüşleri de alınarak yönetim kurulunca belirlenir, bu kesinti süresi içerisinde servisin tekrar erişime açılabilmesine imkân tanıyacak alternatifli kurtarmaprosedürleri geliştirilir ve buna göre gerekli önlemler alınır.
(3) Plan kapsamında, performans takip teknikleri kullanılır, kapasite planlaması yapılır, ağ ve iletişim altyapısından kaynaklanabilecek kesintilere karşı uygun alternatif kanallar oluşturulur. Bilgi sistemlerinin sürekliliğini sağlamak amacıyla, risk değerlendirmesi, risk azaltma ve risk izleme faaliyetleri gerçekleştirilir, bilgi sistemleri alt yapısının kapasitesinin ölçeklenebilirliği analiz edilir, işlem hacmi tahminleri doğrultusunda gerçekleştirilecek stres testleri ile alt yapının dayanıklılığı test edilir.
(4) Plan kapsamında ikincil merkez tesis edilir. Veri ve sistem yedekleri ikincil merkezde kullanıma hazır bulundurulur. İkincil sistemler ile ilgili bu Tebliğ ile getirilen hükümlere ilave yurt içinde yedek tesis edilmesi kuruluşun kendi ihtiyarındadır.
(5) Plan, kuruluşun iş süreçlerini veya bilgi sistemlerini etkileyecek değişikliklerden sonra gözden geçirilerek güncellenir. Mevcut planın etkinliğini ve güncelliğini temin etmek üzere testler yapılır, testlere varsa destek hizmeti kuruluşları da dâhil edilir ve test sonuçları üst yönetime raporlanır. Söz konusu testler kapsamında kuruluş yılda en az bir kez bütün üyelerin katılımıyla bir günlük operasyonlarının tamamını ikincil merkezi üzerinde gerçekleştirir.
(6) Kuruluş, bilgi sistemlerine ilişkin beklenmedik olayları yönetmek ve bunların etkilerini en aza indirmek üzere acil ve beklenmedik durum planı oluşturarak gerekli önlemleri alır, faaliyetlerin güvenilir bir şekilde sürdürülmesini sağlayan hızlı, etkili ve düzenli bir tepki süreci ile beklenmedik olayları erken haber almayı sağlayacak mekanizmaları tesis eder. Acil ve beklenmedik durum planı kapsamında, bilgi sistemlerine ilişkin olayın kaynağını hızlı bir şekilde bulmayı sağlama, hasarı tespit etme, olayın potansiyel boyutunu ve etkisini gösterme, yetkili yönetim birimine ulaştırılmasını sağlama ve etkilenen müşterileri tespit etme süreçleri ele alınır. Bilgi sistemlerine ilişkin beklenmedik olayların sonradan incelenmesine imkân tanıyacak, yetkili merciler tarafından talep edildiğinde kullanılabilecek nitelikte kayıt ve bilgileri toplayan bir mekanizma oluşturulur.
(7) Kuruluş, bilgi alışverişi, takas ve mahsuplaşma sisteminin sürekliliğinin sağlanabilmesi adına üye kuruluşlar tarafından alınması gerekli olan tedbirleri belirler ve yazılı olarak üyeleriyle paylaşır. Kuruluş, söz konusu önlemleri belirtilen tarihe kadar almayan üye kuruluşu, alınması talep edilen tedbir ve üye kuruluşa verilen süre ile birlikte en geç bir ay içerisinde Kuruma bildirir.
(8) Bu maddedeki hükümler İlkeler Tebliğinin 22 nci maddesi uyarınca sistemlerin sürekliliğinin sağlanması ile ilgili tesis edilmesi gereken kontrollere ilave hükümlerdir.
Bilgilerin doğruluğunun, güvenliğinin ve güncelliğinin sağlanması
MADDE 7 – (1) Bilgi alışverişi kuruluşları ve Risk Merkezi, üye kuruluşlar ile olan bilgi iletişiminin güvenli, doğru ve yeterli sıklıkta gerçekleşebilmesi için gerekli önlemleri alır; söz konusu önlemleri üye kuruluşa iletir ve bu önlemlerin yerine getirilmesini gözetir; bilgilerin ne ölçüde güncel tutulacağına ilişkin yönetim kurulu kararı alır ve bir ay içerisinde Kuruma ve Türkiye Cumhuriyet Merkez Bankasına yazılı olarak iletir.
(2) Kuruluş, Bankacılık Kanununun 73 üncü maddesine göre sır kapsamında olan bilgilerin üye kuruluş tarafından sorgulanmasına ilişkin işlemlere ait denetim izlerinin, bilgilerin ifşası durumunda üye kuruluş içindeki sorumluların tespitini sağlayacak nitelikte bir yıl süreyle üye kuruluş tarafından tutulmasını temin eder.
Destek hizmeti alınması
MADDE 8 – (1) İlkeler Tebliğinin 8 inci maddesinde belirtilen hükümlere ilave olarak, kuruluşun yapacağı destek hizmetlerine ilişkin sözleşmelerde:
a) Destek hizmeti kuruluşlarının gerçekleştirdiği faaliyetlere ilişkin olarak Kurumun ve kuruluşun bağımsız denetçisinin denetimine tabi olduğu,
b) Destek hizmeti kuruluşlarının gerçekleştirdiği faaliyetlere ilişkin olarak Kurumca talep edilen her tür bilgi ve belgeyi zamanında ve doğru olarak vermekle ve bunlara ilişkin her türlü elektronik, manyetik ve benzeri ortamlardaki kayıtları ve bu kayıtlara erişim ve kayıtları okunabilir hale getirmek için gerekli tüm sistem ve şifreleri incelemeye hazır bulundurmak ve işletmekle yükümlü olduğu,
c) Kuruluşun iç sistemler birimleri ile bağımsız denetçisinin, destek hizmeti alınan konuyla ilgili olarak hizmet veren kuruluştan her türlü bilgi ve belgeyi talep etme yetkisinin bulunduğuna,
ilişkin hususların belirtilmesi zorunludur.
(2) Destek hizmeti kuruluşunun sır kapsamındaki verilere elektronik ve fiziksel ortamda erişimini önleyici ve tespit edici kontrollerin tesis edilmesi koşuluyla, ikincil merkez destek hizmeti kuruluşundan tedarik edilebilir.
Kontrollerin takibi
MADDE 9 – (1) Kuruluş, iç sistemler kapsamında yürütülen iç denetim ve iç kontrol faaliyetlerinin bir parçası olarak, bu Tebliğ uyarınca tesis edilen kontrollerin etkinlik, yeterlilik ve uygunluğunun yanı sıra kontrol ile hedeflenen risk ya da risklerin etkisini azaltmaya yönelik performansı devamlı bir şekilde takip eder ve değerlendirir. Değerlendirme neticesinde tespit edilen önemli kontrol eksikleri üst yönetime raporlanır, gerekli tedbirlerin alınması sağlanır.
ÜÇÜNCÜ BÖLÜM
Bağımsız Bilgi Sistemleri ve İş Süreçleri Denetimi
Bağımsız bilgi sistemleri ve iş süreçleri denetimi
MADDE 10 – (1) Kuruluşun bilgi sistemleri, iş süreçleri ve iç sistemlerinin denetimi ve denetim sonuçlarının raporlanması BSDHY ile belirlenen usul ve esaslar çerçevesinde, BSDHY kapsamında yetkilendirilmiş veya izin verilmiş bağımsız denetim kuruluşlarınca gerçekleştirilir.
(2) BSDHY’de geçen “banka” ifadesi kuruluş; “bankacılık süreçleri” ifadesi ise kuruluşun iş süreçleri olarak uygulanır. İş süreçlerinin belirlenmesi ve denetim kapsamına dâhil edilmesinde, BSDHY’nin 5 inci maddesinde tanımlanan önemlilik kriteri dikkate alınır.
(3) Denetçi, kuruluşun destek hizmeti alarak gerçekleştirdiği hizmetlerin bilgi sistemlerini ve iş süreçlerini nasıl etkilediğini göz önünde bulundurur, denetimini buna göre planlar ve etkin bir denetim yaklaşımı geliştirir.
(4) İş süreçleri denetimi her yıl, bilgi sistemleri denetimi iki yılda bir kez yapılır. Kurum, gerekli gördüğü hallerde denetlenenlerden herhangi biri ya da tüm denetlenenler için, bu denetimlerin kapsamını ve sıklığını farklılaştırabilir.
İş akış şemaları ve yönetim beyanı
MADDE 11 – (1) Kuruluş iş süreçleri üzerinde kontrollerin ve iş adımlarının gösterildiği iş akım şemalarını oluşturmakla ve kuruluşun iç kontrolleri hakkında denetim dönemi itibarıyla güvence veren BSDHY’nin 33 üncü maddesi ve diğer alt düzenlemelerde belirtilen yönetim kurulu onaylı yönetim beyanını her denetim döneminde hazırlamakla yükümlüdür.
Denetim görüşünün oluşturulması ve denetim mektubu
MADDE 12 – (1) Kuruluşta gerçekleştirilen denetim sonucunda BSDHY’nin 5 inci ve 7 nci maddelerinde belirtilen hükümler ile 34 üncü maddesinde belirtilen görüş çeşitleri çerçevesinde; olumlu, şartlı veya olumsuz görüşe varılması hallerinde, sırasıyla Ek-1, Ek-2, Ek-3’te yer alan örneklere uygun olarak denetim mektubu düzenlenir. Görüş bildirmekten kaçınmayı gerektirecek şartların varlığı halinde ise, denetim mektubu Ek-4’te yer alan örneğe uygun olarak düzenlenir.
DÖRDÜNCÜ BÖLÜM
Çeşitli ve Son Hükümler
Kuruluşun tabi olduğu diğer düzenlemeler
MADDE 13 – (1) Tebliğde hüküm bulunmayan hallerde; kuruluşun tabi olduğu diğer düzenlemelerde ve uluslararası kabul görmüş bilgi teknolojileri kontrol hedefleri sunan COBIT dokümanlarında yer alan hükümler uygulanır.
Risk merkezi yönetiminin sorumluluğu
MADDE 14 – (1) Bu Tebliğ ile kuruluşun üst yönetimi ve yönetim kuruluna getirilen yükümlülükler, Risk Merkezi için Risk Merkezi Yönetiminin sorumluluğundadır.
Geçiş süreci
GEÇİCİ MADDE 1 – (1) Kuruluş mevcut faaliyet ve sistemlerini 1/1/2015 tarihine kadar bu Tebliğde yer alan hükümlere uygun hale getirir.
(2) Kuruluş, destek hizmeti aldıkları kuruluşlar ile imzaladıkları sözleşmeleri ve durumlarını birinci fıkrada belirtilen tarih itibarıyla bu Tebliğ hükümlerine uygun hale getirir.
(3) Kuruluş iş akış şemalarını 1/1/2014 tarihine, yönetim beyanını 30/1/2015 tarihine kadar hazırlar.
(4) Kuruluş 1/1/2014 tarihinden itibaren bilgi sistemleri ve iş süreçleri denetimlerini yetkili kuruluşlara yaptırmakla yükümlüdür.
Yürürlük
MADDE 15 – (1) Bu Tebliğ yayımı tarihinde yürürlüğe girer.
Yürütme
MADDE 16 – (1) Bu Tebliğ hükümlerini Bankacılık Düzenleme ve Denetleme Kurumu Başkanı yürütür.