Site icon Alomaliye.com Güncel Mevzuat, Muhasebe, Ekonomi, Vergi, SGK Haberleri

Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine İlişkin Tebliğ Taslağı

Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemleri

Bankacılık Düzenleme ve Denetleme Kurumundan:

Görüşlerinizi bsmevzuat@bddk.org.tr adresine e-posta ile iletebilirsiniz.

BİRİNCİ BÖLÜM

Amaç ve Kapsam, Dayanak ve Tanımlar

Amaç ve kapsam

MADDE 1 – (1) Bu Tebliğin amacı, bankalar tarafından yeni müşteri kazanımında ve müşteri kimliğinin doğrulanmasında kullanılabilecek uzaktan kimlik tespiti yöntemlerine ilişkin usul ve esasları düzenlemektir.

Dayanak

MADDE 2 – (1) Bu Tebliğ, 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanununun 76 ncı maddesinin ikinci fıkrası ve 15/3/2020 tarihli ve 31069 sayılı Resmî Gazete’de yayımlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliğin 43 üncü maddesi uyarınca düzenlenmiştir.

Tanımlar ve kısaltmalar

MADDE 3 – (1) Bu Tebliğde yer alan;

a) Açık rıza: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununda tanımlanan açık rızayı,

b) Banka: Kanunun 3 üncü maddesinde tanımlanan bankaları,

c) Basit cihazla görülebilen güvenlik öğeleri: Gözle net olarak görülemeyen ancak büyüteç ve benzeri basit alet ve yöntemlerle ayırt edilebilen hologram ve mikro yazı gibi güvenlik öğelerini,

ç) Beyaz ışık: Gün ışığı gibi görünürde renksiz olan ışığı,

d) Bilgi teknolojileri (BT): Herhangi bir biçimdeki verinin, girişinin yapılması, saklanması, işlenmesi, iletilmesi ve çıktılarının alınması için kullanılan donanım, yazılım, iletişim altyapısı ve ilgili diğer teknolojileri,

e) Gözle görülebilen güvenlik öğeleri: Bakıldığı anda çıplak gözle ayırt edilebilen giyoş, gökkuşağı baskı, optik değişken mürekkep, gizli görüntü ve hologram gibi güvenlik öğelerini,

f) Kanun: 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanununu,

g) Kimlik Paylaşımı Sistemi: 8/12/2006 tarihli ve 26370 sayılı Resmî Gazete’de yayımlanan Kimlik Paylaşımı Sistemi Yönetmeliğinde tanımlanan Kimlik Paylaşımı Sistemini,

ğ) Kişi: Uzaktan kimlik tespiti gerçekleştirilecek gerçek kişiyi,

h) Kurul: Bankacılık Düzenleme ve Denetleme Kurulunu,

ı) MRZ: 3/12/2019 tarihli ve 30967 sayılı Resmî Gazete’de yayımlanan Türkiye Cumhuriyeti Kimlik Kartı Yönetmeliğinde tanımlanan MRZ’yi,

i) Müşteri temsilcisi: Kişinin uzaktan kimlik tespitini gerçekleştirecek banka personelini,

j) SMS OTP: Yönetmelikte tanımlanan SMS OTP’yi,

k) Yakın alan iletişimi: Elektronik cihazların güvenilir, temassız işlem yapabilmesini ve sayısal içeriğe ve/veya elektronik cihazlara erişimini mümkün kılan, veri okuma ve yazmakta kullanılan kısa menzilli kablosuz teknolojiyi,

l) Yönetmelik: 15/3/2020 tarihli ve 31069 sayılı Resmî Gazete’de yayımlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği,

ifade eder.

İKİNCİ BÖLÜM

Uzaktan Kimlik Tespitine ilişkin Şartlar

Uzaktan kimlik tespitine ilişkin genel ilkeler

MADDE 4 – (1) Uzaktan kimlik tespiti, müşteri temsilcisi ile kişinin; fiziksel olarak aynı ortamda bulunmasına gerek olmadan, çevrim içi olarak görüntülü görüşmesi ve birbiriyle iletişim kurması ile gerçekleşir.

(2) Görüntülü görüşme ile uzaktan kimlik tespiti yöntemi bu Tebliğde belirtilen şartlar dâhilinde uygulanır. Uygulanacak yöntem, yüz yüze yapılan kimlik tespiti yöntemine benzer ve asgari seviyede risk ihtiva edecek şekilde tasarlanır.

(3) Uzaktan kimlik tespitinde kullanılacak görüntülü görüşme yönteminde olası teknolojik, operasyonel ve benzeri riskler dikkate alınarak yeterli güvenlik seviyesi oluşturulur.

(4) Uzaktan kimlik tespitine ilişkin süreçler ve sistemler, Yönetmeliğin 11 inci maddesinin beşinci fıkrası kapsamında, görevler ayrılığı prensibine uygun şekilde kritik bir işlem olarak değerlendirilir ve işlemin tek bir kişi tarafından başlatılması, onaylanması ve tamamlanmasına imkân vermeyecek şekilde tasarlanır ve işletilir.

(5) Bankanın belirlediği görüntülü görüşme ile uzaktan kimlik tespiti sürecinin uygulanmasından önce, süreç belgelenir ve sürecin etkinliği test edilerek sonuçları yazılı hale getirilir. Test sonuçlarına göre ihtiyaç duyulması halinde gerekli güncellemeler yapılır.

(6) Görüntülü görüşme ile uzaktan kimlik tespiti süreci yılda en az bir defa gözden geçirilir. Güvenlik olaylarının ve dolandırıcılık teşebbüslerinin tespit edilmesi veya gerçekleşmesi, ilgili mevzuatta değişiklik yapılması, bankanın muhtemel bir sahtekârlıktan haberdar olması ve kullanılan uzaktan kimlik tespiti yöntemine ilişkin zayıflıkların ortaya çıkması gibi durumlarda teknolojik gelişmeler ve uygulamada kazanılan deneyimler dikkate alınarak sürecin ayrıca gözden geçirilmesi sağlanır ve gerekli güncellemeler yapılır.

Görüntülü görüşme ile uzaktan kimlik tespitini gerçekleştirecek personel ve çalışma ortamı

MADDE 5 – (1) Görüntülü görüşme ile uzaktan kimlik tespiti, bankanın bu konuda eğitim almış müşteri temsilcisi tarafından yapılır.

(2) Müşteri temsilcisinin, kimlik tespitinde kullanılabilecek belgelerin özelliklerini ve bu belgeler için uygulanan geçerli doğrulama yöntemlerini öğrenmesi ve bilinen dolandırıcılık yöntemlerine, bu Tebliğde ve ilgili diğer mevzuatta yer alan yükümlülüklere ilişkin bilgi sahibi olması sağlanır. Kimlik tespiti sırasında kullanılacak belgelere, bu belgelerde var olan doğrulanabilir özelliklere ve doğrulamanın yapılması sırasında kullanılacak kriterlere ilişkin detaylı dokümanlar oluşturulur.

(3) Müşteri temsilcisinin, görüntülü görüşme ile uzaktan kimlik tespiti sürecine ilişkin yılda en az bir defa ve her bir güncelleme sonrasında eğitim alması sağlanır.

(4) Uzaktan kimlik tespiti sürecinde müşteri temsilcisinin, yaşanılabilecek güvenlik olaylarının engellenmesine yönelik gerekli tedbirlerin alındığı, erişimi sınırlandırılmış ayrı alanlarda çalışması sağlanır.

(5) Engelli kişilere hizmet verebilmek amacıyla en az bir müşteri temsilcisine gerekli eğitimlerin verilmesi sağlanır.

Görüntülü görüşme ile uzaktan kimlik tespiti sürecinde uyulması gereken ilkeler

MADDE 6 – (1) Görüntülü görüşme ile uzaktan kimlik tespitinin başlamasından önce kişinin başvurusu bir form ile alınır, alınan veriler kullanılarak kişi hakkında risk değerlendirmesi gerçekleştirilir.

(2) Müşteri temsilcisine uzaktan kimlik tespiti işlemleri atanırken suistimal olasılığını azaltmak için gerekli mekanizmalar tesis edilir.

(3) Bu Tebliğ kapsamında uygulanacak görüntülü görüşme ile uzaktan kimlik tespiti sürecinin başlangıcında kişinin açık rızası kayıt altına alınır.

(4) Kişi ile yapılan görüntülü görüşmede müşteri temsilcisinin soracağı asgari sorular belirlenir ve sorulan soruların sırası ve/veya türü değişkenlik arz eder.

(5) Görüntülü görüşme ile uzaktan kimlik tespiti gerçek zamanlı ve kesintisiz şekilde yapılır. Müşteri temsilcisi ile kişi arasındaki görsel-işitsel iletişimin bütünlüğünün ve gizliliğinin yeterli seviyede olması sağlanır. Bu amaçla, yapılan görüntülü görüşme uçtan uca güvenli iletişim ile gerçekleştirilir.

(6) Gerçekleşen iletişimin görüntü ve ses kalitesinin, yeterli seviyede ve bu Tebliğde yer alan hükümler ve kontroller çerçevesinde şüpheye yer bırakmayacak ve kimlik tespitinde herhangi bir kısıtlamaya imkân vermeyecek şekilde olması sağlanır. Görüntü kalitesi, sunulan belgeyi beyaz ışık altında görsel olarak doğrulayabilmeye ve sunulan belgenin yıpranmamış ya da tahrif edilmemiş olduğunu kontrol edebilmeye yönelik güvenlik öğelerinin incelenmesine olanak tanır.

(7) Görüntü kalitesini değerlendirmek amacıyla uygun görsel güvenlik öğeleri belirlenir ve kalitenin tüm görüşme esnasında yeterli seviyede olması gerekir.

Kullanılabilecek kimlik belgeleri ve bunların doğrulanması

MADDE 7 – (1) Görüntülü görüşme ile uzaktan kimlik tespiti sürecinde beyaz ışık altında görsel olarak ayırt edilebilen ve asgari olarak giyoş, gökkuşağı baskı, optik değişken mürekkep, gizli görüntü, hologram ve mikro yazı güvenlik öğelerine, fotoğraf ve ıslak imzaya sahip olan kimlik belgeleri kullanılır.

(2) Kimlik belgesinin sahip olduğu çıplak gözle veya basit cihazla görülebilen farklı optik güvenlik öğelerinden rastgele seçilen en az dört adedinin doğrulama kriterinin karşılanması ve yakın alan iletişimi kullanılarak kimlik belgesinin yongası üzerinde yer alan kimlik bilgilerinin doğrulanması, kimlik belgesinden kişinin kimliğinin tespit edilmesi için gereken eşleşmenin sağlandığı anlamına gelir.

(3) Görüntülü görüşme ile kimlik tespiti sırasında beyaz ışık altında görsel olarak ayırt edilebilen optik güvenlik öğelerinin, kimlik belgesinde bulunan ve belgenin eğik tutulmasıyla görünebilen her bir tekil öğe ile şekil ve içerik bakımından eşleşmesi sağlanır. Eşleşmeler uygun BT uygulamaları aracılığıyla gerçekleştirilir. Ayrıca, müşteri temsilcisi tarafından, ekran görüntüleri veya video kayıtları arasından seçilecek tekil fotoğraflar ile bir karşılaştırma yapılır.

(4) Görsel kimlik tespiti esnasında kişinin, kimlik belgesini kameranın önünde yatay veya dikey olarak eğmesi ve müşteri temsilcisinin vereceği talimata göre ilave hareketler yapması sağlanır. Bu amaçla kişiden, kimlik belgesinin güvenlikle ilgili kısımlarından sistem tarafından değişken ve rastgele şekilde belirlenen kısımlarına parmağını koyması istenir.

(5) Müşteri temsilcisi, görüntülü görüşme sürecinde kişiyi ve kişi tarafından sunulan kimlik belgesinin ön ve arka yüzü ile birlikte belgenin üzerindeki bilgileri gösteren fotoğraflar ve/veya ekran görüntüleri oluşturur.

(6) Müşteri temsilcisi, kişinin hareketlerinden alınan, kesilen ve büyütülen tekil görselleri kullanarak, beyaz ışık altında görsel olarak ayırt edilebilen tüm güvenlik öğeleri ile birlikte kimlik belgesinin doğru açıyla tam olarak kapsandığından ve kimlik belgesinin üzerindeki kısımlar arasındaki geçiş noktalarında tahrifatı gösteren hiçbir yapaylık bulunmadığından emin olur.

(7) Sunulan kimlik belgesinde bulunan veri ve bilgilerin geçerliliği ve gerçekliğine ilişkin doğrulama, görüntülü görüşme ile uzaktan kimlik tespiti sürecinin bir parçası olarak gerçekleştirilir. Bu kapsamda asgari olarak;

a) Kimlik belgesinde bulunması gereken, beyaz ışık altında görsel olarak ayırt edilebilen ve belgedeki karakterlerin yazı tipi, düzeni, sayısı, büyüklüğü, aralığı ve tipografisi gibi belgeyi çıkaran yetkili makamca tanımlanan özelliklere sahip olduğu,

b) Kimlik belgesinin zarar görmemiş, tahrif edilmemiş, değiştirilmemiş ve özellikle üzerine sonradan fotoğraf yapıştırılmamış olduğu,

c) Kimlik belgesi geçerlilik süresinin bu türden kimlik belgelerinin sahip olduğu standartlara aykırı olmadığı,

ç) Kimlik belgesinin MRZ’sinde yer alan bilgiler ile kimlik belgesine ait bilgilerin uyuştuğu,

d) Kişiye ilişkin kimlik belgesinde yer alan bilgilerin banka tarafından bilinen, Kimlik Paylaşımı Sisteminden alınan ve varsa kimlik tespiti yapmak amacıyla bankanın erişimine açık olan diğer bilgiler ile eşleştiği,

e) Kişiden görüntülü görüşme sırasında varsa kimlik belgesinde yer alan seri numarası, doğrulanır.

Kimliği tespit edilecek kişinin doğrulanması

MADDE 8 – (1) Görüntülü görüşme ile uzaktan kimlik tespiti sırasında kişinin canlılığını tespit edici teknikler kullanılır. Kişinin yüzü ile kimlik belgesinde yer alan fotoğrafın biyometrik karşılaştırması yapılır.

(2) Müşteri temsilcisi, kullanılan kimlik belgesindeki fotoğrafın ve kişisel bilgilerin kişi ile uyuştuğundan emin olur. Kimlik belgesinde yer alan fotoğrafın, veriliş tarihinin ve doğum tarihinin tutarlılığı kontrol edilir.

(3) Müşteri temsilcisi, kimlik tespiti sürecinde psikolojik sorgulamalar ve gözlemler yardımıyla kimlik belgesindeki bilgilerin, görüşme esnasında kişi tarafından sağlanan bilgilerin ve belirtilen niyetin inandırıcı ve yeterli olduğuna kanaat getirir. Bu amaçla, örneğin, kimlik belgesi üzerindeki fotoğrafın doğruluğunu kontrol etmek üzere kişinin yaşının yanı sıra kimlik belgesi üzerindeki doğum tarihi ve yeri ile ilgili sorular sorar.

(4) Müşteri temsilcisinin, kişinin banka müşterisi olma veya bankacılık hizmetlerinden yararlanma isteğini kendi iradesiyle bankadan talep ettiğine şüphe bırakmayacak şekilde karar verebilmeleri konusunda eğitim alması sağlanır. Bu kapsamda kimlik avına, sosyal mühendisliğe, başka bir tarafın zoru ya da zorlamasıyla baskı altında gerçekleşen hareketlere ve benzeri sahtekârlık yöntemlerine ilişkin riskler göz önünde bulundurulur.

Görüntülü görüşme ile kimlik tespiti sürecinin sonlandırılması

MADDE 9 – (1) Zayıf ışık koşulları, düşük görüntü kalitesi ya da iletimi ve benzeri durumlar nedeniyle bu Tebliğde belirtildiği şekilde görsel doğrulama yapmanın ve/veya kişi ile sözlü iletişim kurmanın mümkün olmadığı hallerde uzaktan kimlik tespiti süreci iptal edilir. Süreçte herhangi başka bir tutarsızlık veya belirsizlik bulunması durumunda da bu hüküm uygulanır.

(2) Uzaktan kimlik tespiti sırasında kişi tarafından sunulan belgelerin geçerliliği hususunda ya da sahtecilik veya dolandırıcılık teşebbüsünden şüphe edilmesi durumunda, yüz yüze görüntülü görüşme ile uzaktan kimlik tespiti süreci sonlandırılır.

işlem doğrulama kodunun iletimi

MADDE 10 – (1) Görüntülü görüşme esnasında, kişiye yalnızca yapılan kimlik tespiti işlemi için geçerli, merkezi olarak üretilen SMS OTP iletilir. İletilen SMS OTP’nin kişi tarafından çevrim içi olarak uygulama ara yüzü üzerinden geri gönderilmesi sağlanır. Kişinin söz konusu SMS OTP’yi uygulama ara yüzüne girmesi ve sistemde bu doğrulama kodunun başarılı şekilde onaylanması durumunda uzaktan kimlik tespiti işlemi tamamlanmış olur.

Verilerin saklanması

MADDE 11 – (1) Uzaktan kimlik tespiti sürecinin tamamı, sürecin tüm adımlarını içerecek şekilde kayıt altına alınır ve saklanır. Bilgi ve belge saklama gereklilikleri diğer mevzuatın bilgi ve belge saklama ile ilgili hükümleri aynen saklı kalmak koşuluyla uygulanır.

Uzaktan kimlik tespitinde sorumluluk

MADDE 12 – (1) Uzaktan kimlik tespiti için kullanılan çözümlerin kişiyi yanlış tespit riskini en aza indirecek şekilde kullanılmasını sağlamak bankanın sorumluluğundadır. Banka uzaktan kimlik tespiti ile kimlik tespiti gerçekleştirdiği kişileri farklı bir risk profilinde izler. Bu kişilerce yapılan işlemin türüne ve tutarına bağlı olarak ilave güvenlik ve kontrol yöntemleri uygulanır. Kişilere ya da üçüncü bir tarafa yükümlülük doğuran işlemlerde itiraz halinde ispat yükümlülüğü bankadadır.

(2) Bu Tebliğde yer alan şartlar dâhilinde uzaktan kimlik tespitinin yapılması halinde kimlik doğrulamada Yönetmeliğin 34 üncü maddesinin birinci fıkrasının gerekleri yerine getirilmiş sayılır.

(3) Bankanın Yönetmelikte ve bu Tebliğde yer alan hükümlere uyum durumu, şikâyetler ve dolandırıcılık olayları gibi unsurların değerlendirilmesi neticesinde ve gerekli görülen hallerde uzaktan kimlik tespiti kullanımını kısıtlamaya veya durdurmaya Kurul yetkilidir.

ÜÇÜNCÜ BÖLÜM

Çeşitli ve Son Hükümler

Yürürlük

MADDE 13 – (1) Bu Tebliğ 1/1/2021 tarihinde yürürlüğe girer.

Yürütme

MADDE 14 – (1) Bu Tebliğ hükümlerini Bankacılık Düzenleme ve Denetleme Kurumu Başkanı yürütür.

Exit mobile version