Bankacılık Düzenleme ve Denetleme Kurumu Bilgi Sistemleri Uyum Dairesi Başkanı Mustafa Aydın

Günümüzde finansal sistemin gelişmesi ve derinleşmesi bağlamında önemli bir kavram haline gelen açık bankacılığın ülkemizdeki gelişim sürecini anlattı. Açık bankacılık uygulamalarının güvenlik riskleri hakkında değerlendirmelerini paylaşan Mustafa Aydın, BDDK’nın bu süreçteki rolü ile birlikte, kurum olarak bu konudaki çalışmalarını da anlattı.

Ülkemizde açık bankacılığın gelişim sürecini nasıl değerlendiriyorsunuz?

 Bildiğiniz üzere 2007 yılında Avrupa Birliği (AB) ülkelerinde “Payment Services Directive” (PSD) yayımlanmış ve 2009 yılında yürürlüğe girmişti. AB ülkeleri arasında ödeme piyasasının güvenli, hızlı ve verimli bir şekilde çalışmasını amaçlayan PSD, gözden geçirilme sonucunda daha sıkı güvenlik önlemleri içeren versiyonuyla 2015 tarihinde PSD 2 olarak güncellendi. PSD 2’nin yayımlanması ile birlikte Hesap Bilgileri Hizmet Sağlayıcıları (AISP – Account Information Service Providers) ve Ödeme Başlatma Hizmet Sağlayıcıları (PISP – PaymentInitiation Service Providers) olarak iki yeni ödeme hizmetine de yasal zemin oluşturuldu.

Bununla birlikte Eylül 2016’da Birleşik Krallık Rekabet ve Piyasalar Kurumu (UK Competition and Markets Authority-CMA) tarafından Açık Bankacılık Uygulama Kurumu (OBIE-Open Banking Implementation Entity) kurulmuş, dokuz özel büyük banka açık API yapısına geçmiş ve OBIE bünyesinde faaliyete başlamıştı.

Açık bankacılık uygulamalarının bankalar ve finansal tüketiciler açısından yarattığı güvenlik riskleri nelerdir?

Teknolojik gelişmelerle birlikte bankacılık hizmetleri de eş zamanlı, hızlı, çeşitli ve etkin çözümler sunan bir dönüşüm sürecine girmiştir. Teknolojik gelişmelere paralel olarak güvenlik riskleri ve önlemleri de değişim göstermiştir. Yaşanan bu dönüşümle birlikte bankaların sunduğu elektronik bankacılık hizmetlerine ilişkin kullanıcı beklentilerinin artması, alınması gereken güvenlik önlemlerinin de önemini artırmıştır.

“Veri güvenliği ve gizliliği noktasında soru işaretlerinin devam ettiği görülmekte”

Banka hizmetlerinin üçüncü kişi hizmet sağlayıcıların uygulamalarından da müşterilere ulaştırılması ihtiyacına binaen açık bankacılık kavramı gündeme gelmektedir. Kullanıcıların kullandıkları çeşitli uygulamalardan da bankacılık hizmetlerine ulaşmak istemesi, birden fazla bankada hesaplarının bulunması durumunda bu hesapları tek bir uygulamadan yönetmek istemesi gibi durumlarda açık bankacılık hizmetleri karşımıza çıkmaktadır. Müşterinin izni doğrultusunda temel bankacılık hizmetlerinin bankalar tarafından kendileri haricindeki diğer finansal kuruluşlara açılması ancak uygun güvenlik önlemleri alınarak mümkün olabilecektir.

Açık bankacılık taraflara birçok kolaylık sunmakla birlikte bazı risk ve tehdit unsurları da barındırmaktadır. Özellikle, yeni ortaya çıkan bir kavram olması dolayısıyla standartlaşmış ve yasal altyapısının henüz mevcut olmadığı değerlendirilmektedir. Diğer taraftan, çalışma biçiminin veri paylaşımına bağlı olması dolayısıyla veri güvenliği ve gizliliği noktasında soru işaretlerinin devam ettiği görülmektedir. Veri paylaşımı arttıkça bu verilerin güvenliğinin sağlanması adına alınan tedbirlerin bu doğrultuda güçlenmesi ve veri paylaşımının güvenli bir şekilde gerçekleşebilmesi için teknik ve hukuki altyapısı detaylı bir şekilde kurgulanmış bir sistemin oluşturulması gerekmektedir.

Bankaların müşteri verisi anlamında dışarıyla veri paylaştığı noktaların sayısının artacağı dolayısıyla siber saldırı ve veri sızıntısı bakımından tehdit yüzeyinin de artacağı, bu bakımdan AISP ve PISP gibi kuruluşlar ile bankalar arasındaki veri aktarım mekanizmasının uçtan uca güvenliği sağlayacak şekilde bir standardizasyona bağlanması gerektiği düşünülmektedir.

PSD 2 mevzuatı çerçevesinde bankalar ve finans kurumları kendi API kullanım standartlarını belirleyerek açık bankacılık hizmeti sunmaktadırlar. Bu durum, açık bankacılık faaliyeti sunan AISP ve PISP için bankalar ve finans kurumları ile ayrı ayrı entegrasyon kurma zorunluluğu oluşturmaktadır. Her bir banka veya finansal kuruluş ile ayrı ayrı sistem kurulması açık bankacılık faaliyetlerinin standartlaşması anlamında zorlukları beraberinde getirmektedir.

Dünya’da ise ABD, Japonya, Kanada, Hong Kong, Hollanda, Almanya, Singapur gibi ülkelerin de açık bankacılık hizmetleri sunulması adına çeşitli çalışmalar yaptığını görmekteyiz. Açık bankacılık hizmetleri ülkelerde, ülke bazında ihtiyaçlara cevap verecek şekilde ve müşteri memnuniyeti göz önünde bulundurularak sunulmakta, dolayısıyla farklılıklar gösterebilmektedir. Açık bankacılık hizmetleri sunulurken kuruluşlar arasında API’ler kullanılmaktadır. Dünya’daki açık bankacılık hizmetlerine bakıldığında çoğunlukla müşterilerin hesap verilerine erişmesini ve finansal yönetim hizmetlerini geliştirmesini sağlayan hesaplar API’si, müşterilerin önceden yetkilendirilmiş banka kartı verilerini entegre etmesini sağlayan kartlar API’si, müşteri hesaplarından ödemelerin başlatıldığı ödemeler API’si, en yakın Şube ve ATM’yi gösteren konum API’sinin kullanıldığını söyleyebiliriz.

Haberin devamı için Call Center Life 63. sayı↵