BDDK’dan İnternet Banakacılığına Parmak İzli Sıkı Yönetim
Kursad tarafından Bilişim Hukuku, Haberler kategorisi altında yayınlandı.
BDDK, İnternet Başta Olmak Üzere Bankacılık İşlemlerine Dönük Dolandırıcılıkların Artması Üzerine Güvenlik Önlemlerini Belirleyen Bir Düzenleme Hazırladı. Bankacılık Düzenleme ve Denetleme Kurumu (BDDK), internet başta olmak üzere bankacılık işlemlerine dönük dolandırıcılıkların artması üzerine güvenlik önlemlerini belirleyen bir düzenleme hazırladı.
İnternet bankacılığında, müşterilere uygulanan kimlik doğrulama mekanizmasında; parola/şifre bilgisi, tek kullanımlık şifre üretim cihazı, parmak izi gibi bileşenler kullanılabilecek.
Bankalar, ATM cihazlarının etrafı uygun bir şekilde ışıklandırılacak ve cihaz üzerine kullanıcının etrafını gösterebilecek şekilde ayna tipi aparatlar yerleştirilecek. Mümkünse ATM cihazları üzerine fiziksel saldırıları algılayacak
alarmlar ve sensörler yerleştirilecek. Bankalar, ATM cihazlarının bulunduğu yerlere güvenlik kamerası koyacak.
Bankalar belirlenen güvenlik düzenlemelerini iki yıl içerisinde yerine getirecek.
BDDK, Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İliskin Tebliğ taslağı hazırladı. Buna göre; bilgi sistemleri üzerinden gerçeklesen işlemler için uygun bir kimlik doğrulama mekanizması kurulacak. Bilgi sistemlerine erişim için kullanılan kimlik doğrulama verilerinin tutulduğu veritabanlarının güvenliğini sağlamaya yönelik gerekli önlemler alınacak. Bu amaçla alınacak önlemler asgari olarak kimlik doğrulama verilerinin veritabanlarında şifreli olarak muhafaza edilecek. Yapılacak her türlü kontrolsüz değişikliği algılayacak sistemler kurulacak.
Bilgi sistemleri kapsamındaki faaliyetlere ilişkin yetkilendirme veritabanında kontrolsüz değişikliğin olması veya veritabanının güvenilirliğini yitirmesi durumunda, veritabanı güncel ve güvenilir duruma getirilene kadar kullanılmayacak. Güvenilir olmayan veritabanı üzerinden yetkilendirme ve erişim hakkı tahsisi işlemleri gerçekleştirilemeyecek.
Bilgi sistemleri üzerindeki; riskler, sistemlerin boyutu ve faaliyetlerin karmaşıklığı göz önünde bulundurularak bilgi sistemlerinin kullanımına ilişkin etkin bir denetim izi kayıt mekanizması tesis edilecek.
DENETİM İZLERİ 3 YIL SAKLANACAK
Oluşturulacak denetim izlerinde asgari olarak; erişim talebinin hangi uygulama üzerinden geldiği, yeri ve zamanı; erisim talebinde bulunan kişinin kimliği, yapılan işlemlerin zamanı ve içeriği, erişimin başarılı ya da başarısız olması durumu bilgilerini içerecek. Denetim izleri sorgular için asgari 1 yıl, işlemler için asgari 3 yıl boyunca banka nezdinde saklanacak. Banka, müşterilerini ve personelini, aktivitelerinin kaydının tutulduğu konusunda haberdar edecek.
Banka, bilgi sistemleri faaliyetleri kapsamında gerçeklesen işlemlerin ve bu işlemler kapsamında iletilen, islenen ve saklanan verilerin gizliliğini sağlayacak önlemleri alacak. Alınacak önlemler, gizliliği sağlanmaya çalışılan işlem ve verilerin gizlilik derecesine uygun olacak, gerekli yerlerde ek kontroller tesis edilecek. Bu çerçevede yapılan çalışmalar, sırların saklanmasına ilişkin mevzuat yükümlülüklerini karşılayacak nitelikte olacak.
Banka tarafından sunulan elektronik bankacılık/alternatif dağıtım kanalları (internet, telefon, televizyon, WAP/GPRS, Kiosk, ATM vb.) hizmetlerinden yararlanacak müşteriler; hizmetlere ilişkin şartlar, riskler ve istisnai durumlarla ilgili olarak açık bir şekilde bilgilendirilecek. Buna ek olarak bankanın söz konusu hizmetlere ilişkin risklerin etkisini azaltmaya yönelik benimsediği güvenlik prensipleri ve bu risklerden korunmak için kullanılması gerekli yöntemler mutlak suretle müşterinin dikkatine sunulacak.
MAHREMİYET KORUNACAK
Banka, müşteri bilgilerinin mahremiyetini sağlamaya yönelik gerekli tedbirleri alacak. Banka, mahremiyeti konu alan politika ve prosedürleri olusturacak, yazılı hale getirip ilgili tüm birimlere iletecek. Banka, bankacılık faaliyetleri kapsamında edindiği müşteriye ait bilgileri amaçları dışında kullanamayacak, saklayamayacak ve diğer taraflarla paylaşamayacak.
Müşterilerin, kişisel bilgileri toplanmadan, kullanılmadan ve diğer taraflarla paylaşılmadan önce rızası alınacak, müşterilere kişisel bilgilerini diğer taraflarla paylaşıp paylaşmama konusunda seçenek sunulacak ve müşterinin böyle bir seçeneğinin bulunduğuna dair mutlaka bilgilenmesi sağlanacak.
İNTERNET BANKACILIĞI İÇİN ÖZEL ÖNLEM
İnternet bankacılığı faaliyetleri kapsamında sunulan bankacılık hizmetlerinin, internetin doğasından kaynaklanan bir takım ek risklere maruz kalacağı da göz önünde bulundurulacak ve gerekiyorsa ilgili hizmetlere ilişkin süreçler üzerinde ilave kontroller tesis edilecek.
Güvenlik kontrollerinin yeterliliğini test etmek üzere bağımsız ekiplere, en az yılda bir kez olmak üzere, internet bankacılığı faaliyetleri kapsamındaki sistemler için sızma testleri yaptırılacak. Banka, internet bankacılığı faaliyetleri kapsamında gerçeklesen sıra dışı ve şüpheli işlemleri tespit etmek için takip mekanizmaları kuracak.
Banka, sunmakta olduğu internet bankacılığı hizmetleri için, bu hizmetlerin arz ettiği risk seviyelerine uygun ve güvenilir bir kimlik doğrulama mekanizması tesis edecek. Müşterilerin, kurulan kimlik doğrulama mekanizmasından geçmeden hizmetlerden yararlanmasına müsaade etmeyecek bir yapı banka tarafından kurulacak.
İNTERNET İÇİN PARMAK İZİ
Müşterilere uygulanan kimlik doğrulama mekanizması birbirinden bağımsız en az iki bileşenden oluşacak. Bu iki bileşen; müşterinin “bildiği”, müşterinin “sahip olduğu” veya müşterinin “biyometrik bir karakteristiği olan” unsur sınıflarından farklı birine ait olmak üzere seçilecek. Müşterinin “bildiği” unsur olarak parola/şifre bilgisi gibi bileşenler, “sahip olduğu” unsur olarak tek kullanımlık şifre üretim cihazı gibi bileşenler, “biyometrik bir karakteristiği” olarak da parmak izi gibi bileşenler kullanılabilecek.
Kimlik doğrulamada kullanılacak şifreleme teknikleri, güncel durum itibariyle literatürde kabul görmüş ve güvenilirliğini yitirmemiş algoritmaları baz almak durumunda olacak. Kullanılacak şifreleme anahtarları, ilgili algoritmalar için anahtarın geçerli olacağı ve kullanılabileceği zaman zarfında kırılamayacak şekilde uzun seçilecek. Geçerliliğini yitirmiş, çalınmış veya kırılmış şifreleme anahtarlarının kullanılabilirliği engellenecek.
Banka tarafından oluşturulacak kimlik doğrulama mekanizmasının; başarısız kimlik doğrulama teşebbüsleri hakkında, ilgili müşterinin sisteme ilk girdiği anda bilgi vermesi, başarısız teşebbüslerin belirli bir sayıyı asması halinde ise ilgili müşterinin internet bankacılığına erişimini bloke etmesi gerekecek. Başarısız kimlik doğrulama teşebbüsleri sonrasında, bu teşebbüsü gerçekleştiren kişiye, yanlış girilen kullanıcı bilgisi veya şifresi ile ilgili, örneğin böyle bir kullanıcının sistemde olmadığı veya şifrenin yanlış girildiği gibi, gereksiz bilgi vermemesi gerekecek.
Banka, müşterilerine ve personeline ait kimlik doğrulama bilgilerini ele geçirmeye yönelik bilinen saldırılara karşı gerekli sistemsel ve yazılımsal önlemleri alacak.
Olası tehditleri önceden belirleyebilmek ve gerekli önlemleri alabilmek adına, internet bankacılığı hesaplarına erişim için başarılı ve başarısız erişim teşebbüsleri düzenli olarak banka tarafından takip edilecek, oransal bir anormallik görüldüğünde incelemeye alınacak.
MÜŞTERİ İSTEMEDEN İNTERNET HİZMETİ AÇILMAYACAK
Banka, tüm internet bankacılığı faaliyetleri için yeterli ve etkin bir denetim izi tutma mekanizması tesis edecek. Banka, müşteri talebi olmadan internet bankacılığı hizmetini ilgili müşteri için kullanıma açamayacak. Müşteri, internet bankacılığı hizmetine erişimi kapatmışsa veya kapattırmışsa, müşterinin yeni bir talebi olmadan internet bankacılığı hizmeti kullanıma açılamayacak.
ATM ÖNLEMLERİ
Banka, ATM cihazlarına ilişkin hırsızlık, sahtekarlık, fiziksel saldırı gibi tehditlere ilişkin riskleri minimize edici önlemleri tesis edecek ve ATM cihazlarının güvenli kullanımı hususunda müşterilerinde farkındalık yaratacak. ATM cihazları üzerine, zararlı içerikli programların kötü niyetli kişilerce yüklenmesini ve yetkisiz erişimi engelleyecek gerekli yazılımlar yüklenecek. Cihaza yetkisiz kişilerin herhangi bir şekilde başka bir elektronik cihaz bağlamasını sağlayacak bütün giriş noktaları erişime kapatılacak.
ATM cihazları üzerinden gerçekleştirilen işlemler için kullanılan iletişim ağı veri güvenliği, gizliliği ve bütünlüğünü sağlayacak özellikte olacak. Müşterilerin girdiği PIN bilgileri ve gerçekleştirilecek işlemlere ilişkin bilgiler cihaz içinde ve cihaz dışındaki ATM ağı boyunca şifrelenmis bir şekilde iletilecek.
ATM cihazlarının servis sürekliğinin sağlanması ve maruz kalabilecekleri risklerin erken tespiti adına, Banka tarafından ATM cihazları için uzaktan yönetim ve takip sistemleri kurulacak. Söz konusu sistem düzenli olarak belirli hata kodları yaratan ATM cihazlarını ve hesap numaralarını, bunlar üzerinde şüpheli işlemler gerçekleştiriliyor olması ihtimaline karsı, sistemsel olarak takip edebilecek ve gerekli uyarıları yapabilecek işlevselliğe sahip olacak.
AYNA VE IŞIKLANDIRMA KOŞULU
Banka, kendi sınırları dahilinde bulunmayan ATM cihazlarını, müşterilerinin bu cihazları güvenli olarak kullanabilecekleri yerlere konumlandıracak. Bu kapsamda, ATM cihazlarının etrafı uygun bir şekilde ışıklandırılacak ve cihaz üzerine kullanıcının etrafını gösterebilecek Şekilde ayna tipi aparatlar yerleştirilecek. ATM cihazları, etraftan geçen şahısların müşterinin klavye hareketlerini göremeyeceği bir şekilde konumlandırılacak.
FİZİKSEL SALDIRIYA KARŞI ALARM
ATM cihazları, bulundukları zemine sağlam olarak tutturulmadıkça ve kolayca yerlerinden taşınmalarını engelleyici herhangi bir önlem alınmadıkça, bina dışına konumlandırılayacak. Mümkünse ATM cihazları üzerine fiziksel saldırıları algılayacak alarmlar ve sensörler yerleştirilecek.
Banka, ATM cihazlarının bulunduğu yerlere güvenlik kamerası koyacak. Güvenlik kamerası müşterinin klavye hareketlerini göremeyecek biçimde konumlandırılacak. Güvenlik kamerası kayıtları en az üç ay süreyle saklanacak ve kamera teçhizatları çalıştıklarına dair düzenli olarak kontrol edilecek.
Banka, bu Tebliğ hükümlerinin gereklerini yayım tarihinden itibaren azami iki yıl içerisinde yerine getirecek.(ANKA) (Ankara Haber Ajansı)
Kaynak : Haberler.com
Yazılarr (RSS)
20 Ağustos 2007 07:25'de
Sanirim standart “uc faktorden ikisi” kullanilabilsin diye ‘teknoloji bagimsiz’ bir tanimlama yapilmis, ancak Internet uzerinden yapilan bir islemde biyometrik bir veriyie guvenebilmek cok cok zor. Bu nedenle “parmakizli internet” kullanimini pratikte gorecegimizi hic sanmiyorum.
Guvenli olarak calisabilecek belki de tek cozum “parmak izi ile acilan bir kriptografik smartcard/usb token”. Bu da kisiye ozel (parmakizi tanitilmis) bir sertifika deposu anlamina gelir, ki hem olusturmasi hem de dagitilmasi (aktivasyon esnasinda parmak izi kaydedilmeli vb.) cok pahali bir cozum olusturacaktir.
Yukarida tanimlanan sekilde taraslanmis bir cihazin bile guvenli olabilmesi icin parmakizi tanima isini donanimda gerceklestirmesi, ek bir yazilima ihtiyac duymamasi gereklidir ki bu da cihazin karmasikligini ve fiyatini arttiracaktir. Bu cozum her durumda kullaniciyi yaninda tasimasi gereken bir cihaza kisitlayacagi icin bir OTP cihazina gore bir avantaj saglamayacaktir.
Daha pratik olan “Ben her turlu parmakizi okuyucuyu kullanirim” diyen ve/veya “kendi yazilimini kuran veya activeX/Java vb appletler kullanan” cozumler istemci bilgisayara guvenmek zorunda olacaklari icin kacinilmaz olarak aynen bir keyboard/screen sniffer gibi truva atlarina maruz kalacaklardir.
4 Eylül 2007 11:18'de
Özet düzeydeki bir incelemede, BDDK’nın 5 Haziran 2007 tarihli Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İliskin Tebliğ Taslağı’nın internet bankacılığında kimlik doğrulama mekanizmaları konusunda getirdiği “kısıtlamaların”, bankalara konuya ilişkin olarak geniş bir inisiyatif alanı bırakılması şeklinde tanımlanabilecek güncel hatadan vazgeçilmemiş olduğunu ortaya koydukları görülebilmektedir.
Kimlik doğrulama mekanizmasının kurgulanmasında faydalanılabilecek yöntemlerin alternatiflendirilmesi ile bankaların kendilerini en az mali yüke sokacak düzenlemeyi tercih etmelerinin sağlanmasına çalışıldığı açıktır.
Oysa kişisel olarak ben, bu konuda bir düzenleme yapılması gereğini daha fazla yadsıyamacağı anlaşılan BDDK’nın benimseyeceği tavrın, pratikte uygulanabilirlik dışındaki hiçbir kriteri gözetmeksizin, etkili bir güvenlik mekanizması için gereken şartları net bir şekilde ortaya koymak, hatta internet bankacılığı faaliyetini, bu şartların karşılanmasına bağlı olarak edinilebilecek bir lisans ile ilişkilendirmek netliğinde bir önlem paketi içermesini beklerdim.
Aslında bankalar için internet bankacılığı güvenliğinin iki komponenti bulunmaktadır. Birincisi kendi internet bankacılığı hizmetlerini tercih edilir kılmak, ki bu müşteriye az zahmet verme ilkesi diye de tanımlanabilir; ikincisi ise güvenlik zaafiyetlerinin sonucu olarak oluşabilecek maddi zararlardan kurumsal olarak etkilenmemek, buna da kendini koruma ilkesi denilebilir.
Mevcut düzende bankaların eğilimi, müşteriye güvenlik önlemlerini tercihli olarak sunmak, böylece hızlı ve zahmetsiz internet bankası imajını sürdürebilmek ve olası maddi zararları da özel sözleşme hükümleriyle engellemek şeklindedir. Bir başa deyişle, bankaların tavrı kısaca “ben önlem alternatiflerini sundum, müşteri kullanmazsa maddi yükümlülüğüm de olmamalı” eksenindedir.
Oysa internet bankacılığı güvenliği, rahat ve hızlı hizmet alternatifleri kisvesi altında müşterilerin maddi güvenliği üzerinden rekabet edilemeyecek kadar hassas bir konudur.
BDDK’nın en kısa sürede özkaynak gereksinimlerinin ya da tek düzen hesap planının şartlarını belirlediği düzenlemelerle aynı samimiyet düzeyinde bir internet bankacılığı kuralları bütününü sektöre kazandırmasını dilerim.
25 Eylül 2007 14:52'de
güvenlik çok ömnemli bişi