Ödeme ve Elektronik Para Kuruluşları Veri Paylaşım Servisleri
01 Aralık 2021 Tarihli Resmi Gazete
Sayı: 31676
Türkiye Cumhuriyet Merkez Bankasından:
BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak ve Tanımlar
Amaç ve kapsam
MADDE 1 – (1) Bu Tebliğin amacı, ödeme kuruluşları ve elektronik para kuruluşlarının faaliyetlerinin yürütülmesinde kullandıkları bilgi sistemlerinin yönetimi ve yetkilendirilmiş bağımsız denetim kuruluşları tarafından denetlenmesi ile ödeme hizmeti sağlayıcılarının ödeme hizmetleri alanındaki veri paylaşım servislerine ilişkin usul ve esasları düzenlemektir.
Dayanak
MADDE 2 – (1) Bu Tebliğ, 20/6/2013 tarihli ve 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanunun 12 nci, 14 üncü, 14/A, 18 inci ve 21 inci maddelerine dayanılarak hazırlanmıştır.
Tanımlar ve kısaltmalar
MADDE 3 – (1) Bu Tebliğde yer alan;
a) Açık rıza: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 3 üncü maddesinin birinci fıkrasının (a) bendinde tanımlanan açık rızayı,
b) Alıcı: Ödeme işlemine konu fonun ulaşması istenen gerçek veya tüzel kişiyi,
c) Anonim ön ödemeli araç: Herhangi bir şekilde ödeme hesabına bağlı olmayan ve kimlik tespiti veya doğrulaması yapılmamış, (Ek ibare:RG-7/10/2023-32332)9/4/2008 tarihli ve 26842 sayılı Resmî Gazete’de yayımlanan Mali Suçları Araştırma Kurulu Genel Tebliği (Sıra No: 5)’nin 2.2.9 uncu maddesinin birinci paragrafında ve 2.2.11 inci maddesinin birinci paragrafında belirtilen parasal sınırlar dahilinde kalan,önceden ödeme ya da yükleme yapılması suretiyle kullanılabilir hale gelen, tekrar yükleme yapılma imkanı bulunan veya bulunmayan şekilde ihraç edilebilen ve yüklenen bakiye kadar kullanıma izin verilen ön ödemeli aracı,
ç) API: Farklı yazılımların birbirleri üzerinde tanımlanmış servisleri kullanabilmesi ve aralarında veri alışverişi yapabilmesi için belirli koşul ve kurallar çerçevesinde oluşturulmuş arayüzleri,
d) Aydınlatma: 6698 sayılı Kanunun 10 uncu maddesi kapsamında yapılacak bilgilendirmeyi,
e) Bağımsız denetim kuruluşu: Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumu tarafından yetkilendirilmiş bağımsız denetim kuruluşlarından Bankacılık Düzenleme ve Denetleme Kurumu tarafından yayımlanan Bankalarda Bilgi Sistemleri Denetimi Yapmaya Yetkili Bağımsız Denetim Kuruluşları listesinde yer alan bağımsız denetim kuruluşunu,
f) Banka: Türkiye Cumhuriyet Merkez Bankası Anonim Şirketini,
g) Banka ödeme sistemi: Banka tarafından işletilen ödeme sistemlerini,
ğ) Bilgi sistemleri: Ödeme hizmetine ilişkin faaliyetlerin yürütülmesi amacıyla ödeme hizmeti sağlayıcısının bilgi ve verilerle ilgili olarak mevzuatla belirlenmiş sorumluluklarının yerine getirilmesini sağlayan donanım, yazılım, veri, süreç ve insan kaynağından oluşan yapının tamamını,
h) Bilgi varlığı: Kurumsal bilgiye erişimde ve bu bilginin işlenmesinde, iletilmesinde, saklanmasında, korunmasında ve imhasında kullanılan donanım, yazılım, belge, veri ve insan gibi her türlü kaynağı,
ı) Birincil merkez: Birincil sistemlerin tesis edildiği yapıyı,
i) Birincil sistemler: Kanun, Yönetmelik, bu Tebliğ ve Bankaca Kanun kapsamında çıkarılacak ilgili diğer düzenlemelerde yer alan hususlarla ilgili bütün bilgilerin, elektronik ortamda güvenli ve istenildiği an erişime imkân sağlayacak şekilde saklanıldığı sistemler ile faaliyetlerin yürütülmesinde kullanılan altyapı, donanım, yazılım ve veriden oluşan sistemin tamamını,
j) Biyometrik veri: Kimlik doğrulama işlemlerinin gerçekleştirilmesi esnasında kullanılan retina, iris, yüze ait karakteristik özellikler, ses ve parmak izi benzeri kişiye özgü ölçülebilir biyolojik veya davranışsal karakteristiği,
k) BKM: Bankalararası Kart Merkezi Anonim Şirketini,
l) BKM-API Geçidi: Kanunun 12 nci maddesinin birinci fıkrasının (f) ve (g) bentlerinde yer alan ödeme hizmetlerinin sunulması için Yönetmeliğin 59 uncu maddesinin beşinci fıkrası uyarınca BKM tarafından kurulacak yapıyı,
m) (Değişik:RG-7/10/2023-32332)BSİSBDHY: 31/12/2021 tarihli ve 31706 altıncı mükerrer sayılı Resmî Gazete’de yayımlanan Bilgi Sistemleri ve İş Süreçleri Bağımsız Denetimi Hakkında Yönetmeliği,
n) Değişiklik yönetimi: Önceden belirlenmiş prosedürlerin kullanımı yoluyla bilgi sistemleri ile ilgili tüm değişikliklerin etkin ve güvenli bir şekilde ve zamanında gerçekleştirilmesini sağlamayı ve bu değişikliklerden kaynaklanabilecek olayların sayısı ile bu olayların sunulan hizmetler üzerindeki etkisini asgari düzeye indirmeyi amaçlayan bilgi sistemleri hizmet yönetimi disiplinini,
o) Denetim izleri: Bir finansal ya da operasyonel işlemin başlangıcından bitimine kadar adım adım takip edilmesini sağlayacak kayıtlar ile bilgi varlıklarına kimin eriştiğini veya erişmeye çalıştığını ve kullanıcının hangi işlemleri gerçekleştirdiğini gösteren kayıtları,
ö) Dış hizmet sağlayıcı: Kuruluşun, Yönetmeliğin 21 inci maddesi çerçevesinde münhasıran kendisi tarafından yapılması gerekenler dışında kalan faaliyetlerini kuruluş adına gerçekleştiren ya da gerçekleştirilmesinde kuruluşa yardımcı nitelikte hizmet veren tüzel kişiyi,
p) Elektronik kanal: Müşterilerin ödeme hizmeti sağlayıcısının fiziksel şube ve temsilcilerine gitmeden uzaktan ödeme hizmeti alabildikleri mobil uygulama, internet şubesi, telefon hizmetleri, ATM, kiosk cihazı, API ve benzeri her türlü elektronik hizmet yöntemini,
r) Elektronik para: Elektronik para ihraç eden kuruluş tarafından kabul edilen fon karşılığı ihraç edilen, elektronik olarak saklanan, Kanunda tanımlanan ödeme işlemlerini gerçekleştirmek için kullanılan ve elektronik para ihraç eden kuruluş dışındaki gerçek ve tüzel kişiler tarafından da ödeme aracı olarak kabul edilen parasal değeri,
s) Elektronik para ihraç eden kuruluş: Elektronik para kuruluşlarını, 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanunu kapsamındaki bankaları ve Posta ve Telgraf Teşkilatı Anonim Şirketini,
ş) Elektronik para kullanıcısı: Gönderen, alıcı veya her ikisi sıfatıyla elektronik para ihraç eden kuruluşların sunduğu elektronik para ihracı ve fona çevirme hizmetlerinden faydalanan gerçek veya tüzel kişiyi,
t) Elektronik para kuruluşu: Kanun kapsamında elektronik para ihraç etme yetkisi verilen tüzel kişiyi,
u) Fon: Banknot, madeni para, kaydi para veya elektronik parayı,
ü) Gönderen: Kendi ödeme hesabından veya ödeme hesabı bulunmaksızın ödeme emri veren gerçek veya tüzel kişiyi,
v) Güçlü kimlik doğrulama: Kimlik doğrulamada kullanılan ve bir bileşenin ele geçirilmesinin diğer bileşenin güvenliğini tehlikeye atmayacağı en az iki bileşenden oluşan, bu iki bileşenin de müşterinin bildiği, sahip olduğu veya biyometrik bir karakteristiği olan bileşen sınıflarından farklı ikisine ait olacak şekilde seçildiği yöntemi,
y) Güvenli bileşen: İçinde barındırdığı gizli verilerin yetkisiz kişilerce erişilmesine, kopyalanmasına ve kendi dışına çıkarılmasına imkân vermeyen SIM kart, akıllı kart gibi bileşeni,
z) Hassas müşteri verisi: Ödeme emrinin verilmesinde veya müşterinin kimliğinin doğrulanmasında kullanılan ve üçüncü kişilerce ele geçirilmesi veya değiştirilmesi halinde dolandırıcılık ya da müşteri adına sahte işlem yapılmasına imkân verebilecek kişisel veriler ile müşteri güvenlik bilgilerini,
aa) Hesap bilgisi hizmeti: Kanunun 12 nci maddesinin birinci fıkrasının (g) bendinde tanımlanan hizmeti,
bb) Hesap bilgisi hizmeti sağlayıcısı – HBHS: Kanunun 12 nci maddesinin birinci fıkrasının (g) bendinde tanımlanan ödeme hizmetini sunan tüzel kişiyi,
cc) Hesap hizmeti sağlayıcısı (HHS): Nezdinde ödeme hesabı bulunan ödeme hizmeti sağlayıcısı,
çç) Hizmet seviyesi: Hizmetlerin maliyeti ile söz konusu hizmetleri alanların gereksinim ve beklentilerinin göz önünde bulundurulması suretiyle, hizmeti sunan tarafından hizmetin içeriği ile kalitesine ilişkin yazılı olarak önceden belirlenen ve ilgili taraflarla paylaşılan seviyeyi,
dd) İkincil merkez: Birincil merkezin kullanılamadığı durumlarda, birincil ve ikincil sistemlere kullanıma hazır olacak şekilde erişilebildiği, personelin çalışmasına imkân tanıyacak ve birincil merkezin tesis edildiği yapı ile aynı riskleri taşımayacak şekilde oluşturulmuş yapıyı,
ee) İkincil sistemler: Birincil sistemler aracılığı ile yürütülen faaliyetlerde bir kesinti olması halinde, bu faaliyetlerin iş sürekliliği planında belirlenen kabul edilebilir kesinti süreleri içerisinde sürdürülür hale getirilmesini ve Kanun, Yönetmelik, bu Tebliğ ve Bankaca Kanun kapsamında çıkarılacak ilgili diğer düzenlemelerde yer alan hususlarla ilgili bütün bilgilere erişilmesini sağlayan birincil sistem yedeklerini,
ff) İnsansız hizmet noktası: Müşterilerin, ödeme işlemi ya da elektronik para ile ilgili işlemleri kendi kendine yapabildiği, sahipliği bir veya birden fazla kuruluşa ait olan ve fiziki bir lokasyonu bulunan ATM, kiosk gibi cihazları,
gg) İnternet şubesi: Müşterilerin, ödeme hizmeti sağlayıcılarının Kanun kapsamında sundukları hizmetlere, kullandıkları cihaz ya da platformdan bağımsız olarak, internet yoluyla ulaşabildiği ve kendilerine ait finansal veya kişisel verileri görüntüleyebildiği, değiştirebildiği ya da finansal sorumluluk yaratacak işlemler gerçekleştirebildiği ve hizmetlerin internet sitesi üzerinden sunulduğu elektronik kanalları,
ğğ) İşlem bilgisi: Gerçekleştirilen işleme ilişkin işlem zamanını, işlemin niteliğini ve ödeme işlemi için ödeme emrinin masraf, komisyon ve ücretler de dahil hesabın borçlandırılacağı toplam tutarını ve ödemenin göndereni ile alıcısını veya toplu ödeme emrinin masraf, komisyon ve ücretler de dahil hesabın borçlandırılacağı toplam tutarını ve göndereni ile alıcılarını içeren bilgiyi,
hh) İşlem doğrulama kodu: Kimlik doğrulama yöntemlerinden biriyle kendisini sisteme tanıtan bir müşterinin gerçekleştirmek istediği işleme özgü olmak ve belirli bir geçerlilik süresi içinde işlem onayında kullanılmak üzere oluşturulan, finansal sonuç doğuran işlemlerde kişiye onay anında ilgili işlem bilgisi ile birlikte gösterilen ve alıcı veya tutarın değişmesiyle geçersiz hale gelen bilgiyi,
ıı) İşyeri: Ödeme hizmeti sağlayıcısı ile yaptığı sözleşme çerçevesinde ödeme hizmeti kapsamına giren bir ödeme yöntemi ile mal ve hizmet satmayı kabul eden gerçek veya tüzel kişiyi,
ii) Kanun: 20/6/2013 tarihli ve 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanunu,
jj) Karşılıklı doğrulama: İletişimde bulunan bilgi sistemlerinin birbirlerinin kimliklerinden emin olmalarını sağlamak amacıyla kullanılan, iki tarafın da kendi kimliğini diğer tarafa doğruladığı kimlik doğrulama yöntemini,
kk) Kesinti: Planlı olanlar dışında, ödeme hizmeti sağlayıcısının Kanun kapsamındaki faaliyetlerine ilişkin operasyonel iş ve süreçlerinin sekteye uğramasını,
ll) Kimlik doğrulama: Bildirilen bir kimliğin gerçekten bildiren kişiye ait olduğuna dair güvence sağlayan mekanizmayı,
mm) Kimlik tanımlayıcı: Ödeme hizmeti sağlayıcısı tarafından kimliğinin belirlenmesi ve diğer kullanıcılardan ayırt edilmesi amacıyla müşteriye özgülenen sayı, harf veya sembollerden oluşan kombinasyonu,
nn) Kişisel veri: 6698 sayılı Kanunun 3 üncü maddesinin birinci fıkrasının (d) bendinde tanımlanan bilgiyi,
oo) Kullanıcı: Personel veya müşteri gibi ödeme hizmeti sağlayıcısının bilgi sistemleri üzerinde işlem gerçekleştirmek üzere kendilerine hesap tanımlanmış olan her türlü kullanıcıyı,
öö) Kuruluş: Ödeme kuruluşları ve elektronik para kuruluşlarını,
pp) Mobil uygulama: Akıllı telefon veya tablet gibi mobil bir cihazda bulunan ödeme hizmeti sağlayıcısına ait uygulama üzerinden müşterilerin Kanun kapsamına giren işlemlerini gerçekleştirebildikleri özelleşmiş elektronik kanalı,
rr) Mobil uygulama etkinleştirme: Mobil uygulama için müşterinin mobil cihazının müşteri ile eşleştirilmesini,
ss) Müşteri: Ödeme hizmeti kullanıcısı ile elektronik para kullanıcısını,
şş) Müşteri bilgisi: Müşterilere ait, işlem bilgisi, bakiye bilgisi, kişisel veri, kimlik tanımlayıcısı, unvan dahil olmak üzere müşterinin kişisel ve finansal durumuna ilişkin doğrudan veya dolaylı yoldan edinilen her türlü bilgiyi,
tt) Müşteri güvenlik bilgileri: Kimlik doğrulama işleminin yapılması amacıyla ödeme hizmeti sağlayıcısı tarafından müşterisine verilen veya müşteri tarafından belirlenerek ödeme hizmeti sağlayıcısı ile mutabık kalınan özelleştirilmiş bilgiyi,
uu) Olay: Bilgi sistemlerinin işleyişinde bir kesintiye ya da siber olay dâhil hizmet kalitesinde düşüşe neden olan her türlü gelişmeyi,
üü) Oturum: Kullanıcıların elektronik kanallar üzerinden kimlik doğrulama mekanizması ile bilgi sistemlerine dâhil olmalarından işlemlerini tamamlayıp sistemden ayrılmalarına kadar geçecek tüm süreci kapsayacak şekilde tesis edilen, veri aktarımı, sunuşu veya gerçekleştirilecek finansal işlemler için taraflar arasında kurulan mantıksal bağı,
vv) Ödeme aracı: Ödeme hizmeti sağlayıcısı ile müşteri arasında belirlenen ve müşteri tarafından ödeme emrini vermek için kullanılan kart, cep telefonu, şifre ve benzeri kişiye özel aracı,
yy) Ödeme emri: Müşteri tarafından ödeme işleminin gerçekleşmesi amacıyla ödeme hizmeti sağlayıcısına verilen talimatı,
zz) Ödeme emri başlatma hizmeti: Kanunun 12 nci maddesinin birinci fıkrasının (f) bendinde tanımlanan hizmeti,
aaa) Ödeme emri başlatma hizmeti sağlayıcısı – ÖBHS: Kanunun 12 nci maddesinin birinci fıkrasının (f) bendinde belirtilen ödeme hizmetini sunan tüzel kişiyi,
bbb) Ödeme hesabı: Müşteri adına açılan ve ödeme işleminin yürütülmesinde kullanılan hesabı,
ccc) Ödeme hizmeti: Kanunun 12 nci maddesi çerçevesinde ödeme hizmeti olarak kabul edilen hizmetleri,
ççç) Ödeme hizmeti kullanıcısı: Gönderen, alıcı veya her ikisi sıfatıyla belirli bir ödeme hizmetinden faydalanan gerçek veya tüzel kişiyi,
ddd) Ödeme hizmeti sağlayıcısı: 5411 sayılı Kanun kapsamındaki bankalar, elektronik para kuruluşları, ödeme kuruluşları ve Posta ve Telgraf Teşkilatı Anonim Şirketini,
eee) Ödeme işlemi: Gönderen veya alıcının talimatı üzerine gerçekleştirilen fon yatırma, aktarma veya çekme faaliyetini,
fff) Ödeme kuruluşu: Ödeme hizmeti sağlamak ve gerçekleştirmek için Kanun kapsamında yetkilendirilmiş tüzel kişiyi,
ggg) Ön ödemeli araç: Müşterinin ödemelerde kullanılabilecek fonu ödeme aracını ihraç eden ödeme hizmeti sağlayıcısına harcama yapmadan önce ödediği ve ödenene eşdeğer tutarda fonun elektronik para olarak ödeme hizmetlerinde kullanılmasına imkân veren fizikî veya fizikî varlığı bulunmayan ödeme aracını,
ğğğ) Parola: Kimlik doğrulamada kullanılan, harf, rakam ve/veya özel işaretlerden oluşan ve gizli olan karakter dizisini,
hhh) Personel: Kuruluş personeli, temsilci personeli ve dış hizmet sağlayıcı çalışanı gibi kuruluşun bilgi sistemleri üzerinde işlem gerçekleştirmek üzere kendilerine yetki verilmiş olan her türlü kullanıcıyı,
ııı) Proje yönetimi: Önceden belirlenmiş metodolojilerin kullanımı yoluyla bilgi sistemleri projelerinin, öngörülen zaman planına, bütçeye ve kalite düzeyine uygun olarak tamamlanmasını temin edecek şekilde planlanmasını, organizasyonunu ve yürütülmesini sağlayan süreci,
iii) Rekabete duyarlı veri: Ücret, komisyon, faiz gibi fiyat ile ilişkilendirilebilir her türlü niceliksel veriyi,
jjj) Risk bazlı kimlik doğrulama: Çeşitli risk faktörlerinin dinamik bir şekilde değerlendirilmesi suretiyle kimlik doğrulama sürecinin düşük risk profili için kolaylaştırılması, yüksek risk profili için daha kapsamlı ve kısıtlayıcı hale getirilmesi yaklaşımını,
kkk) Sızma testi: Bilgi sistemlerinin güvenlik açıklarını istismar edilmeden önce tespit etmek ve düzeltmek amaçlı gerçekleştirilen testi,
lll) Siber olay: 11/11/2013 tarihli ve 28818 sayılı Resmî Gazete’de yayımlanan Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğin 3 üncü maddesinde tanımlanan siber olayı,
mmm) Siber olaya müdahale: Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğin 3 üncü maddesinde tanımlanan siber olaya müdahaleyi,
nnn) SMS OTP: Elektronik haberleşme işletmecilerinin sunduğu SMS servisi aracılığıyla iletilen tek kullanımlık parolayı,
ooo) Sorun: Bir veya daha fazla olayın kök nedenini,
ööö) Sürekli iş ilişkisi: 10/12/2007 tarihli ve 2007/13012 sayılı Bakanlar Kurulu Kararı ile yürürlüğe konulan Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelikte tanımlanan sürekli iş ilişkisini,
ppp) Tek kullanımlık parola: Kimlik doğrulamada sadece bir kez kullanılmak üzere rastgele oluşturulan harf, rakam ve/veya özel işaret dizisini,
rrr) Temsilci: Kuruluş adına ve hesabına hareket eden gerçek veya tüzel kişiyi,
sss) Terminal: Ödeme aracı üzerindeki bilgiler ile hassas müşteri verilerini esas alarak her türlü mal ve hizmet alımı veya nakit ödeme belgesi düzenlenmesi işlemleri ile ödeme işlemlerinin ve elektronik para ile ilgili işlemlerin gerçekleştirilmesinde kullanılan, ödeme hizmeti sağlayıcı tarafından temin edilen elektronik cihaz ya da yazılımı,
şşş) Uçtan uca güvenli iletişim: İletişime konu veriye sadece alıcısının erişebilmesi amacıyla, söz konusu verinin gönderen tarafından sadece alıcının çözebileceği şekilde şifrelenerek iletilmesini,
ttt) Uzaktan iletişim aracı: Mektup, katalog, telefon, faks, (Mülga ibare:RG-7/10/2023-32332) elektronik posta mesajı, internet, SMS hizmetleri gibi fiziksel olarak karşı karşıya gelinmeksizin sözleşme kurulmasına imkan veren her türlü araç veya ortamı,
uuu) Üst yönetim: Kuruluşun yönetim kurulu üyeleri, genel müdür ve genel müdür yardımcıları, iç kontrol ve risk yönetimi birimlerinin yöneticileri ile başka unvanlarla istihdam edilseler dahi, danışmanlık birimleri dışındaki birimlerin, yetki ve görevleri itibarıyla genel müdür yardımcısına denk veya daha üst konumlarda görev yapan yöneticilerini,
üüü) Veri paylaşım servisleri: Müşteriler adına hareket eden tarafların API’ler vasıtasıyla HHS’nin sunduğu ödeme hizmetlerine uzaktan erişerek Kanun kapsamına giren işlemleri gerçekleştirebildikleri veya bu tür işlemlerin gerçekleştirilmesi için HHS’ye talimat verdikleri elektronik kanalı,
vvv) Yama: Programlarda tespit edilen güvenlik açıkları veya programın içeriğindeki hatalı bir fonksiyonu düzeltme amaçlı hazırlanan program eklentisini,
yyy) Yönetmelik: 1/12/2021 tarihli ve 31676 sayılı Resmî Gazete’de yayımlanan Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmeliği,
zzz) (Ek:RG-7/10/2023-32332) MASAK: Hazine ve Maliye Bakanlığı Malî Suçları Araştırma Kurulu Başkanlığını,
aaaa) (Ek:RG-7/10/2023-32332) Yakın alan iletişimi: Elektronik cihazlar arasında iletişimi sağlamak için bu cihazların birbirine temas ettirilmesiyle veya yakın mesafede temassız olarak yaklaştırılmasıyla ortaya çıkan manyetik alan üzerinden veri iletiminin sağlandığı kısa menzilli kablosuz bağlantı teknolojisini,
ifade eder.
Tamamı İçin Tıklayınız – 07/10/2023