BİRİNCİ BÖLÜM
Başlangıç Hükümleri
Amaç
(1) Bu Tebliğin amacı, 2 nci maddede sayılan Kurum, Kuruluş ve Ortaklıkların bilgi sistemlerinin yönetimine ilişkin usul ve esasları belirlemektir.
Kapsam
(1) Aşağıdaki Kurum, Kuruluş ve Ortaklıklar, bu Tebliğ hükümlerine uymakla yükümlüdürler:
a) Borsa İstanbul A.Ş.,
b) Borsalar ve piyasa işleticileri ile teşkilatlanmış diğer pazar yerleri,
c) Emeklilik yatırım fonları,
ç) İstanbul Takas ve Saklama Bankası A.Ş.,
d) Merkezi Kayıt Kuruluşu A.Ş.,
e) Portföy saklayıcısı kuruluşlar,
f) Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş.,
g) Sermaye piyasası kurumları,
ğ) Halka açık ortaklıklar,
h) Türkiye Sermaye Piyasaları Birliği,
ı) Türkiye Değerleme Uzmanları Birliği,
i) Kripto Varlık Hizmet Sağlayıcılar.
(2) Birinci fıkrada sayılan Kurum, Kuruluş ve Ortaklıklardan, 6/12/2012 tarihli ve 6362 sayılı Sermaye Piyasası Kanununun 136 ncı maddesi uyarınca banka ve sigorta şirketleri ile 21/11/2012 tarihli ve 6361 sayılı Finansal Kiralama, Faktoring, Finansman ve Tasarruf Finansman Şirketleri Kanunu uyarınca finansal kiralama, faktoring, finansman ve tasarruf finansman şirketlerinin bilgi sistemlerinin, kendi özel mevzuatlarında belirlenen ilkeler çerçevesinde yönetilmesi, bu Tebliğde öngörülen yükümlülüklerin yerine getirilmesi hükmündedir.
Dayanak
(1) Bu Tebliğ, 6/12/2012 tarihli ve 6362 sayılı Sermaye Piyasası Kanununun 128 inci maddesinin birinci fıkrasının (h) bendine dayanılarak hazırlanmıştır.
Tanımlar ve kısaltmalar
(1) Bu Tebliğde geçen;
a) API: Bir yazılımın başka bir yazılımda tanımlanmış işlevleri kullanabilmesi için oluşturulmuş uygulama programlama ara yüzünü,
b) Bilgi güvenliği ihlali: Bilgi sistemlerinin veya bu sistemler tarafından işlenen bilginin gizlilik, bütünlük veya erişilebilirliğinin ihlal edilmesini veya teşebbüste bulunulmasını, siber olayı,
c) Bilgi sistemleri: Bilginin işlendiği, iletildiği ve saklandığı yazılım, donanım ve iletişim altyapısı ile bunlarla etkileşimde bulunan insan kaynağı, faaliyet ve süreçlerin tümünü,
ç) Bilgi varlığı: Kurum, Kuruluş ve Ortaklıkların Kanundan ve Kanuna ilişkin alt düzenlemelerden kaynaklanan görevlerini yerine getirmeleri esnasında kullandıkları veri ile bunların üretildiği, işlendiği, iletildiği ve saklandığı donanım ve yazılım unsurlarını,
d) Birincil sistemler: Kurum, Kuruluş ve Ortaklıkların Kanundan ve Kanuna ilişkin alt düzenlemelerden kaynaklanan görevlerini yerine getirmeleri için gerekli bilgilerin elektronik ortamda güvenli ve istenildiği an erişime imkân sağlayacak şekilde kaydedilmesini ve kullanılmasını sağlayan altyapı, donanım, yazılım ve veriden oluşan sistemin tamamını,
e) Bütünlük: Bilginin doğruluğu ve tamlığını koruma özelliğini,
f) Çok faktörlü kimlik doğrulama: Kimlik doğrulama işleminin; kişinin bildiği, kişinin sahip olduğu veya kişinin biyometrik karakteristiği olan doğrulama faktörleri arasından iki veya daha fazla farklı faktörün kullanılarak gerçekleştirilmesini,
g) Denetim izi: Bilgi sistemleri aracılığıyla gerçekleşen işlemlerin ve bilgi güvenliği ihlal olaylarının başlangıcından bitimine kadar adım adım takip edilmesini sağlayacak kayıtlar ile bu kayıtlar üzerinde yapılan işlemleri gösteren kayıtları,
ğ) Erişilebilirlik: Bilginin yetkili kullanıcı, uygulama veya sistem tarafından talep edildiğinde erişilebilir ve kullanılabilir olma özelliğini,
h) Gizlilik: Bilgi sistemlerine ve bilgiye sadece yetkili kullanıcı, uygulama veya sistem tarafından erişilebilmesini,
ı) Güvenli alan: Bilgi işleme, iletişim ve depolama donanımlarını barındıran alanı,
i) Hassasiyet: Kurum, Kuruluş ve Ortaklıkların bünyesinde saklanan, müşterilere ait olan ve üçüncü kişilerce ele geçirilmesi halinde ilgili kişinin zarar görmesine, dolandırılmasına ya da sahte işlem yapılmasına sebep olabilecek verinin niteliğini,
j) İkincil sistemler: Birincil sistemler aracılığı ile yürütülen faaliyetlerde bir kesinti olması halinde, bu faaliyetlerin iş sürekliliği planında belirlenen kabul edilebilir kesinti süreleri içerisinde sürdürülür hale getirilmesini ve Kanunda ve Kanuna ilişkin alt düzenlemelerde Kurum, Kuruluş ve Ortaklıklar için tanımlanan sorumlulukların yerine getirilmesi açısından gerekli olan bütün bilgilere kesintisiz ve istenildiği an erişilmesini sağlayan birincil sistemin tüm yedeklerini,
k) Kanun: 6/12/2012 tarihli ve 6362 sayılı Sermaye Piyasası Kanununu,
l) Kişisel veri: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununda tanımlanan kişisel veriyi,
m) Kontrol: Bilgi sistemleri süreçleriyle ilgili olarak gerçekleştirilen ve iş hedeflerinin gerçekleştirilmesi, istenmeyen olayların belirlenmesi, engellenmesi ve düzeltilmesine ilişkin yeterli derecede güvence oluşturmayı hedefleyen politikalar, prosedürler, uygulamalar ve organizasyonel yapıların tamamını,
TR
EN
Hide article links (suitable for copying the text)
