Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetlerinde Bilgi Güvenliği

Yazar: Onur Korucu

1. GİRİŞ

Ülkemizin lokomotif sektörlerinin başında gelen bankacılık sektörü, son dönemde yürürlüğe giren ve bankaların faaliyetlerini etkileyen önemli düzenlemeler ile yeni bir döneme girmiştir. 25 Şubat 2020 tarihli ve 31050 sayılı Resmi Gazete’de yayımlanan 7222 sayılı Bankacılık Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (“Kanun”) kapsamında 5411 sayılı Bankacılık Kanunu’nda (“Bankacılık Kanunu”) önemli değişiklikler yapılmış ve yapılan değişiklikler ile bankalara veri yönetimi, bilgi güvenliği ve kişisel verilerin korunması hususunda önemli düzenlemeler getirilmiştir.

15 Mart 2020 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik (“Yönetmelik”) Bankacılık Kanunu’nda yapılan değişikliklere uygun olarak hazırlanmış olup, benzer derecede önemli yükümlülükler içermektedir. Yönetmelik’te bankaların bilgi sistemleri yönetimine ilişkin maddeler uluslararası bilgi sistemleri denetim standartlarını (COBIT, ISO 27001 vb.) referans alarak hazırlanmıştır.7 Nisan 2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesi ile finansal hizmet ve bankacılık sektörleri, mevcut uygulamalardan daha sıkı bir veri koruması rejimine tabi kılınmıştır.

Günümüzde teknolojinin değişerek gelişmesi, kurumların bilgi sistemleri fonksiyonlarını daha önemli ve vazgeçilmez hale getirmiştir. Ülkemiz genelinde dijitalleşme kavramının giderek yaygınlaşması ile bilişim teknolojileri (BT) kabiliyetleri, Türkiye’de faaliyet gösteren bankaların iş yapış şekline uygun olarak belirlenerek müşteri odaklı olacak şekilde katma değere dönüştürülmektedir. Bankaların müşterileriyle gerçekleştirdikleri elektronik bilgi akışı ve operasyonlarında internet teknolojilerinden yararlanmaları yepyeni bilişim risklerini beraberinde getirirken, BT denetiminin önemini öne çıkarmıştır.

Bankacılık sektöründe iş yapısının belirlenmesinde bilişim en büyük değişken faktörü olarak rol oynamaktadır. Bankaları rekabet açısından güçlenebilmesi, sektöre ait teknolojik yenilikleri yakından takip ederek bunları kendilerine uyarlaması ile mümkün olabilecektir. Çünkü bankacılık sektörü içerisinde otomasyon sistemi ile beraber teknolojik alt yapının geliştirilmiş olması birçok yönden avantaj sağlamaktadır. Bankacılık sektörü içerisinde yaşanan teknolojik gelişmeler hayatı kolaylaştırmaktadır. [1][2]

Kişisel Verilerin Korunması Kanunu (KVKK)’nda kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi veri sorumlusu olarak tanımlanmıştır. Bu tanım çerçevesinde bankalar veri sorumlusu addedilmektedir. Bankaların iş modelleri gereği işledikleri kişisel verilerin güvenliğinin sağlanması hususunda yükümlülükler, Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) tarafından 15 Mart 2020 tarihinde yürürlüğe giren Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik ile bildirilmiştir.

2. BANKACILIK SEKTÖRÜNDE BİLGİ SİSTEMLERİ VE BİLGİ GÜVENLİĞİ

Bankacılık sektöründe teknoloji araçlarının kullanımı, geleneksel bankacılık uygulamalarını değiştirmiş ve bankalara farklı misyonlar yüklemiştir. Söz konusu teknolojilerin kullanımı yalnızca bir rekabet aracı olarak kullanılmamış, aynı zamanda bankacılık felsefesinin değişmesine öncülük edecek süreçlerin tekrar tasarlanmasına sebebiyet vermiştir. [3]  Yoğun rekabet ortamında müşteri memnuniyetini en üst noktaya çıkarmayı hedefleyen bankalar, dijital bankacılık hizmetlerinde çeşitlilikler oluşturarak müşterinin en hızlı şekilde bankacılık hizmetini alabilmesini sağlayacak çözümler üretme yoluna girmiştir. [4] Coğrafi sınırların ortadan kalkması, bankalar açısından operasyonel işlemlerin ve maliyetlerin azalması, müşteriler açısından şubeye gitmeye gerek kalmadan neredeyse banka şubesinde yapabileceği her türlü işlemi çevrimiçi olarak gerçekleştirebilmesi internet bankacılığının gelişmesini ve kullanımının artmasını beraberinde getirmiştir. [5] Bankacılık sektöründe teknoloji temelli tasarlanan yeni süreçler bilişim sistemlerinin denetlenmesi ve bilgi güvenliği unsurlarına ilişkin gereksinimlerin karşılanması ihtiyacını doğurmuştur. 25 Şubat 2020 tarihli ve 31050 sayılı Resmi Gazete’de yayımlanan 7222 sayılı Bankacılık Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun kapsamında 5411 sayılı Bankacılık Kanunu’nda önemli değişiklikler yapılmış ve yapılan değişiklikler ile bankalara özellikle bilgi güvenliği hususunda önemli düzenlemeler getirilmiştir. 15 Mart 2020 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik Bankacılık Kanunu’nda yapılan değişikliklere uygun olarak hazırlanmış olup, benzer derecede önemli yükümlülükler içermektedir. Bankacılık sektöründe özellikle geçtiğimiz yürürlüğe giren yasal düzenlemeler ile bankalarda bilgi sistem operasyonları, kişisel verilerin korunması, elektronik bankacılık faaliyetlerinin dijital dönüşümü gibi konuların bilgi güvenliği çerçevesi etkili bir şekilde çizilmiştir.

3. BANKACILIK SEKTÖRÜ VE KİŞİSEL VERİLERİN KORUNMASI KANUNU İLİŞKİSİ

Kişisel verilerin korunması hakkı ülkemizde 2010 yılında anayasal teminata bağlanmıştır. Bu tarihe kadar, kişisel veriler daha çok genel hukuki düzenlemelerde yer alan hükümler ile korunmaktaydı. Türk Medeni Kanunu (TMK)  ve Türk Ceza Kanunu’nda (TCK)  kişilik hakkı ile kişisel verilerin korunmasına yönelik hükümler ve yaptırımlar bu düzenlemelere örnek gösterilebilir. 7 Nisan 2016 tarihinde 29677 sayılı karar ile 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Türkiye’de kişisel veri olarak değerlendirilen verilerin kullanılması, işlenmesi, paylaşılması, saklanması gibi her türlü veri ilişkili faaliyetin sınırları belirlenmiş ölçüde ve uluslararası standartlara tabi olacak şekilde düzenlenmesi ve güvence altına alınmasını amaçlanmıştır. Kişisel veri, içeriği ve sınırları kesin çizgilerle tanımlanamayan bir kavram olmakla birlikte, kişinin doğumu ile birlikte edindiği ve zaman içerisinde kişilik gelişiminin yanı sıra, hayatımıza giren sosyal ve ekonomik yeniliklerle birlikte nitelik ve niceliği genişleme eğilimi gösteren bilgileri kapsamaktadır.  Anayasal bir hak olarak kişisel verilerin korunmasını isteme hakkı bugün sıklıkla hayatımızda karşılaştığımız KVKK önemini vurgular niteliktedir. Kişisel verilerin korunması, uluslararası akitlerde özel hayata ve aile hayatına saygı hakkı ile bağdaştırılmakla birlikte, aslında temel hak şeklinde düzenlenmiştir.

Kişisel verilerin korunmasının temelinde de bireyin hak ve özgürlüklerinin korunması düşüncesinin yatması nedeniyle, bugüne kadar yapılan çalışmalarda daha çok hukuki kavramlar üzerinden hareket edilmiş ve kavramsal çerçeve daha çok hukuk terminolojisi üzerine inşa edilmiştir. [6]

Bankacılık sektörü açısından KVKK büyük önem taşımaktadır. Zira bankalar birçok sayıda kişisel veriyi işlemekte ve bünyesinde barındırmaktadır. Özellikle kişisel verilerin yoğun şekilde kullanıldığı elektronik bankacılık hizmetleri kapsamında operasyonel ve bilgi sistemleri riskleri gün geçtikçe artmaktadır. Bankacılık Kanunu İle Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun’un 10. maddesi ile 5411 sayılı Bankacılık Kanunu’nun “Sırların Saklanması” başlıklı 73. maddesine şu hükümler eklenmiştir,  “Bankacılık faaliyetlerine özgü olarak bankalarla müşteri ilişkisi kurulduktan sonra oluşan gerçek ve tüzel kişilere ait veriler, müşteri sırrı hâline gelir. Diğer kanunların emredici hükümleri saklı kalmak kaydıyla, müşteri sırrı niteliğindeki bilgiler, bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hâller haricinde, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca müşterinin açık rızası alınsa dahi, müşteriden gelen bir talep ya da talimat olmaksızın yurt içindeki ve yurt dışındaki üçüncü kişilerle paylaşılamaz ve bunlara aktarılamaz. Kurul ekonomik güvenliğe ilişkin yapacağı değerlendirme neticesinde, müşteri sırrı ya da banka sırrı niteliğinde olan her türlü verinin, yurt dışındaki üçüncü kişilerle paylaşılmasını ya da bunlara aktarılmasını yasaklamaya, ayrıca bankaların faaliyetlerini yürütmede kullandıkları bilgi sistemleri ve bunların yedeklerinin yurt içinde bulundurulması hususunda karar almaya yetkilidir. Bu maddede belirtilen sır saklama yükümlülüğünden istisna tutulan hâllerde yapılacak paylaşımlar da dâhil olmak üzere, müşteri sırrı ve banka sırrı niteliğindeki bilgiler, sadece belirtilen amaçlarla sınırlı olmak ve ölçülülük ilkesine uygun olarak bu amaçların gerektirdiği kadar veriyi içermek kaydıyla paylaşılabilir.”

“Sır niteliğindeki bilgilerin, üçüncü ve dördüncü fıkralar uyarınca yapılacak paylaşım ve aktarımlarına ilişkin kapsam, şekil, usul ve esasları belirlemeye veya bunlara ilişkin sınırlamalar getirmeye Kurul yetkilidir.”

Değişiklik yapılmadan önce, Bankacılık Kanunu’nda müşteri sırrı ifadesi yer almakla birlikte, bu kavrama ilişkin herhangi bir tanıma yer verilmemişti. Müşteri sırrı, bankacılık faaliyetleri kapsamında bankayla herhangi bir şekilde hukuki ilişki kuran ya da kurmak üzere olan kişilerin iktisadi, mali, ticari ve mesleki durumları hakkında bankanın edindiği her türlü bilgiler ile bu kişilerin yararlandıkları ya da yararlanmak istedikleri bankacılık hizmetlerine ya da kurulan hukuki ilişkiye ait bilgilerdir. [7]

Müşteri sırrı niteliğindeki verilerin paylaşım ve aktarımlarına ilişkin kapsam, şekil, usul ve esasları belirleme ve bunlara ilişkin sınırlamalar getirme yetkisinin BDDK’da olduğu değişiklikte ifade edilmiştir. Bu açıdan veri ihlaline sebep olan bir banka hakkında hem BDDK hem de Kişisel Verileri Koruma Kurulu tarafından karar alınabilecektir.

Bankaların bilgi sistemleri ve elektronik bankacılık hizmetleri için yasal uyum çerçevesinde bankalar tarafından her türlü veri işleme faaliyetine tabi olan kişisel veri ve müşteri sırrı niteliği taşıyan bilginin gereken bilgi güvenliği şartlarını sağlaması ve uygulamada belirlenen denetim gereksinimlerine bütüncül bir yaklaşımla gereken güvence unsurlarını tamamlaması şarttır. [8]

4. BANKACILIK SEKTÖRÜ İLE ULUSLARARASI BİLGİ SİSTEMLERİ DENETİM STANDARTLARI İLİŞKİSİ

4.1. ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Standardı

ISO 27001 Bilgi Güvenliği Yönetim Standardı ilk olarak BS 7799 (Security Management Standard) adı ile 1995 yılında İngiliz Standartlar Enstitüsü (British Standards Institute-BSI) tarafından yayınlanmıştır. Daha sonra 2000 yılında ISO (Uluslararası Standartlar Organizasyonu) tarafından bünyesine alınarak ISO / IEC17799 adını almıştır. Son olarak 2005 yılında revize edilerek kurumların bilgi varlıklarının güvenliğine odaklanan ISO 27000 ailesine katılarak ISO 27001 adını almıştır. ISO 27001’in en güncel versiyonu ISO/IEC 27001:2013 adlı, 2013 yılında yayınlanmış, ardından 2017 yılında güncellenmiş versiyonudur.

ISO 27001, kurumların bilgi güvenliği yönetimi süreçlerinin oluşturulması, kurumların veri güvenliğine ilişkin risklerin en aza indirgenmesi faaliyetlerinin tayin edilmesi ve kurumun bilgi güvenliğini ciddiye aldığının bir ifadesi olması sebepleri ile düzenleyici makamlar tarafından kabul görmüştür. [9]

Kurumsal bilgi güvenliği, kurumların bilgi varlıklarının tespit edilmesini, zafiyetlerinin belirlenmesini, oluşabilecek tehdit ve tehlikelerden korunması için güvenlik analizlerinin yapılmasını ve önlemlerin alınmasını içermektedir. [10] [11]

4.2. Bilgi İçin Kontrol Hedefleri ve İlgili Teknolojiler (COBIT)

Bilgi için Kontrol Hedefleri ve İlgili Teknolojiler (Control Objectives for Information and related Technology-COBIT), Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve ‘Bankacılık Süreçlerinin Denetimi Hakkında Yönetmelik’ uyarınca denetim kaynağı olarak bildirilen ISACA kaynağıdır. COBIT özellikle mevcut bilgi teknolojileri yönetişim sorunlarını çözmek için tanınmış uluslararası denetim çerçevesini temsil etmektedir. [12] COBIT, bilgi teknolojilerinin yönetişimi ve yönetimi için uluslararası boyutta kabul görmüş bir çerçeve olup, BT yönetişimi hususunda kurum yöneticilerini ve bağımsız denetçileri destekleyerek operasyon ve BT hedeflerinin başarılmasını sağlar.  [13] Başta bankacılık sektörü olmak üzere birçok farklı sektörde, BT yönetişimi konusunda COBIT çerçeve yaklaşımı ve standartları esas alınmaktadır. COBIT, bilgi teknolojileri yönetişim üzerinde belirli bir odak noktası sağlayan en olgun modellerden biridir. [14]

4.3. Bilgi Sistemleri ve Elektronik Bankacılık Hizmetlerine İlişkin Güncel Düzenlemelerde Uluslararası Standartların Etkisi

BDDK tarafından 15 Mart 2020 tarihli 31069 sayılı Resmi Gazete’de kademeli olarak yürürlüğe girmiş olan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’in 46. maddesi, “(1) Bu Yönetmeliğin 13’üncü maddesi, 29’uncu maddesi, 34’üncü maddesinin on üçüncü fıkrası ile on beşinci fıkrası, 37’nci maddesinin sekizinci fıkrası, 40’ıncı maddesi ve 42’nci maddesi 1 Temmuz 2020 tarihinde, diğer hükümleri ise 1 Ocak 2021 tarihinde yürürlüğe girer.” şeklinde değiştirilmiştir. Böylelikle Yönetmeliğin, daha önce 1 Temmuz 2020 olarak belirlenen yürürlük tarihi, Covid-19 salgını sebebiyle oluşan şartlar göz önüne alınarak 1 Ocak 2021 olarak tekrar düzenlenmiştir. 20 Haziran 2020 tarihli Resmi Gazete’de yayımlanan Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğin Yürürlükten Kaldırılmasına Dair Tebliğde Değişiklik Yapılması Hakkında Tebliğ ile İlkeler Tebliği”nin yürürlük tarihi 6 ay uzatılmış olup; yeni yürürlükten kaldırılma tarihi 1 Ocak 2021 olarak belirlenmiştir.

1 Temmuz 2020 tarihinde yürürlüğe girmiş olan maddeler;

• Yönetmelik’in 13. maddesi; İz kayıtlarının oluşturulması ve takibi,
• Yönetmelik’in 29. maddesi; Dış hizmet alımı sürecinin yönetimi,
• Yönetmelik’in 34. maddesinin elektronik dağıtım kanallarına ilişkin 13. fıkrası; Kimlik doğrulama ve işlem güvenliği,
• Yönetmelik’in 34. maddesinin mobil cihazlar üzerindeki bankacılık uygulamalarının kullandığı hassas verilere ilişkin 15. fıkrası; Kimlik doğrulama ve işlem güvenliği,
• Yönetmelik’in 37. maddesinin Bankanın elektronik ortamda müşterilerine ileteceği hassas verilere ilişkin 8. fıkrası; Müşterilerin bilgilendirilmesi,
• Yönetmelik’in 40. maddesi; Telefon bankacılığında kimlik doğrulama, işlem güvenliği ve hizmet kalitesi,
• Yönetmelik’in 42. maddesi; ATM’lerde kimlik doğrulama ve işlem güvenliği, olarak bildirilmiştir.

Türkiye’nin veri güvenliği ve teknoloji yatırımı en büyük olan sektörlerinin başında gelen bankacılık sektöründe özellikle 2020 yılında yürürlüğe giren yasal düzenlemeler, daha gelişmiş bir bankacılık sisteminin modellenmesine atılan bir adım ve yeni bir bankacılık döneminin başlaması niteliğindedir. Bilgi ve finans teknolojilerindeki dönüşüm bankacılık sektöründe mevcut düzenlemelerin gözden geçirilmesinde ve bilgi sistemleri dinamiklerinin daha olgun bir seviyede yürütülmesinde momentum olmuştur. Yönetmelik’in, çalışmada bahsedilen ve veri güvenliğini yakından ilgilendiren yasal düzenlemelerin gereksinimleri ile paralel içerikte olup, özellikle KVKK ile gelen uyum esaslarıyla bütünleşik bir yaklaşımda olduğu gözlemlenebilir. [15]

Diğer yönetmelik ve kanun yaklaşımlarında olduğu gibi bankaların öngörülen süre zarfında gerekli aksiyonları alıp uyumun sağlanması beklenmektedir. Mevcut düzende her yıl COBIT uyumluluk denetimi gerçekleştiren bankalar yeni yönetmelik ile uluslararası standart ve çerçevelere daha da yakınlaştırılmıştır.

Yönetmelik incelendiğinde yapılan değişikliklerle her ne kadar resmi olarak ISO 27001 Bilgi Güvenliği Yönetim Sistemi beklentisi direkt ifade edilmese dahi, standardın kapsamına paralel gereksinimlerin bulunduğu gözlemlenebilir. Bankalar COBIT yönetişim çerçeve yaklaşımlarını gerek yasal uyum gerek denetim fonksiyonlarında kanunun çizdiği şekilde takip etmektedirler. Yeni yönetmelik ile bu çerçeve yaklaşımlara ek olarak Türkiye’de birçok sektörün yine çeşitli kanunlar yaptırımı ile aşina olduğu ISO 27001 standardına yaklaşılmıştır. Uluslararası standartlar göz önünde bulundurularak Yönetmelik maddeleri değerlendirildiğinde ilişkili kontroller ile sınıflanabilmektedir.

Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’in bilgi güvenliğinin sağlanması konularına ağırlık vermesi özellikle dikkat çekicidir.

Yönetmelik’te Bilgi Sistemlerine İlişkin Risk Yönetimi ve Kontrollerin Tesisi:

• Yönetmelik 4. maddesi, Yönetmelik 5. maddesi, Yönetmelik 8. maddesi, Yönetmelik 11. maddesi, Yönetmelik 21. maddesi; Bilgi Sistemleri Yönetişimi
• Yönetmelik 6. maddesi; Bilgi Sistemleri (BS) Risklerin Yönetilmesi
• Yönetmelik 7. maddesi, Yönetmelik 9. maddesi, Yönetmelik 10. maddesi, Yönetmelik 12. maddesi, Yönetmelik 13. maddesi, Yönetmelik 14. maddesi, Yönetmelik 15. maddesi, Yönetmelik 16. maddesi, Yönetmelik 17. maddesi, Yönetmelik 18. maddesi, Yönetmelik 19. maddesi, Yönetmelik 20. maddesi; Bilgi Güvenliği Yönetimi
• Yönetmelik 22. maddesi, Yönetmelik 23. maddesi, Yönetmelik 24. maddesi, Yönetmelik 25. maddesi; Sistem Geliştirme ve Değişiklik Yönetimi
• Yönetmelik 26. maddesi, Yönetmelik 27. maddesi, Yönetmelik 28. maddesi; Bilgi Sistemleri Sürekliliği ve Erişilebilirlik Yönetimi
• Yönetmelik 29. maddesi; Bilgi Sistemlerine İlişkin Dış Hizmet Alma
• Yönetmelik 31. maddesi, Yönetmelik 32. maddesi, Yönetmelik 33. maddesi; Bilgi Sistemleri (BS) İç Kontrol ve İç Denetim Faaliyetleri

Elektronik Bankacılık Hizmetleri:

• Yönetmelik 34. maddesi, Yönetmelik 35. maddesi, Yönetmelik 36. maddesi, Yönetmelik 37. maddesi, Yönetmelik 38. maddesi; Elektronik Bankacılık Hizmetleri
• Yönetmelik 35. maddesi; İnternet Bankacılığı
• Yönetmelik 40. maddesi Mobil Bankacılık
• Yönetmelik 41. maddesi Telefon Bankacılığı
• Yönetmelik 42. maddesi Açık Bankacılık Servisleri
• Yönetmelik 43. maddesi ATM Bankacılığı.

Yönetmelikte KVKK’ya paralel olacak şekilde “Müşterinin, bilgilerini paylaşmaya dair açık rıza göstermesi verilecek hizmet için bir ön şart haline getirilemez.” hususu belirtilmiş ve ilgili verilerin paylaşımına yönelik net ifadelerle sınırlandırılma yapılmıştır. Bankacılık kanununda yer alan istisnalar dışında, müşteri sırrı niteliğindeki verilerin yurt içindeki veya yurt dışındaki üçüncü kişilerle paylaşabilmesi için müşterilerinin, ispat edilebilir izninin alınması gerekmektedir. Yönetmelikte direk atıflarla ifade edilen kişisel veri tanımlaması ve tekrarlanması KVKK’nın etkinliğini ve kanun koyucu mertebesindeki etkisini yadsınamaz şekilde göstermektedir.  Kişisel veriye, hassas veri yaklaşımı ile gizlilikte üst limit uygulaması getirilmesi ve anahtar yönetimi, şifreleme anahtarlarının yaşam döngüsü boyunca güvenliğinin sağlanması vurgulanmıştır.

SONUÇ

Dünya genelinde yaşanan teknolojik gelişmeler, farklı sektörlerde geleneksel olarak sağlanan hizmetlerin elektronik ortamlara aktarılmasını sağlayarak dijitalleşmenin yaygınlaşması ile sağlanan erişim kolaylığının yanı sıra, birçok bilişim riskinin artmasına da neden olmuştur. Bu gelişmelerden en çok etkilenen sektörlerin başında bankacılık ve finansal hizmetler sektörleri gelmektedir. Gelişmekte olan dünyanın genç kuşağı, daha çok veri paylaşan, daha fazla çevrimiçi hizmetlerden faydalanan özellikleri ile veri paylaşımına bağlı risklere karşı daha açık olmaktadır. Türkiye’de veri güvenliğine ilişkin güncel yasal düzenlemelere bakıldığında, dünyada genelinde gözlemlenen veri güvenliği hukuk ekosistemi ile paralel olduğu görülmektedir. Dijital dönüşümün yaygınlaşması, veri güvenliğinin sağlanmasını zorlaştırmış ve tüm iş modeli ve mevzuat uyumlarının kökeni haline getirmiştir. Kurumlar veri güvenliğinin sağlanması konusunda birbirinden farklı yaklaşımları benimseyerek, aynı güvenlik amaçları ile denetim ve kontrol fonksiyonlarını sağlamaktadır.

Dijital dönüşümün hızlanmasıyla bankacılık sektöründe müşterilere sağlanan hizmetlerin hatasız, kesintisiz ve güvenli bir şekilde sürdürülmesi en önemli öncelikler arasında yerini almıştır. Dünyada ve ülkemizde alınan tedbirler doğrultusunda uzaktan çalışma iş modeli, pandemi döneminde çoğu işyeri ve işverence sosyal mesafenin ve izolasyonun sağlanabilmesi amacıyla başvurulan bir araç olmuştur. Gündelik operasyonların sağlanmasında “elektronik bankacılık”, müşteriler için bir seçenek olmaktan çıkmış ana bankacılık kanalı haline gelmiştir. İnternet bankacılığı ve mobil bankacılık kanallarının kullanımının yaygınlaşmasıyla beraber müşterilerin işlemlerini bilişim ortamlarında gerçekleştirmesi oranını çok yüksek seviyelerde arttırmıştır. Güncel süreçte BDDK tarafından yayımlanan yasal düzenlemeler bankacılık sektöründe yeni dijital dönemin başladığının kanıtıdır.

KVKK’nın yürürlüğe girmesi her sektörü olduğu gibi bankacılık sektörünü de yakından etkilemiş, akabinde bankacılık sektöründe yürürlüğe giren güncel yasal düzenlemelere belirli ölçüde yön vermiştir. Bankacılık sektöründe bilgi sistemleri ve elektronik bankacılık hizmetlerinin güvenlik gereksinimlerini sağlaması yaklaşımı, sektörün yıllardır denetim bazını oluşturan ve uyumluluk ölçeği olarak kabul gören uluslararası çerçeve COBIT kontrollerine ek olarak ISO 27001 uluslararası bilgi güvenliği standardı kontrolleri ile desteklenmiştir. Bankacılık sektöründe uluslararası bilgi güvenliği standartlarının etkin ve etkili yönetim modelleri ile uygulanması, yasal mevzuatlara yeknesak bir şekilde uyum sağlanması yönünde kurumları daha güçlü kılacaktır.

Elektronik Para İşleyiş Sistemi ve Riskler isimli yazımızı bağlantıdan okuyabilirsiniz.

Hukuk ve Bilişim Dergisi 9. Sayısına da bağlantıdan ulaşabilirsiniz.

KAYNAKÇA

[1] Akata, K. G./Dikdak, S./Kırbaş, İ.: Bilgi Teknolojilerinin Toplum ve İşletmeler Üzerindeki Etkileri, İnet-Tr’15, XX. Türkiye’de İnternet Konferansı, 2015, Aralık, İstanbul Üniversitesi.

[2] Shaikh, A. A./Karjaluoto, H.: “Mobile Banking Adoption: A Literature Review” Telematics and Informatics, 32(1), 2015, s.129-142.

[3] Güvenç, D./Yücebalkan, B.: Bankacılık Sektöründe Teknolojik Gelişimin İşgücüne Yansımaları. Hukuk ve İktisat Araştırmaları Dergisi, 2017, 9 (2) , s.30-43.

[4] Demirel, A.C.: Dijital Bankacılık ve Türkiye’deki Mevcut Durumunun Analizi, Yüksek Lisans Tezi, Başkent Üniversitesi Sosyal Bilimler Enstitüsü, Ankara, 2017,  s.65.

[5] Armağan, E./Temel, E.: “Türkiye’de İnternet Bankacılığı Kullanımında Demografik Faktörlerin Tüketici Algısına Etkisi Üzerine Ampirik Bir Çalışma”, CBÜ Sosyal Bilimler Dergisi, 14(2), 2016, s. 411-436.

[6] Şimşek, O.: Anayasa Hukukunda Kişisel Verilerin Korunması, İstanbul, Beta Basım, 2008.

[7] Alıcı Y.: Bankacılık Kanunu Şerhi, On İki Levha Yayıncılık İstanbul, 2017, s.1289.

[8] Koçaşlı, İ. O.: “Yeni Teknolojilerin Türk Bankacılık Sektörüne Ekonomik Etkileri”, Journal Of Current Researches On Social Sciences, cilt 7, Sayı:3, 2017, s.363-374.

[9] ISO: ISO/IEC 27001:2013 Information technology – Security techniques – Information security management systems – Requirements.  Erişim adresi: https://www.iso.org/standard/54534.html

[10] Doğantimur F.: ISO 27001 Standardı Çerçevesinde Kurumsal Bilgi Güvenliği. Maliye Bakanlığı Strateji Geliştirme Başkanlığı, Mesleki Yeterlilik Tezi, Ankara, 2009, s. 8.

[11] Vural Y./Sağıroğlu Ş.: “Kurumsal Bilgi Güvenliği ve Standartları Üzerine Bir İnceleme. Gazi Üniversitesi Mühendislik ve Mimarlık Fakültesi Dergisi”. 23(2), 2008, s.507-522.

[12] Bernrioder, E.W.N./Ivanov, M.: “IT Project Management Control The Control Objectives For IT Related Technology (COBIT) Framework”, International Journal of Project Management, cilt 29, 2011, s.325-336.

[13] ISACA: Glossary of Terms English – Turkish First Edition, 2018, Erişim adresi: https://www.isaca.org/resources/glossary  (Erişim tarihi: 18.03.2021)

[14] Pederiva, V.: “The COBIT Maturity Model in the Vendor Evaluation Case”, Information Systems Control Journal, 2003, s.13.

[15] KPMG: Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetlerinde Yeni Dönem, Gündem dergisi, Erişim adresi: https://assets.kpmg/content/dam/kpmg/tr/pdf/2020/11/Gundem-37.pdf, 2020.