BDDK elektronik bankacılıkta yüksek güvenlik istedi
Güncelleme Tarihi:
Bankacılık Düzenleme ve Denetleme Kurumu (BDDK), bankalardan, internet bankacılığı ve ATM üzerinden yapılan işlemlerde, yüksek güvenlik esaslarının uygulanmasını istedi.
BDDK, bankaların faaliyetlerinde kullandıkları bilgi sistemlerinin esaslarını yeniden belirledi. Yapılan düzenlemede, müşterilerin internet veya ATM'de kullanacakları şifre, parola ve diğer kimlik doğrulama kriterlerine ilişkin her aşamada yüksek güvenliğe dayalı bilgi denetimi getirilmesi istendi.
BDDK, tarafından hazırlanan "Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin" tebliğe göre, bankalar bilgi teknolojilerinden kaynaklanacak olumsuzlukları risk olarak ele alacak. Bilgi sistemleri üzerinde etkin ve yeterli iç kontrollerin oluşturulması yönetim kurulunun sorumluluğunda olacak. Bilgi sisteminin güvenlirliği ve tutarlılığı belli sürelerde yapılacak sızma testleri ile kontrol edilecek.
DENETİM İZLERİ 3 YIL SAKLANACAK
Müşterinin kimlik doğrulama bilgisinin oturumun başından sonuna kadar doğru olmasını garanti edecek gerekli önlemler alınacak. Veri tabanlarına yetkisiz erişim girişimleri kayıt altına alınacak ve düzenli olarak gözden geçirilecek. Kayıt sisteminin her türlü yetkisiz sistemsel ve kullanıcı müdahalesine karşı korunmasına yönelik önlemler alınacak. Yapılacak uygulamaların denetim izleri 3 yıl boyunca banka tarafından saklanacak. Bankalar müşterilere ait bilgi parola, şifre gibi kayıtların gizliliğini garanti edecek.
Bankanın üst düzey yönetimi iş yönetimi ve kurtarma planı geliştirerek, sistemin devamlılığını sağlayacak önlemler alacak. Bankalar müşterilerin veri işleme, onaylama ve değiştirmelerini kaynak noktasına en yakın yerde gerçekleştirilmesini sağlayacak.
MÜŞTERİLER PAROLA DEĞİŞTİRMEYE ZORLANACAK
Internet bankacılığı uygulamasında banka, risk düzeylerine uygun güvenilir bir kimlik doğrulama mekanizması oluşturacak. kimlik doğrulama sisteminden geçemeyen müşterilerin hizmetlerden yararlanmasına izin verilmeyecek. Ayrıca, değişken parola kullanan müşteri bir süre sonra parolasını değiştirmeye zorlanacak. Kimlik doğrulamada kullanılacak şifreleme anahtarları; bu anahtarların ele geçirilme olasılığını en aza indiren, gizliliğini sağlayan, değiştirilmesini ve bozulmasını önleyecek yöntemler barındıracak şekilde müşteri kullanımına sunulacak. Müşterilerin üst üste kimliklerini doğrulayamaması durumunda sisteme erişim bankaca bloke edilecek.
ATM’lerde ise bankalar cihazlara zararlı içerikli programların yüklenmesini engelleyecek tedbirler alacak. Ayrıca, banka ATM’lerdeki güvenliği belli aralıklarla denetleyecek. Bugünkü Resmi Gazete'de yayınlanan tebliğ, 1 Ocak 2008 tarihinden itibaren yürürlüğe girecek.