Bankalar için yeni bir dönem
14 Eylül tarihli Resmi Gazete’de bir tebliğ yayınlandı. 1 Ocak 2008 tarihinde yürürlüğe girecek bu tebliği hazırlayansa BDDK yani tam adıyla Bankacılık Düzenleme ve Denetleme Kurumu. Tebliğin tam adı “Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ”.
BDDK bu tebliğde kısaca bankalara diyor ki; internet bankacılığı ve ATM üzerinden yapılan işlemlerde yüksek güvenlik esaslarını uygulayın.
BDDK bunun nasıl olacağının çerçevesini de kendince çizmiş. Yaptığı düzenlemede, bankalara, müşterilerinizin internet veya ATM’de kullandıkları şifre, parola ve diğer kimlik doğrulama işlemlerini her aşamada yüksek güvenliğe dayalı olarak denetleyin, diyor.
Yine bu tebliğe göre, bankalar bilgi teknolojilerinden kaynaklanacak olumsuzlukları risk olarak ele alacak. Bilgi sistemleri üzerinde etkin ve yeterli iç kontrollerin oluşturulması yönetim kurulunun sorumluluğunda olacak. Bilgi sisteminin güvenilirliği ve tutarlılığı belli sürelerde yapılacak sızma testleri ile kontrol edilecek.
Bankalar, müşterilerinin kimlik doğrulama bilgilerinin oturumun başından sonuna kadar doğru olmasını garanti edecek gerekli önlemler alacaklar. Bankalar müşterilere ait bilgi parola, şifre gibi kayıtların gizliliğini garanti edecek. Veri tabanlarına yetkisiz erişim girişimleri kayıt altına alınacak ve düzenli olarak gözden geçirilecek. Kayıt sisteminin her türlü yetkisiz sistemsel ve kullanıcı müdahalesine karşı korunmasına yönelik önlemler alınacak. Yapılacak uygulamaların denetim izleri 3 yıl boyunca banka tarafından saklanacak.
Müşteriler belli aralıklarla parolalarını değiştirmeye zorlanacak. Kimlik doğrulamada kullanılacak şifreleme anahtarları; bu anahtarların ele geçirilme olasılığını en aza indiren, gizliliğini sağlayan, değiştirilmesini ve bozulmasını önleyecek yöntemler barındıracak şekilde müşteri kullanımına sunulacak. Müşterilerin üst üste kimliklerini doğrulayamaması durumunda sisteme erişim bankaca bloke edilecek.
Tebliğ, gerek yönetim kurullarına gerekse de üst düzey yöneticilere de belli sorumluluklar yükleyerek bu şekilde uzayıp gidiyor. Internet bankacılığında kullanıcılar için değil ama bankalar için 1 Ocak 2008’den itibaren yeni bir dönem başlayacak.
(Bu yazının bir kısmı 23 Eylül 2007 tarihli Para dergisinde yayınlanmıştır.)