Bankalar, internette ’sık sık şifre değiştir’ diyecek
Güncelleme Tarihi:
Oluşturulma Tarihi: Eylül 15, 2007 00:00
Elektronik bankacılıkta güvenlik isteyen Bankacılık Düzenleme ve Denetleme Kurumu (BDDK), bankaların, faaliyetlerinde kullandıkları bilgi sistemlerinin esaslarını yeniden belirledi.
Dünkü Resmi Gazete’de yayınlanan ve 1 Ocak 2008 tarihinden itibaren yürürlüğe tebliğ ile BDDK, bankalardan, internet bankacılığı ve ATM üzerinden yapılan işlemlerde, yüksek güvenlik esaslarının uygulanmasını istedi. Tebliğe göre, internet bankacılığında değişken parola kullanan müşteri bir süre sonra parolasını değiştirmeye zorlanacak.
YÖNETİM KURULUNUN SORUMLULUĞU: BDDK, "Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin" tebliği ile, müşterilerin internet veya ATM’de kullanacakları şifre, parola ve diğer kimlik doğrulama kriterlerine ilişkin her aşamada yüksek güvenliğe dayalı bilgi denetimi getirilmesi istendi. Buna göre, bankalar bilgi teknolojilerinden kaynaklanacak olumsuzlukları risk olarak ele alacak. Bilgi sistemleri üzerinde etkin ve yeterli iç kontrollerin oluşturulması yönetim kurulunun sorumluluğunda olacak. Bilgi sisteminin güvenilirliği ve tutarlılığı belli sürelerde yapılacak sızma testleri ile kontrol edilecek.
DENETİM İZLERİ 3 YIL SAKLANACAK: Müşterinin kimlik doğrulama bilgisinin oturumun başından sonuna kadar doğru olmasını garanti edecek gerekli önlemler alınacak. Veri tabanlarına yetkisiz erişim girişimleri kayıt altına alınacak ve düzenli olarak gözden geçirilecek. Kayıt sisteminin her türlü yetkisiz sistemsel ve kullanıcı müdahalesine karşı korunmasına yönelik önlemler alınacak. Yapılacak uygulamaların denetim izleri 3 yıl boyunca banka tarafından saklanacak. Bankalar müşterilere ait bilgi parola, şifre gibi kayıtların gizliliğini garanti edecek. Bankanın üst düzey yönetimi iş yönetimi ve kurtarma planı geliştirerek, sistemin devamlılığını sağlayacak önlemler alacak. Bankalar müşterilerin veri işleme, onaylama ve değiştirmelerini kaynak noktasına en yakın yerde gerçekleştirilmesini sağlayacak.
KİMLİK DOĞRULAMA MEKANİZMASI: Internet bankacılığı uygulamasında banka, risk düzeylerine uygun güvenilir bir kimlik doğrulama mekanizması oluşturacak. kimlik doğrulama sisteminden geçemeyen müşterilerin hizmetlerden yararlanmasına izin verilmeyecek. Ayrıca, değişken parola kullanan müşteri bir süre sonra parolasını değiştirmeye zorlanacak. Kimlik doğrulamada kullanılacak şifreleme anahtarları, bu anahtarların ele geçirilme olasılığını en aza indiren, gizliliğini sağlayan, değiştirilmesini ve bozulmasını önleyecek yöntemler barındıracak şekilde müşteri kullanımına sunulacak. Müşterilerin üst üste kimliklerini doğrulayamaması durumunda sisteme erişim bankaca bloke edilecek.
Her ATM’ye güvenlik kamerası konulacak
BDDK tebliğine göre, bankalar, ATM cihazlarının bulunduğu yerlere güvenlik kamerası koyacak. Bu kamera, müşterinin klavye hareketlerini göremeyecek biçimde konumlandırılacak. Güvenlik kamerası kayıtları en az 2 ay süreyle saklanacak. Kameranın çalışıp çalışmadığı da sık sık kontrol edilecek. Görüntüleme alanı ATM’leri de kapsayan bir güvenlik kamerası altyapısı olan bankaların, ATM için ayrıca bir kamera kurması istenmeyecek. Ayrıca kamu güvenlik ve istihbarat kurumlarının faaliyet bölgesinde bulunan ATM’ler için de ilgili kurumlardan izin alınacak. Bunun yanı sıra bankalar, ATM’lerde cihazlara zararlı içerikli programların yüklenmesini engelleyecek tedbirler alacak.
YÖNETİM KURULUNUN SORUMLULUĞU: BDDK, "Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin" tebliği ile, müşterilerin internet veya ATM’de kullanacakları şifre, parola ve diğer kimlik doğrulama kriterlerine ilişkin her aşamada yüksek güvenliğe dayalı bilgi denetimi getirilmesi istendi. Buna göre, bankalar bilgi teknolojilerinden kaynaklanacak olumsuzlukları risk olarak ele alacak. Bilgi sistemleri üzerinde etkin ve yeterli iç kontrollerin oluşturulması yönetim kurulunun sorumluluğunda olacak. Bilgi sisteminin güvenilirliği ve tutarlılığı belli sürelerde yapılacak sızma testleri ile kontrol edilecek.
DENETİM İZLERİ 3 YIL SAKLANACAK: Müşterinin kimlik doğrulama bilgisinin oturumun başından sonuna kadar doğru olmasını garanti edecek gerekli önlemler alınacak. Veri tabanlarına yetkisiz erişim girişimleri kayıt altına alınacak ve düzenli olarak gözden geçirilecek. Kayıt sisteminin her türlü yetkisiz sistemsel ve kullanıcı müdahalesine karşı korunmasına yönelik önlemler alınacak. Yapılacak uygulamaların denetim izleri 3 yıl boyunca banka tarafından saklanacak. Bankalar müşterilere ait bilgi parola, şifre gibi kayıtların gizliliğini garanti edecek. Bankanın üst düzey yönetimi iş yönetimi ve kurtarma planı geliştirerek, sistemin devamlılığını sağlayacak önlemler alacak. Bankalar müşterilerin veri işleme, onaylama ve değiştirmelerini kaynak noktasına en yakın yerde gerçekleştirilmesini sağlayacak.
KİMLİK DOĞRULAMA MEKANİZMASI: Internet bankacılığı uygulamasında banka, risk düzeylerine uygun güvenilir bir kimlik doğrulama mekanizması oluşturacak. kimlik doğrulama sisteminden geçemeyen müşterilerin hizmetlerden yararlanmasına izin verilmeyecek. Ayrıca, değişken parola kullanan müşteri bir süre sonra parolasını değiştirmeye zorlanacak. Kimlik doğrulamada kullanılacak şifreleme anahtarları, bu anahtarların ele geçirilme olasılığını en aza indiren, gizliliğini sağlayan, değiştirilmesini ve bozulmasını önleyecek yöntemler barındıracak şekilde müşteri kullanımına sunulacak. Müşterilerin üst üste kimliklerini doğrulayamaması durumunda sisteme erişim bankaca bloke edilecek.
Her ATM’ye güvenlik kamerası konulacak
BDDK tebliğine göre, bankalar, ATM cihazlarının bulunduğu yerlere güvenlik kamerası koyacak. Bu kamera, müşterinin klavye hareketlerini göremeyecek biçimde konumlandırılacak. Güvenlik kamerası kayıtları en az 2 ay süreyle saklanacak. Kameranın çalışıp çalışmadığı da sık sık kontrol edilecek. Görüntüleme alanı ATM’leri de kapsayan bir güvenlik kamerası altyapısı olan bankaların, ATM için ayrıca bir kamera kurması istenmeyecek. Ayrıca kamu güvenlik ve istihbarat kurumlarının faaliyet bölgesinde bulunan ATM’ler için de ilgili kurumlardan izin alınacak. Bunun yanı sıra bankalar, ATM’lerde cihazlara zararlı içerikli programların yüklenmesini engelleyecek tedbirler alacak.