Duyurular

BDDK Tarafından Elektronik Bankacılık Hizmetlerinde ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasında Kimlik Doğrulama ve İşlem Güvenliği için Sağlanması Gereken Kriterler Konulu Genelge Taslağı(2022/2) Yayımlanmıştır

Bankacılık Düzenleme ve Denetleme Kurumu (“BDDK”) yayımladığı 2022/2 sayılı Genelge Taslağı ile elektronik bankacılık hizmetlerinde ve elektronik ortamda sözleşme ilişkisinin kurulmasında kimlik doğrulama ve işlem güvenliği için sağlanması gereken kriterleri açıklamıştır.

  1. Müşteriye Özgü Şifreleme Gizli Anahtarının Kullanılması ve İşlem İmzalama (Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği (“BSEBY”) Madde 34-38-39):

BSEBY’nin 38,34 ve 39. madde hükümleri çerçevesinde, müşteriye atanmış ve özgülenmiş bir şifreleme gizli anahtarının kullanım alanları:

1. Kimlik doğrulama,

2. Yetkilendirme (işlem doğrulama)

işlemlerinden oluşmakta olup hem internet bankacılığı dağıtım kanalı hem de bu dağıtım kanalının özelleşmiş bir hali olan mobil bankacılık dağıtım kanalında kimlik doğrulama ve yetkilendirme işlemlerinin gerçekleştirilebilmesi için “doğrulama kodu” üretilmesi ve bunun 2 müşteriye özgü şifreleme gizli anahtarı ile imzalanması şart koşulmuştur.

Şifreleme gizli anahtarının içerik imzalama öncesi aktifleştirilmesi için kullanılacak “PIN” gibi “müşterinin bildiği unsurun” mobil uygulamanın yüklü olduğu cihaz üzerinde lokalde değil, banka nezdinde çevrimiçi doğrulanması gerekmektedir.

Ayrıca, BSEBY’nin 34 üncü maddesinin yedinci fıkrası ve 38 inci maddenin üçüncü fıkrası uyarınca, mobil bankacılık uygulamasının ilk kurulumu, aktifleştirilmesi, yeniden aktifleştirilmesi ya da uygulamanın kullanılamaz olması durumları haricinde, mobil bankacılık uygulamasını yükleyerek aktifleştirmiş olan müşterilere, oturum açma ya da oturumun devamında herhangi bir işlemin doğrulanması için hiçbir şekilde SMS ile OTP ya da “doğrulama kodu” gönderilmesi mümkün bulunmamakta olup, SMS ile yapılacak bu tür bildirimlere, yalnızca bu hükümlerde belirtilen istisnai durumlarda başvurulması ve bunun rutin bir uygulama haline getirilmemesi gerekmemektedir.

 

  1. Müşteri Onayına Hangi Bilgiler Sunulmuş ise O Bilgilere Göre İşlem İmzalamanın/Onayının Gerçekleştirilmesinin Sağlanması Prensibi (BSEBY Madde 35- 38 / UKTY Madde 12):

Söz konusu imzalama işlemlerinin yukarıda anılan hükümlere ve WYSIWYS prensibine uygunluğunun sağlanabilmesi için kullanılacak metodolojinin aşağıdaki açıklamalara uygun olması gerekmektedir:

1. Öncelikle bankanın işlem imzalamada kullanılmak üzere, mobil uygulaması içinde bu işlemlere özgü güvenli bir ortam yaratmak ve BSEBY’nin 34 üncü maddesinin onbeşinci fıkrasından kaynaklanan yükümlülüklerini yerine getirmek üzere

i. Spesifik bir Yazılım Geliştirme Kiti (“SDK”) ve

ii. Doğrudan bu SDK ile güvenli ayrı bir kanaldan iletişim kuracak şekilde yapılandırılmış bir Güvenlik Sunucusu (“SS”)

oluşturması gerekmektedir.

2. İşlem imzalamada kullanılacak müşteriye özgü şifreleme gizli anahtarının, SDK kontrolündeki güvenli bir alanda şifrelenmiş bir şekilde saklanması ve yalnızca SS’nin gerçekleştireceği güvenlik kontrolleri sonrası ve yalnızca SS tarafından sunulacak anahtar ile şifresinin çözülmesi diğer bir deyişle işlem imzalama için aktifleştirilmesi gerekmektedir.

3. SS’nin şifreleme gizli anahtarını aktifleştirmesi için, imzalama talebinin gerçekten “müşterinin sahip olduğu” kimlik doğrulama unsuru niteliğinde olan bankanın güvenli mobil uygulamasından geldiğini teyit edecek güvenlik kontrollerini gerçekleştirmesi gerekmekte ve bu güvenlik kontrolleri için SS’ye sağlanacak risk verileri SDK’nin arkada planda sürekli bir şekilde çalışan güvenlik sensörleri yoluyla SDK ile SS arasındaki tahsisli güvenli ayrı bir kanaldan (Out-of-Band) SS’ye iletilmelidir.

4. SDK’nin güvenlik sensörleri, BSEBY’nin 34 üncü maddesinin onbeşinci fıkrasına uygun olacak şekilde, sürekli bir biçimde asgari olarak aşağıdaki kontrolleri sağlayarak SS’ye iletilmek üzere gerekli risk verilerini oluşturmalıdır:

i. Mobil uygulama güvenilirliğinin bozulmasına ilişkin kontroller,

a) Hassas verilerin kullanıcı arayüzü üzerinden girilmesi esnasında çalınmasını engellemeye yönelik kontroller (anti-keylogging)

b) Çalışmakta olan SDK kodunun çalışma anında değiştirilmediğine ve araya zararlı kod parçalarının eklenmediğine ilişkin kontroller (anti-injection)

c) Aktive edilmiş mobil bankacılık uygulaması ve SDK’nin yalnızca aktivasyon sırasında kaydedilmiş mobil cihaz üzerinde çalıştığına ilişkin kontroller (device-binding)

ii. Mobil cihaz güvenilirliğinin bozulmasına ilişkin kontroller,

a) Mobil cihazın zararlı yazılım barındırıp barındırmadığı ya da bu yazılımlarca ele geçirilip geçirilmediğine ilişkin kontroller (antimalware),

b) Mobil cihaz işletim sisteminin kırılıp kırılmadığına (jailbreaking) ilişkin kontroller,

5. SS ile SDK arasındaki kanalın güvenliğinin sağlanabilmesi için, mobil bankacılık uygulaması ve SDK’nin ilk aktivasyonu sırasında, henüz aktive edilmemiş SDK örneğinde(instance) önyüklü olarak bulunması gereken SS’nin sunucu sertifikası 6 yoluyla güvenli bir TLS bağlantısı kurulması sağlanmalı ve sonrasında aktivasyonu gerçekleşen SDK örneği ve mobil cihaza özgü olacak şekilde SS tarafından üretilen istemci sertifikasının bu güvenli bağlantı üzerinden ilgili SDK örneğine atanması suretiyle, söz konusu istemci-sunucu sertifikaları üzerinden SS ve SDK arasındaki iletişimde kullanılacak uçtan uca güvenli bağlantı kanalının kurulması sağlanmalıdır.

6. Her bir SDK örneğinin(instance), ancak 4.maddede belirtilen güvenlik sensörleri üzerinden oluşturduğu risk verileri üzerinden SS’nin bütünlük kontrolünden geçmek ve SS’nin kendisine atadığı istemci sertifikası yoluyla kimliğini SS’ye doğrulamak kaydıyla, müşterinin girdiği PIN/bilinen unsur için doğrulama isteği gönderebilmesi sağlanmalı ve 3.madde de belirtildiği üzere SDK ile SS arasındaki iletişim, mobil bankacılık uygulaması ile banka arkayüzü (back-end) arasındaki iletişim kanalından ayrı ve yalnızca SS ve SDK arasındaki iletişime tahsisli uçtan uca güvenli ayrı bir kanal (Out-of-Band) üzerinden yapılmalıdır.

7. Mobil bankacılık uygulaması ve SDK’nın ilk aktivasyonu sırasında,

i. Müşterinin “bildiği unsur” olarak kullanacağı PIN ya da parolanın, SDK tarafından salted-hash (tuzlanmış kriptografik özet) haline dönüştürülerek SS veritabanında saklanmak üzere SS’ye gönderilmesi;

ii. SS’nin aynı zamanda bir “Sertifika Otoritesi” rolü oynayarak, aktivasyonu gerçekleşen SDK örneği ve mobil cihaza özgü olacak şekilde RSA algoritmasına göre oluşturulmuş en az 2048 bit uzunluğunda bir asimetrik şifreleme anahtar çifti oluşturması ve anahtar çiftlerinden gizli olanını yalnızca SS’de tutulan bir simetrik şifreleme anahtarı ile şifreleyerek SDK’nin kontrolündeki güvenli bir alanda bu simetrik anahtarla şifrelenmiş olarak saklanmak üzere SDK’ye iletmesi gerekmektedir.

8. 7.maddede belirtilen PIN/bilinen unsura ilişkin salted-hash verisi SDK tarafında hiçbir şekilde saklanmamalı ve doğrulama isteğinin gönderilmesini müteakip derhal SDK tarafında silinmeli ve SS veritabanında da PIN/bilinen unsur verisi hiçbir şekilde açık bir şekilde (plain text) saklanmamalı, söz konusu veritabanında bunlara ilişkin salted-hash bilgisi yalnızca şifrelenmiş bir şekilde tutulmalıdır.

9. SDK’nın SS’ye göndereceği PIN/bilinen unsur için doğrulama isteği BSEBY’nin 11 inci maddesinin üçüncü fıkrasına uygun olarak, müşterinin girdiği PIN/bilinen unsurun salted-hash halinin SS veritabanında bulunan salted-hash hali ile karşılaştırılması yoluyla çevrimiçi doğrulanmalıdır.

10. Müşterinin PIN/bilinen unsur doğrulama işleminin 9.maddede belirtildiği şekilde başarıyla gerçekleşmesi halinde,

i. SS ve SDK arasındaki tahsisli güvenli kanal üzerinden SS’nin, SDK kontrolündeki güvenli alanda şifrelenmiş bir şekilde tutulan müşteriye özgü yedi şifreleme gizli anahtarının şifresini çözecek simetrik şifreleme anahtarını SDK’ye iletmesi ve

ii. SDK tarafından bu anahtarla müşteriye özgü şifreleme gizli anahtarının şifresinin çözülmesi suretiyle söz konusu şifreleme gizli anahtarının imzalanacak işlem için aktifleştirilmesi sağlanmalıdır.

11. SS üzerinden aktifleştirilen şifreleme gizli anahtarı yoluyla,

i. SDK tarafından üretilen kimlik doğrulamaya yönelik doğrulama kodunun,

ii. SDK tarafından müşteriye gösterilen bilgiler üzerinden müşterinin onayladığı tutar ve alıcı bilgisine göre spesifik olacak şekilde, SDK tarafından finansal sonuç doğuran işlemler için üretilen doğrulama kodunun,

iii. SDK tarafından müşteriye gösterilen bilgiler üzerinden müşterinin onayını ve irade beyanını yansıtan elektronik ortamda kurulacak sözleşmelerin müşteri tarafından elektronik imzalı olarak imzalanması sağlanmalıdır.

  1. Arayüz Sağlayıcının Mobil Uygulaması ya da İnternet Tarayıcısı Temelli Arayüzünün, Kimlik Doğrulama ve İşlem Güvenliği Yükümlülüklerine Uygun Olmasının Sağlanması (DBY Madde 13):

DBY uyarınca arayüz sağlayıcılığı faaliyetinde bulunacakların mobil uygulama arayüzü içinde, servis bankasının SDK’sının gömülü olması ve işbu Genelge Taslağı ekinin 2.bölümünde belirtilen işlem imzalama akışlarının; bu mobil uygulama arayüzüne gömülü servis bankası SDK’sı ve bu SDK ile tahsisli uçtan uca güvenli ayrı bir kanaldan iletişim kuracak şekilde yapılandırılmış olan servis bankası Güvenlik Sunucusu (SS) üzerinden yürütülmesi gerekmektedir.

  1. Kimlik Doğrulama ve İşlem İmzalama Amacıyla Kullanılan, Geliştirilen ve Satın Alınan Ürünlerin İşbu Genelge Taslağı Ekinde Yer Verilen Açıklamalara İntibakı:

Kurum içi geliştirilen ya da satın alınan ürünlerin bu uygunluğu sağladığı, 31.12.2021 tarihli ve 31706 sayılı 6. Mükerrer Resmi Gazete’de yayımlanan Bilgi Sistemleri ve İş Süreçleri Bağımsız Denetimi Hakkında Yönetmelik uyarınca gerçekleştirilecek bilgi sistemleri denetimi kapsamında ele alınmak zorundadır.

               Genelge Taslağının tam metnine buradan ulaşabilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr