Makale
Dijital bankacılıkta dış hizmet alımı ve veri aktarımı, bankaların hukuki ve teknik sorumlulukları çerçevesinde titizlikle yönetilmelidir. Bu süreçte ISO 27001 sertifikası, yerelleşme şartları ve güvenlik standartları gibi kritik yükümlülükler öne çıkmakta olup, bankaların denetim yetkisi ve veri gizliliğine dair sorumlulukları devredilemez.
Dijital Bankacılıkta Dış Hizmet Alımı ve Hukuki Boyutu
Dijital bankaların faaliyetlerini tamamen elektronik dağıtım kanalları üzerinden yürütmesi, yenilikçi yazılım ve donanım altyapılarına olan ihtiyacı artırmaktadır. Bu noktada bankaların dış hizmet alımı yoluyla alanında uzman kuruluşlardan destek alması, operasyonel verimliliği sağlarken birtakım yasal ve operasyonel riskleri de beraberinde getirmektedir. Dijital bankacılık ekosisteminde, dışarıdan temin edilen hizmetler sıradan bir tedarikçi ilişkisinin ötesinde değerlendirilmekte ve bankanın stratejik bir uzantısı olarak kabul edilmektedir. İlgili mevzuat uyarınca, bu tür hizmetlerin temini kritik bilgi sistemleri kapsamında ele alınmakta ve sıkı hukuki kurallara tabi tutulmaktadır. Hizmet alınan firmalara yapılacak veri aktarımları, hukuki sorumluluğun bankada kalması prensibiyle yürütülmek zorundadır. Bu bağlamda bankaların, teknolojik ihtiyaçlarını karşılarken müşteri verilerinin gizliliği ve finansal sistemin güvenliğini teminat altına alacak güçlü bir yönetişim ve kontrol mekanizması inşa etmeleri yasal bir zorunluluktur.
Dış Hizmet Alımında Temel Yükümlülükler ve Standartlar
Bankacılık mevzuatı uyarınca, elektronik bankacılık sistemlerine yönelik dış hizmet alımları, kritik bilgi sistemleri çerçevesinde değerlendirilmektedir. Bu kapsamda, dijital bankaların hizmet alacağı kuruluşların yetkinliği ve güvenilirliği hukuki şartlara bağlanmıştır. Özellikle mevzuatta yer alan kurallar gereği, dış hizmet sağlayacak kuruluşların ISO 27001 bilgi güvenliği sertifikasına sahip olması mutlak bir zorunluluktur. Bankalar, söz konusu hizmet alım süreçlerinde doğabilecek operasyonel, yasal ve itibari riskleri kapsamlı bir biçimde analiz etmekle yükümlüdür. Bu riskleri kontrol altında tutmak amacıyla etkin bir gözetim mekanizması kurulması şarttır. Daha da önemlisi, bankalar dış hizmet sağlayıcıları üzerinden yürüttükleri işlemlerden doğan yasal sorumluluklarını hiçbir surette devredemezler. İlgili denetim süreçleri, banka içerisinde yürütülen faaliyetlerle aynı titizlikte ele alınmalı ve hizmet sağlayan kuruluş da bankanın tabi olduğu sıkı denetim standartlarına uymalıdır.
Veri Aktarımı ve Gizliliğin Korunması
Banka verilerinin dış hizmet sağlayıcılara aktarılması süreci, veri bütünlüğü ve gizliliğinin korunması açısından son derece hassas yasal güvencelere bağlanmıştır. Veri aktarımı hususunda en temel kural, dış hizmet sağlayıcısının uyguladığı güvenlik ilke ve politikalarının, en az bankanın kendi benimsediği güvenlik seviyesine ulaşmasıdır. İlgili taraflar arasında akdedilecek sözleşmelerde, olası bir veri sızıntısı durumunda hizmet sağlayıcının bankaya derhal bildirimde bulunma yükümlülüğü açıkça düzenlenmelidir. Ayrıca, dış hizmet alımı sürecinin tamamlanması veya sona ermesi halinde, dış hizmet sağlayıcısında bulunan verilerin güvenli bir şekilde bankaya iadesi ve sağlayıcı sistemlerinden tamamen imhası yasal bir gerekliliktir. Bankalar, hizmet sağlayıcılarının veri tabanlarını kontrol etme ve bu sistemlere erişim sağlama gücünü daima kendi uhdelerinde bulundurmalıdır.
İç Kontrol Mekanizmaları ve İstisnai Durumlar
Dijital bankacılıkta dış hizmet alımlarının yasal sınırları belirlenirken, bankanın temel yönetim ve kontrol fonksiyonlarının devredilemezliği ilkesi esas alınmıştır. Bu bağlamda, dışarıdan temin edilecek hizmetlerin hukuki sınırları net bir biçimde çizilmelidir. Mevzuatımız, bankanın asli faaliyetlerine ilişkin birtakım kritik iç kontrol faaliyetlerinin hiçbir şekilde dış hizmet sağlayıcılara devredilemeyeceğini açıkça hüküm altına almıştır. Bankaların bizzat yerine getirmek zorunda olduğu devredilemez görevlere aşağıda yer verilmiştir:
- Sistem yetkilendirme süreçlerinin oluşturulması ve yönetilmesi bizzat banka tarafından yapılmalıdır.
- Elektronik bankacılık işlemlerine ait iz kayıtlarının incelenmesi ve detaylı değerlendirmesi bankanın kendi bünyesinde gerçekleştirilmelidir.
- Banka, dış hizmet sağlayıcı firmanın sistemlerini her an denetleyebilecek doğrudan müdahale yetkisine sahip olmalıdır.
Belirtilen bu kısıtlamalar, sistem güvenliğinin ana omurgasının bizzat dijital bankanın kendi kontrolünde kalmasını sağlamaktadır. Bankaların bu tür stratejik faaliyetleri dış kaynaklara devretmemesi, finansal sistemin ve müşteri verilerinin korunmasındaki nihai yasal sorumluluklarıyla doğrudan bağlantılıdır. Dolayısıyla, dış hizmet sağlayıcılar yalnızca teknik bir altyapı desteği sunabilir; asli denetim ve karar alma mekanizmaları bankanın münhasır hukuki yetki alanında kalmaya devam etmelidir.
Üretim Yeri ve Yerelleşme Şartı
Dış hizmet sağlayıcılardan temin edilecek yazılım, donanım ve diğer teknolojik ürünlerin menşei ile müdahale kapasitesi, bankacılık mevzuatında özel olarak düzenlenmiş bir diğer önemli konudur. İlgili yasal düzenlemeler uyarınca, kritik bilgi sistemleri kapsamında dış hizmet sağlayıcılardan temin edilecek ürün ve hizmetlerin mümkün olan en üst düzeyde Türkiye’de üretilmesine özen gösterilmelidir. Aynı doğrultuda, dış hizmet sağlayan teknoloji üreticilerinin Ar-Ge merkezlerinin Türkiye’de konumlanması da aranan temel niteliklerden biri olarak öne çıkmaktadır. Bununla birlikte, muhtemel sistemsel aksaklıklara karşı hızlı reaksiyon alınabilmesi amacıyla, dış hizmet sağlayıcı ve üretici firmaların Türkiye sınırları içerisinde müdahale edebilecek teknik bir ekip bulundurması mutlak bir hukuki zorunluluktur. Yerelleşme politikası, olası güvenlik ihlallerinde ya da teknik arızalarda yurt dışı merkezli erişim sorunlarının önüne geçilmesini ve ulusal finansal güvenliğin tam anlamıyla sağlanmasını hedeflemektedir.