Recent developments

The Banking Regulation and Supervision Agency ("BRSA") opened Draft Circular No. 2022/2 on the Criteria for Authentication and Transaction Security in Electronic Banking Services and Establishment of Contractual Relationships in Electronic Environment ("Draft Circular") for consultation in order to clarify the application of different regulations regarding authentication and transaction security in electronic banking services and to establish contractual relationships in the electronic environment. Stakeholders may submit their comments and opinions on the Draft Circular via email to [email protected].

The Draft Circular is available online here (in Turkish).

What's new?

The Draft Circular clarifies the issues regarding the implementation of the Regulation on Banks' Information Systems and Electronic Banking Services ("BSEBY"), the Regulation on Remote Identification Methods and Establishment of Contractual Relationship in Electronic Environment ("UKTY") and the Regulation on Operating Principles of Digital Banks and Service Model Banking ("DBY") with respect to the following topics:

  • Use of customer-specific encryption secret key and transaction signing

A "verification code" should be generated for authentication and authorization (transaction verification), which is used for encryption secret key assigned for, and specific to the customer in terms of internet banking and mobile banking transactions. Accordingly, the verification code should be signed with a customer-specific encryption secret key.

In order to activate the encryption secret key before signing the content, the customer's security data, such as "PIN," must be verified online at the bank instead of on the device where the mobile application is installed.

In addition, in relation to the verification of log-in and subsequent transactions, a one-time password (OTP) or verification code must not be sent via SMS to customers who have already installed and activated the mobile banking application, except for cases where the mobile banking application is installed or activated for the first time, reactivated, or the application is inaccessible at the time.

  • Ensuring the realization of transaction signature/approval in accordance with the information submitted for customer approval

The Draft Circular states that the signing of customer-specific encryption secret key and verification codes alone is not sufficient for identity or transaction verification and for the establishment of a contractual relationship by electronic means as a substitute for written form. Accordingly, it is emphasized that the encryption secret key should be securely assigned to the customer, measures should be taken to prevent its use by unauthorized persons, and the undeniability of these transactions and the assignment of responsibility should be made possible by signing/confirming transactions according to the information provided for customer approval.

The Draft Circular explains, in detail, the methodology to be followed in this context.

  • Ensuring that the interface provider's mobile application or internet-browser-based interface complies with authentication and transaction security obligations

The DBY and BSEBY stipulate that the interface provider and the service bank are jointly and severally responsible for ensuring that the mobile application or internet-browser-based interface of the interface providers fulfills the abovementioned obligations regarding authentication and transaction security, and that the signing/confirming transactions is carried out in line with the information submitted for customer approval. In this regard, the Draft Circular states that interface providers should conduct their activities in accordance with the methodology described in the Draft Circular.

  • Adaptation of products used, developed and purchased for authentication and transaction signing

The Draft Circular explains that the compliance of products developed or purchased in-house and used for authentication and transaction signing with the Draft Circular will be assessed in accordance with the information systems audit to be conducted under the BRSA's Regulation on Independent Audit of Information Systems and Business Processes.

In addition, the Draft Circular imposes an obligation on organizations that sell these products or provide outsourced services to apply to the BRSA for permission to offer products and services to banks, other institutions under the BRSA's supervision and auditing, and interface providers within the scope of authentication and transaction signing.

Conclusion

The Draft Circular aims to clarify certain issues regarding the implementation of various BRSA regulations on authentication and transaction signing in a holistic manner. The relevant stakeholders will be able to send their opinions on the Draft Circular by email to [email protected].

Elektronik Bankacılık Hizmetlerinde Kimlik Doğrulama ve İşlem Güvenliğine İlişkin Genelge Taslağı Görüşe Açıldı

Yeni Gelişmeler

Bankacılık Düzenleme ve Denetleme Kurumu ("BDDK") elektronik bankacılık hizmetlerinde ve elektronik ortamda sözleşme ilişkisinin kurulmasında kimlik doğrulama ve işlem güvenliği ile ilgili olarak farklı yönetmeliklerdeki hükümlerin yeknesak bir şekilde nasıl uygulanacağını açıklığa kavuşturmak için hazırladığı 2022/2 sayılı Elektronik Bankacılık Hizmetlerinde ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasında Kimlik Doğrulama ve İşlem Güvenliği için Sağlanması Gereken Kriterler Hakkında Genelge Taslağı'nı ("Taslak Genelge") görüşe açtı.Taslak Genelge hakkında görüşler [email protected] adresine e-posta ile iletilebilecek.

Taslak Genelge'ye buraya tıklayarak ulaşabilirsiniz.

Taslak ne getiriyor?

Taslak Genelge ile aşağıda yer alan konu başlıkları özelinde Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik ("BSEBY"), Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik ("UKTY") ve Dijital Bankaların Faaliyet Esasları ile Servis Modeli Bankacılığı Hakkında Yönetmelik'in ("DBY") uygulamasına ilişkin hususlara açıklık getiriliyor.

  • Müşteriye özgü şifreleme gizli anahtarının kullanılması ve işlem imzalama

İnternet bankacılığı ve bunun özelleşmiş bir hali olan mobil bankacılık işlemleri bakımından müşteriye atanmış ve özgülenmiş bir şifreleme gizli anahtarının kullanım alanları olan kimlik doğrulama ve yetkilendirme (işlem doğrulama) için "doğrulama kodu" üretilmesi ve bunun müşteriye özgü gizli şifreleme anahtarı ile imzalanması gerektiği vurgulanıyor.

Şifreleme gizli anahtarının içerik imzalama öncesi aktifleştirilmesi için kullanılacak "PIN" gibi "müşterinin bildiği unsurun" mobil uygulamanın yüklü olduğu cihaz üzerinde lokalde değil, banka nezdinde çevrimiçi doğrulanması gerekecek.

Ayrıca, mobil bankacılık uygulamasının ilk kurulumu, aktifleştirilmesi, yeniden aktifleştirilmesi ya da uygulamanın kullanılamaz olması durumları hariç tutulmak kaydıyla, mobil bankacılık uygulamasını yükleyip aktifleştiren müşterilere, oturum açma ve devamındaki işlemlerin doğrulanması için SMS ile tek seferlik şifre (one-time password, OTP) ya da "doğrulama kodu" gönderilemeyeceği vurgulanıyor.

  • Müşteri onayına sunulan bilgilere göre işlem imzalamanın/onayının gerçekleştirilmesinin sağlanması

Taslak Genelge'de kimlik veya işlem doğrulama ve elektronik yolla yazılı şeklin yerine geçecek nitelikte bir sözleşme ilişkisi kurulabilmesi için müşteriye özgü şifreleme gizli anahtarı ile doğrulama kodlarının imzalanmasının tek başına yeterli olmadığı belirtiliyor.

Bu doğrultuda, şifreleme gizli anahtarının güvenli bir şekilde müşteriye atanması, yetkisiz kişilerde kullanılmasını engelleyecek önlemler alınması ve müşteri onayına hangi bilgiler sunulmuş ise o bilgilere göre işlem imzalamanın/onayının gerçekleştirilmesi sayesinde bu işlemlerin inkar edilemezliğinin ve sorumluluk atamanın mümkün kılınması gerektiği vurgulanıyor. Taslak Genelge, bu kapsamda uyulması gereken metodolojiyi detaylı bir şekilde açıklıyor.

  • Arayüz sağlayıcının mobil uygulaması ya da internet tarayıcısı temelli arayüzünün, kimlik doğrulama ve işlem güvenliği yükümlülüklerine uygun olmasının sağlanması

DBY ve BSEBY ile, arayüz faaliyetinde bulunacakların mobil uygulaması ya da internet tarayıcısı temelli arayüzünün yukarıda belirtilen kimlik doğrulama ve işlem güvenliğine ilişkin yükümlülükler ile işlem imzalamanın/onayının müşteri onayına sunulan bilgiler doğrultusunda gerçekleştirilmesinden arayüz sağlayıcı ve servis bankasının müteselsilen sorumlu olduğu düzenleniyor. Bu kapsamda, Taslak Genelge'de, arayüz sağlayıcıların faaliyetlerini Genelge'de açıklanan metodolojiye uygun şekilde yürütmesi gerektiği belirtiliyor.

  • Kimlik doğrulama ve işlem imzalama amacıyla kullanılan, geliştirilen ve satın alınan ürünlerin Taslak Genelge'ye intibakı

Taslak Genelge'de kimlik doğrulama ve işlem imzalama amacıyla kullanılan kurum içi geliştirilen ya da satın alınan ürünlerin Taslak Genelge'ye uygunluğunun BDDK'nın Bilgi Sistemleri ve İş Süreçleri Bağımsız Denetimi Hakkında Yönetmelik kapsamında gerçekleştirilecek bilgi sistemleri denetimi uyarınca değerlendirileceği açıklanıyor.

Ek olarak, Taslak Genelge ile söz konusu ürünleri satan ya da dış hizmet sağlayan kuruluşlara kimlik doğrulama ve işlem imzalama kapsamında bankalara, BDDK gözetimi ve denetimi altındaki diğer kuruluşlara ve arayüz sağlayıcılara ürün ve hizmet sunabilmek için BDDK'ya başvurarak izin alma yükümlülüğü getiriliyor.

Sonuç

Taslak Genelge ile BDDK'nın kimlik doğrulama ve işlem imzalamaya yönelik düzenlemeler içeren çeşitli yönetmeliklerinin uygulamasına dair tereddütlerin giderilmesi ve bütüncül bir yaklaşım sağlanması amaçlanıyor. İlgililer, Taslak Genelge hakkında görüşlerini [email protected] adresine e-posta ile iletebilecek.