BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak ve Tanımlar
Amaç ve kapsam
(1) Bu Yönetmeliğin amacı, bankalar tarafından yeni müşteri kazanımında kullanılabilecek uzaktan kimlik tespiti yöntemlerine ve müşteri kimliğinin tespit edilmesini müteakip sunulacak bankacılık hizmetlerine yönelik olarak mesafeli olsun olmasın bir bilişim veya elektronik haberleşme cihazı üzerinden yazılı şeklin yerine geçecek şekilde ya da mesafeli olarak sözleşme ilişkisinin kurulmasına yönelik usul ve esasları düzenlemektir.
(2) Uzaktan kimlik tespiti yöntemi, 11/10/2006 tarihli ve 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ile 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu ve bu Kanunlarla ilgili mevzuatta yer alan yükümlülükler saklı kalmak kaydıyla uygulanır.
Dayanak
(1) Bu Yönetmelik, 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanununun 76 ncı maddesinin ikinci fıkrası ile 93 üncü maddesine dayanılarak düzenlenmiştir.
Tanımlar ve kısaltmalar
(1) Bu Yönetmelikte yer alan;
a) Açık rıza: Kişisel Verilerin Korunması Kanununda tanımlanan açık rızayı,
b) Banka: Bankacılık Kanununun 3 üncü maddesinde tanımlanan bankaları,
c) Beyaz ışık: Gün ışığı gibi görünürde renksiz olan ışığı,
ç) BSEBY: 15/3/2020 tarihli ve 31069 sayılı Resmî Gazete’de yayımlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği,
d) Güvenlik ögeleri: Kimlik belgesinde yer alan giyoş, gökkuşağı baskı, optik değişken mürekkep, gizli görüntü, hologram ve mikro yazıyı,
e) Kimlik belgesi: 3/12/2019 tarihli ve 30967 sayılı Resmî Gazete’de yayımlanan Türkiye Cumhuriyeti Kimlik Kartı Yönetmeliğinde tanımlanan kimlik kartını,
f) Kimlik Paylaşımı Sistemi: 20/8/2020 tarihli ve 2837 sayılı Cumhurbaşkanı Kararıyla yürürlüğe konulan Kimlik Paylaşımı Sistemi Yönetmeliğinde tanımlanan Kimlik Paylaşımı Sistemini,
g) Kişi: Uzaktan kimlik tespiti yapılacak gerçek kişiyi veya gerçek kişi taciri,
ğ) Kurul: Bankacılık Düzenleme ve Denetleme Kurulunu,
h) MRZ: Optik karakter okuma yöntemlerini kullanarak makine okuması için biçimlendirilmiş, zorunlu ve isteğe bağlı verileri kapsayan, kimlik belgesi üzerinde yer alan sabit boyutlu alanı,
ı) Müşteri temsilcisi: Kişinin uzaktan kimlik tespitini yapacak banka personelini,
i) SMS OTP: BSEBY’de tanımlanan SMS OTP’yi,
j) Yakın alan iletişimi: Elektronik cihazların güvenilir, temassız işlem yapabilmesini ve sayısal içeriğe ve/veya elektronik cihazlara erişimini mümkün kılan, veri okuma ve yazmakta kullanılan kısa menzilli kablosuz teknolojiyi,
ifade eder.
İKİNCİ BÖLÜM
Uzaktan Kimlik Tespiti Sürecine İlişkin Şartlar
Süreç başlatılmadan önce uyulması gereken genel ilkeler
(1) Uzaktan kimlik tespiti, müşteri temsilcisi ile kişinin; fiziksel olarak aynı ortamda bulunmasına gerek olmadan, çevrim içi olarak görüntülü görüşmesi ve birbiriyle iletişim kurması ile yapılır.
(2) Uzaktan kimlik tespiti yöntemi bu Yönetmelikte belirtilen şartlar dâhilinde uygulanır. Uygulanacak yöntem, yüz yüze yapılan kimlik tespiti yöntemine benzer ve asgari seviyede risk ihtiva edecek şekilde tasarlanır.
(3) Uzaktan kimlik tespitinde kullanılacak görüntülü görüşme yönteminde olası teknolojik, operasyonel ve benzeri riskler dikkate alınarak yeterli seviyede güvenlik önlemleri alınır.
(4) Uzaktan kimlik tespiti işlemi, kritik bir işlem olarak değerlendirilir ve işlemin bilgi teknolojileri veya müşteri temsilcisi tarafından tek başına başlatılması, onaylanması ve tamamlanmasına imkân vermeyecek şekilde tasarlanır ve işletilir. Sürecin kişi tarafından başlatılması, bilgi teknolojileri tarafından uygulanan kontroller ile devam ettirilmesi ve müşteri temsilcisi tarafından yapılacak onaylama ve ek kontroller ile tamamlanması sağlanır. Müşteri temsilcisi tarafından yapılan kontrollerde işlemin riskli bulunması halinde işlem ikinci bir onaya gönderilir veya sonlandırılır.
(5) Uzaktan kimlik tespitine ilişkin kullanılacak süreçler ve sistemler, BSEBY’nin 29 uncu maddesinin onuncu fıkrası kapsamında kritik bilgi sistemleri olarak değerlendirilir.
(6) Kimlik tespiti sırasında kullanılacak belgelere, bu belgelerde var olan doğrulanabilir özelliklere ve doğrulamanın yapılması sırasında kullanılacak kriterlere ilişkin detaylı dokümanlar oluşturulur.
(7) Bankanın belirlediği uzaktan kimlik tespiti sürecinin uygulanmasından önce, süreç dokümanları oluşturulur ve sürecin etkinliği test edilerek sonuçları yazılı hale getirilir. Test sonuçlarının başarılı bulunmaması durumunda süreçte gerekli güncellemeler yapılır ve sürecin etkinliği ve yeterliliği sağlanmadıkça süreç uygulanmaz.
(8) Uzaktan kimlik tespiti süreci yılda en az iki defa gözden geçirilir. Güvenlik ihlallerinin tespit edilmesi veya gerçekleşmesi, ilgili mevzuatta değişiklik yapılması, bankanın muhtemel dolandırıcılık veya sahtecilik teşkil edebilecek eylemlerden haberdar olması ve kullanılan uzaktan kimlik tespiti yöntemine ilişkin zayıflıkların ortaya çıkması gibi durumlarda teknolojik gelişmeler ve uygulamada kazanılan deneyimler dikkate alınarak sürecin ayrıca gözden geçirilmesi sağlanır ve gerekli güncellemeler yapılır.
EN
TR
