0312 230 00 90
av.ebru.unsal@gmail.com

Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğ12.8.2024

Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri İle Ödeme Hizmeti Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğ detaylarına sitemiz üzerinden erişebilir ve hukuki destek talepleriniz adına bizi arayabilirsiniz.

 

ÖDEME VE ELEKTRONİK PARA KURULUŞLARININ BİLGİ SİSTEMLERİ İLE
ÖDEME HİZMETİ SAĞLAYICILARININ ÖDEME HİZMETLERİ ALANINDAKİ VERİ
PAYLAŞIM SERVİSLERİNE İLİŞKİN TEBLİĞ

BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak, Tanımlar ve Kısaltmalar
Amaç ve kapsam
MADDE 1 – (1) Bu Tebliğin amacı, ödeme kuruluşları ve elektronik para kuruluşlarının
faaliyetlerinin yürütülmesinde kullandıkları bilgi sistemlerinin yönetimi ve yetkilendirilmiş
bağımsız denetim kuruluşları tarafından denetlenmesi ile ödeme hizmeti sağlayıcılarının ödeme
hizmetleri alanındaki veri paylaşım servislerine ilişkin usul ve esasları düzenlemektir.

Dayanak
MADDE 2 – (1) Bu Tebliğ, 20/6/2013 tarihli ve 6493 sayılı Ödeme ve Menkul Kıymet
Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanunun
12 nci, 14 üncü, 14/A, 18 inci ve 21 inci maddelerine dayanılarak hazırlanmıştır.

Tanımlar ve kısaltmalar
MADDE 3 – (1) Bu Tebliğde yer alan;
a) Açık rıza: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 3
üncü maddesinin birinci fıkrasının (a) bendinde tanımlanan açık rızayı,
b) Alıcı: Ödeme işlemine konu fonun ulaşması istenen gerçek veya tüzel kişiyi,
c) Anonim ön ödemeli araç: Herhangi bir şekilde ödeme hesabına bağlı olmayan ve
kimlik tespiti veya doğrulaması yapılmamış, önceden ödeme ya da yükleme yapılması suretiyle
kullanılabilir hale gelen, tekrar yükleme yapılma imkanı bulunan veya bulunmayan şekilde
ihraç edilebilen ve yüklenen bakiye kadar kullanıma izin verilen ön ödemeli aracı,
ç) API: Farklı yazılımların birbirleri üzerinde tanımlanmış servisleri kullanabilmesi ve
aralarında veri alışverişi yapabilmesi için belirli koşul ve kurallar çerçevesinde oluşturulmuş
arayüzleri,
d) Aydınlatma: 6698 sayılı Kanunun 10 uncu maddesi kapsamında yapılacak
bilgilendirmeyi,
e) Bağımsız denetim kuruluşu: Kamu Gözetimi, Muhasebe ve Denetim Standartları
Kurumu tarafından yetkilendirilmiş bağımsız denetim kuruluşlarından Bankacılık Düzenleme
ve Denetleme Kurumu tarafından yayımlanan Bankalarda Bilgi Sistemleri Denetimi Yapmaya
Yetkili Bağımsız Denetim Kuruluşları listesinde yer alan bağımsız denetim kuruluşunu,
f) Banka: Türkiye Cumhuriyet Merkez Bankası Anonim Şirketini,
g) Banka ödeme sistemi: Banka tarafından işletilen ödeme sistemlerini,
ğ) Bilgi sistemleri: Ödeme hizmetine ilişkin faaliyetlerin yürütülmesi amacıyla ödeme
hizmeti sağlayıcısının bilgi ve verilerle ilgili olarak mevzuatla belirlenmiş sorumluluklarının
yerine getirilmesini sağlayan donanım, yazılım, veri, süreç ve insan kaynağından oluşan
yapının tamamını,
h) Bilgi varlığı: Kurumsal bilgiye erişimde ve bu bilginin işlenmesinde, iletilmesinde,
saklanmasında, korunmasında ve imhasında kullanılan donanım, yazılım, belge, veri ve insan
gibi her türlü kaynağı,

2/32
ı) Birincil merkez: Birincil sistemlerin tesis edildiği yapıyı,
i) Birincil sistemler: Kanun, Yönetmelik, bu Tebliğ ve Bankaca Kanun kapsamında
çıkarılacak ilgili diğer düzenlemelerde yer alan hususlarla ilgili bütün bilgilerin, elektronik
ortamda güvenli ve istenildiği an erişime imkân sağlayacak şekilde saklanıldığı sistemler ile
faaliyetlerin yürütülmesinde kullanılan altyapı, donanım, yazılım ve veriden oluşan sistemin
tamamını,
j) Biyometrik veri: Kimlik doğrulama işlemlerinin gerçekleştirilmesi esnasında kullanılan
retina, iris, yüze ait karakteristik özellikler, ses ve parmak izi benzeri kişiye özgü ölçülebilir
biyolojik veya davranışsal karakteristiği,
k) BKM: Bankalararası Kart Merkezi Anonim Şirketini,
l) BKM-API Geçidi: Kanunun 12 nci maddesinin birinci fıkrasının (f) ve (g) bentlerinde
yer alan ödeme hizmetlerinin sunulması için Yönetmeliğin 59 uncu maddesinin beşinci fıkrası
uyarınca BKM tarafından kurulacak yapıyı,
m) BSDHY: 13/1/2010 tarihli ve 27461 sayılı Resmî Gazete’de yayımlanan Bağımsız
Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin
Denetimi Hakkında Yönetmeliği,
n) Değişiklik yönetimi: Önceden belirlenmiş prosedürlerin kullanımı yoluyla bilgi
sistemleri ile ilgili tüm değişikliklerin etkin ve güvenli bir şekilde ve zamanında
gerçekleştirilmesini sağlamayı ve bu değişikliklerden kaynaklanabilecek olayların sayısı ile bu
olayların sunulan hizmetler üzerindeki etkisini asgari düzeye indirmeyi amaçlayan bilgi
sistemleri hizmet yönetimi disiplinini,
o) Denetim izleri: Bir finansal ya da operasyonel işlemin başlangıcından bitimine kadar
adım adım takip edilmesini sağlayacak kayıtlar ile bilgi varlıklarına kimin eriştiğini veya
erişmeye çalıştığını ve kullanıcının hangi işlemleri gerçekleştirdiğini gösteren kayıtları,
ö) Dış hizmet sağlayıcı: Kuruluşun, Yönetmeliğin 21 inci maddesi çerçevesinde
münhasıran kendisi tarafından yapılması gerekenler dışında kalan faaliyetlerini kuruluş adına
gerçekleştiren ya da gerçekleştirilmesinde kuruluşa yardımcı nitelikte hizmet veren tüzel kişiyi,
p) Elektronik kanal: Müşterilerin ödeme hizmeti sağlayıcısının fiziksel şube ve
temsilcilerine gitmeden uzaktan ödeme hizmeti alabildikleri mobil uygulama, internet şubesi,
telefon hizmetleri, ATM, kiosk cihazı, API ve benzeri her türlü elektronik hizmet yöntemini,
r) Elektronik para: Elektronik para ihraç eden kuruluş tarafından kabul edilen fon karşılığı
ihraç edilen, elektronik olarak saklanan, Kanunda tanımlanan ödeme işlemlerini
gerçekleştirmek için kullanılan ve elektronik para ihraç eden kuruluş dışındaki gerçek ve tüzel
kişiler tarafından da ödeme aracı olarak kabul edilen parasal değeri,
s) Elektronik para ihraç eden kuruluş: Elektronik para kuruluşlarını, 19/10/2005 tarihli ve
5411 sayılı Bankacılık Kanunu kapsamındaki bankaları ve Posta ve Telgraf Teşkilatı Anonim
Şirketini,

ş) Elektronik para kullanıcısı: Gönderen, alıcı veya her ikisi sıfatıyla elektronik para ihraç
eden kuruluşların sunduğu elektronik para ihracı ve fona çevirme hizmetlerinden faydalanan
gerçek veya tüzel kişiyi,
t) Elektronik para kuruluşu: Kanun kapsamında elektronik para ihraç etme yetkisi verilen
tüzel kişiyi,
u) Fon: Banknot, madeni para, kaydi para veya elektronik parayı,
ü) Gönderen: Kendi ödeme hesabından veya ödeme hesabı bulunmaksızın ödeme emri
veren gerçek veya tüzel kişiyi,
v) Güçlü kimlik doğrulama: Kimlik doğrulamada kullanılan ve bir bileşenin ele
geçirilmesinin diğer bileşenin güvenliğini tehlikeye atmayacağı en az iki bileşenden oluşan, bu
iki bileşenin de müşterinin bildiği, sahip olduğu veya biyometrik bir karakteristiği olan bileşen
sınıflarından farklı ikisine ait olacak şekilde seçildiği yöntemi,
3/32
y) Güvenli bileşen: İçinde barındırdığı gizli verilerin yetkisiz kişilerce erişilmesine,
kopyalanmasına ve kendi dışına çıkarılmasına imkân vermeyen SIM kart, akıllı kart gibi
bileşeni,
z) Hassas müşteri verisi: Ödeme emrinin verilmesinde veya müşterinin kimliğinin
doğrulanmasında kullanılan ve üçüncü kişilerce ele geçirilmesi veya değiştirilmesi halinde
dolandırıcılık ya da müşteri adına sahte işlem yapılmasına imkân verebilecek kişisel veriler ile
müşteri güvenlik bilgilerini,
aa) Hesap bilgisi hizmeti: Kanunun 12 nci maddesinin birinci fıkrasının (g) bendinde
tanımlanan hizmeti,
bb) Hesap bilgisi hizmeti sağlayıcısı - HBHS: Kanunun 12 nci maddesinin birinci
fıkrasının (g) bendinde tanımlanan ödeme hizmetini sunan tüzel kişiyi,
cc) Hesap hizmeti sağlayıcısı (HHS): Nezdinde ödeme hesabı bulunan ödeme hizmeti
sağlayıcısı,
çç) Hizmet seviyesi: Hizmetlerin maliyeti ile söz konusu hizmetleri alanların gereksinim
ve beklentilerinin göz önünde bulundurulması suretiyle, hizmeti sunan tarafından hizmetin
içeriği ile kalitesine ilişkin yazılı olarak önceden belirlenen ve ilgili taraflarla paylaşılan
seviyeyi,

dd) İkincil merkez: Birincil merkezin kullanılamadığı durumlarda, birincil ve ikincil
sistemlere kullanıma hazır olacak şekilde erişilebildiği, personelin çalışmasına imkân tanıyacak
ve birincil merkezin tesis edildiği yapı ile aynı riskleri taşımayacak şekilde oluşturulmuş yapıyı,
ee) İkincil sistemler: Birincil sistemler aracılığı ile yürütülen faaliyetlerde bir kesinti
olması halinde, bu faaliyetlerin iş sürekliliği planında belirlenen kabul edilebilir kesinti süreleri
içerisinde sürdürülür hale getirilmesini ve Kanun, Yönetmelik, bu Tebliğ ve Bankaca Kanun
kapsamında çıkarılacak ilgili diğer düzenlemelerde yer alan hususlarla ilgili bütün bilgilere
erişilmesini sağlayan birincil sistem yedeklerini,
ff) İnsansız hizmet noktası: Müşterilerin, ödeme işlemi ya da elektronik para ile ilgili
işlemleri kendi kendine yapabildiği, sahipliği bir veya birden fazla kuruluşa ait olan ve fiziki
bir lokasyonu bulunan ATM, kiosk gibi cihazları,
gg) İnternet şubesi: Müşterilerin, ödeme hizmeti sağlayıcılarının Kanun kapsamında
sundukları hizmetlere, kullandıkları cihaz ya da platformdan bağımsız olarak, internet yoluyla
ulaşabildiği ve kendilerine ait finansal veya kişisel verileri görüntüleyebildiği, değiştirebildiği
ya da finansal sorumluluk yaratacak işlemler gerçekleştirebildiği ve hizmetlerin internet sitesi
üzerinden sunulduğu elektronik kanalları,
ğğ) İşlem bilgisi: Gerçekleştirilen işleme ilişkin işlem zamanını, işlemin niteliğini ve
ödeme işlemi için ödeme emrinin masraf, komisyon ve ücretler de dahil hesabın
borçlandırılacağı toplam tutarını ve ödemenin göndereni ile alıcısını veya toplu ödeme emrinin
masraf, komisyon ve ücretler de dahil hesabın borçlandırılacağı toplam tutarını ve göndereni
ile alıcılarını içeren bilgiyi,
hh) İşlem doğrulama kodu: Kimlik doğrulama yöntemlerinden biriyle kendisini sisteme
tanıtan bir müşterinin gerçekleştirmek istediği işleme özgü olmak ve belirli bir geçerlilik süresi
içinde işlem onayında kullanılmak üzere oluşturulan, finansal sonuç doğuran işlemlerde kişiye
onay anında ilgili işlem bilgisi ile birlikte gösterilen ve alıcı veya tutarın değişmesiyle geçersiz
hale gelen bilgiyi,
ıı) İşyeri: Ödeme hizmeti sağlayıcısı ile yaptığı sözleşme çerçevesinde ödeme hizmeti
kapsamına giren bir ödeme yöntemi ile mal ve hizmet satmayı kabul eden gerçek veya tüzel
kişiyi,
ii) Kanun: 20/6/2013 tarihli ve 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat
Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanunu,
4/32

jj) Karşılıklı doğrulama: İletişimde bulunan bilgi sistemlerinin birbirlerinin
kimliklerinden emin olmalarını sağlamak amacıyla kullanılan, iki tarafın da kendi kimliğini
diğer tarafa doğruladığı kimlik doğrulama yöntemini,
kk) Kesinti: Planlı olanlar dışında, ödeme hizmeti sağlayıcısının Kanun kapsamındaki
faaliyetlerine ilişkin operasyonel iş ve süreçlerinin sekteye uğramasını,
ll) Kimlik doğrulama: Bildirilen bir kimliğin gerçekten bildiren kişiye ait olduğuna dair
güvence sağlayan mekanizmayı,
mm) Kimlik tanımlayıcı: Ödeme hizmeti sağlayıcısı tarafından kimliğinin belirlenmesi
ve diğer kullanıcılardan ayırt edilmesi amacıyla müşteriye özgülenen sayı, harf veya
sembollerden oluşan kombinasyonu,
nn) Kişisel veri: 6698 sayılı Kanunun 3 üncü maddesinin birinci fıkrasının (d) bendinde
tanımlanan bilgiyi,
oo) Kullanıcı: Personel veya müşteri gibi ödeme hizmeti sağlayıcısının bilgi sistemleri
üzerinde işlem gerçekleştirmek üzere kendilerine hesap tanımlanmış olan her türlü kullanıcıyı,
öö) Kuruluş: Ödeme kuruluşları ve elektronik para kuruluşlarını,
pp) Mobil uygulama: Akıllı telefon veya tablet gibi mobil bir cihazda bulunan ödeme
hizmeti sağlayıcısına ait uygulama üzerinden müşterilerin Kanun kapsamına giren işlemlerini
gerçekleştirebildikleri özelleşmiş elektronik kanalı,
rr) Mobil uygulama etkinleştirme: Mobil uygulama için müşterinin mobil cihazının
müşteri ile eşleştirilmesini,
ss) Müşteri: Ödeme hizmeti kullanıcısı ile elektronik para kullanıcısını,
şş) Müşteri bilgisi: Müşterilere ait, işlem bilgisi, bakiye bilgisi, kişisel veri, kimlik
tanımlayıcısı, unvan dahil olmak üzere müşterinin kişisel ve finansal durumuna ilişkin
doğrudan veya dolaylı yoldan edinilen her türlü bilgiyi,
tt) Müşteri güvenlik bilgileri: Kimlik doğrulama işleminin yapılması amacıyla ödeme
hizmeti sağlayıcısı tarafından müşterisine verilen veya müşteri tarafından belirlenerek ödeme
hizmeti sağlayıcısı ile mutabık kalınan özelleştirilmiş bilgiyi,
uu) Olay: Bilgi sistemlerinin işleyişinde bir kesintiye ya da siber olay dâhil hizmet
kalitesinde düşüşe neden olan her türlü gelişmeyi,
üü) Oturum: Kullanıcıların elektronik kanallar üzerinden kimlik doğrulama mekanizması
ile bilgi sistemlerine dâhil olmalarından işlemlerini tamamlayıp sistemden ayrılmalarına kadar
geçecek tüm süreci kapsayacak şekilde tesis edilen, veri aktarımı, sunuşu veya
gerçekleştirilecek finansal işlemler için taraflar arasında kurulan mantıksal bağı,
vv) Ödeme aracı: Ödeme hizmeti sağlayıcısı ile müşteri arasında belirlenen ve müşteri
tarafından ödeme emrini vermek için kullanılan kart, cep telefonu, şifre ve benzeri kişiye özel
aracı,

yy) Ödeme emri: Müşteri tarafından ödeme işleminin gerçekleşmesi amacıyla ödeme
hizmeti sağlayıcısına verilen talimatı,
zz) Ödeme emri başlatma hizmeti: Kanunun 12 nci maddesinin birinci fıkrasının (f)
bendinde tanımlanan hizmeti,
aaa) Ödeme emri başlatma hizmeti sağlayıcısı - ÖBHS: Kanunun 12 nci maddesinin
birinci fıkrasının (f) bendinde belirtilen ödeme hizmetini sunan tüzel kişiyi,
bbb) Ödeme hesabı: Müşteri adına açılan ve ödeme işleminin yürütülmesinde kullanılan
hesabı,
ccc) Ödeme hizmeti: Kanunun 12 nci maddesi çerçevesinde ödeme hizmeti olarak kabul
edilen hizmetleri,
ççç) Ödeme hizmeti kullanıcısı: Gönderen, alıcı veya her ikisi sıfatıyla belirli bir ödeme
hizmetinden faydalanan gerçek veya tüzel kişiyi,
ddd) Ödeme hizmeti sağlayıcısı: 5411 sayılı Kanun kapsamındaki bankalar, elektronik
para kuruluşları, ödeme kuruluşları ve Posta ve Telgraf Teşkilatı Anonim Şirketini,
5/32

eee) Ödeme işlemi: Gönderen veya alıcının talimatı üzerine gerçekleştirilen fon yatırma,
aktarma veya çekme faaliyetini,
fff) Ödeme kuruluşu: Ödeme hizmeti sağlamak ve gerçekleştirmek için Kanun
kapsamında yetkilendirilmiş tüzel kişiyi,
ggg) Ön ödemeli araç: Müşterinin ödemelerde kullanılabilecek fonu ödeme aracını ihraç
eden ödeme hizmeti sağlayıcısına harcama yapmadan önce ödediği ve ödenene eşdeğer tutarda
fonun elektronik para olarak ödeme hizmetlerinde kullanılmasına imkân veren fizikî veya fizikî
varlığı bulunmayan ödeme aracını,
ğğğ) Parola: Kimlik doğrulamada kullanılan, harf, rakam ve/veya özel işaretlerden oluşan
ve gizli olan karakter dizisini,
hhh) Personel: Kuruluş personeli, temsilci personeli ve dış hizmet sağlayıcı çalışanı gibi
kuruluşun bilgi sistemleri üzerinde işlem gerçekleştirmek üzere kendilerine yetki verilmiş olan
her türlü kullanıcıyı,
ııı) Proje yönetimi: Önceden belirlenmiş metodolojilerin kullanımı yoluyla bilgi
sistemleri projelerinin, öngörülen zaman planına, bütçeye ve kalite düzeyine uygun olarak
tamamlanmasını temin edecek şekilde planlanmasını, organizasyonunu ve yürütülmesini
sağlayan süreci,
iii) Rekabete duyarlı veri: Ücret, komisyon, faiz gibi fiyat ile ilişkilendirilebilir her türlü
niceliksel veriyi,
jjj) Risk bazlı kimlik doğrulama: Çeşitli risk faktörlerinin dinamik bir şekilde
değerlendirilmesi suretiyle kimlik doğrulama sürecinin düşük risk profili için kolaylaştırılması,
yüksek risk profili için daha kapsamlı ve kısıtlayıcı hale getirilmesi yaklaşımını,
kkk) Sızma testi: Bilgi sistemlerinin güvenlik açıklarını istismar edilmeden önce tespit
etmek ve düzeltmek amaçlı gerçekleştirilen testi,
lll) Siber olay: 11/11/2013 tarihli ve 28818 sayılı Resmî Gazete´de yayımlanan Siber
Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar
Hakkında Tebliğin 3 üncü maddesinde tanımlanan siber olayı,
mmm) Siber olaya müdahale: Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve
Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğin 3 üncü maddesinde tanımlanan siber
olaya müdahaleyi,
nnn) SMS OTP: Elektronik haberleşme işletmecilerinin sunduğu SMS servisi aracılığıyla
iletilen tek kullanımlık parolayı,

ooo) Sorun: Bir veya daha fazla olayın kök nedenini,
ööö) Sürekli iş ilişkisi: 10/12/2017 tarihli ve 2007/13012 sayılı Bakanlar Kurulu Kararı
ile yürürlüğe konulan Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine
Dair Tedbirler Hakkında Yönetmelikte tanımlanan sürekli iş ilişkisini,
ppp) Tek kullanımlık parola: Kimlik doğrulamada sadece bir kez kullanılmak üzere
rastgele oluşturulan harf, rakam ve/veya özel işaret dizisini,
rrr) Temsilci: Kuruluş adına ve hesabına hareket eden gerçek veya tüzel kişiyi,
sss) Terminal: Ödeme aracı üzerindeki bilgiler ile hassas müşteri verilerini esas alarak
her türlü mal ve hizmet alımı veya nakit ödeme belgesi düzenlenmesi işlemleri ile ödeme
işlemlerinin ve elektronik para ile ilgili işlemlerin gerçekleştirilmesinde kullanılan, ödeme
hizmeti sağlayıcı tarafından temin edilen elektronik cihaz ya da yazılımı,
şşş) Uçtan uca güvenli iletişim: İletişime konu veriye sadece alıcısının erişebilmesi
amacıyla, söz konusu verinin gönderen tarafından sadece alıcının çözebileceği şekilde
şifrelenerek iletilmesini,
ttt) Uzaktan iletişim aracı: Mektup, katalog, telefon, faks, radyo, televizyon, elektronik
posta mesajı, internet, SMS hizmetleri gibi fiziksel olarak karşı karşıya gelinmeksizin sözleşme
kurulmasına imkan veren her türlü araç veya ortamı,
6/32
uuu) Üst yönetim: Kuruluşun yönetim kurulu üyeleri, genel müdür ve genel müdür
yardımcıları, iç kontrol ve risk yönetimi birimlerinin yöneticileri ile başka unvanlarla istihdam
edilseler dahi, danışmanlık birimleri dışındaki birimlerin, yetki ve görevleri itibarıyla genel
müdür yardımcısına denk veya daha üst konumlarda görev yapan yöneticilerini,
üüü) Veri paylaşım servisleri: Müşteriler adına hareket eden tarafların API’ler vasıtasıyla
HHS’nin sunduğu ödeme hizmetlerine uzaktan erişerek Kanun kapsamına giren işlemleri
gerçekleştirebildikleri veya bu tür işlemlerin gerçekleştirilmesi için HHS’ye talimat verdikleri
elektronik kanalı,
vvv) Yama: Programlarda tespit edilen güvenlik açıkları veya programın içeriğindeki
hatalı bir fonksiyonu düzeltme amaçlı hazırlanan program eklentisini,
yyy) Yönetmelik: 1/12/2021 tarihli ve 31676 sayılı Resmî Gazete’de yayımlanan Ödeme
Hizmetleri ve Elektronik Para İhracı ile Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmeliği,
ifade eder.

İKİNCİ BÖLÜM

Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler
Bilgi sistemleri yönetimine ilişkin genel hükümler
MADDE 4 – (1) Kuruluş, bilgi sistemlerine ilişkin faaliyetlerini yürütürken işleyişinden
sorumlu olduğu hizmetin kesintisiz, güvenli, etkin ve verimli bir şekilde çalışması amacını
öncelikli olarak gözetir.
(2) Kuruluş, bilgi sistemlerini Kanun kapsamında yürütmekte olduğu faaliyetlerin
konusu, hacmi, karmaşıklığı ve kapsamı ile uyumlu ve kişisel verilerin güvenliğine yönelik
gerekli idari ve teknik tedbirlere uygun şekilde tesis eder ve teknolojik gelişmeleri de dikkate
alarak günceller.
(3) Kuruluş, bilgi sistemleri yönetimine ilişkin politikaları, ana strateji ve hedefleri ile
uyumlu şekilde yazılı olarak oluşturur, yılda en az bir defa olmak üzere düzenli olarak gözden
geçirir ve gerekli durumlarda günceller. Bilgi sistemleri yönetimine ilişkin politikaların
yönetim kurulu tarafından onaylanması zorunludur.
(4) Kuruluş, Kanun kapsamındaki faaliyetleri ile ilgili her türlü yönetim faaliyetlerini
bilgi sistemleri yönetimini de kapsayacak şekilde, bütüncül bir yaklaşım içerisinde ve kurumsal
yönetim uygulamaları çerçevesinde gerçekleştirir ve bilgi sistemleri yönetimine ilişkin
unsurları organizasyon yapısı içerisinde, kuruluşun büyüklüğü ile faaliyetlerinin karmaşıklığını
gözeterek uygun yere yerleştirir.
(5) Kuruluş, bilgi sistemleri ile ilgili olarak organizasyon yapısı içerisinde yer alan
birimlerin görev ve sorumlulukları ile bu birimlerdeki personelin görev tanımlarını açık,
anlaşılır ve yazılı olarak oluşturur. Bu fıkra uyarınca hazırlanan dokümanlar yönetim kurulunca
onaylanır. Dokümanların uygunluğu yılda en az bir defa gözden geçirilir.
(6) Bilgi sistemlerinin yönetimi konusunda görev alan personelin kendilerine atanan
görev ve sorumluluklarla ilgili farkındalıklarının oluşturulması ile görev ve sorumluluklarda
meydana gelecek değişikliklerden haberdar olması sağlanır.
(7) Kuruluş, bilgi sistemleri yönetimine ilişkin görev, yetki ve sorumlulukları açıkça
belirler ve bilgi sistemleri yönetimi için gerekli her türlü kaynağı sağlar
(8) Kuruluş, bilgi sistemleri yönetimine ilişkin faaliyetlerin politika, düzenleme ve genel
kabul görmüş ilgili uluslararası standartlara uyumlu olduğunu kontrol etmek üzere
Yönetmeliğin 26 ncı maddesi uyarınca oluşturulan iç kontrol sisteminin içerisinde gerekli
fonksiyonu oluşturur. Bu konularda çalışacak personelin gerekli deneyim ve bilgi birikimine
sahip olması gerekir.

(9) Bilgi sistemleri yönetiminin bu Tebliğde yer alan hükümlere uygun şekilde
yürütülmesinden kuruluşun yönetim kurulu sorumludur.
(10) Yönetmeliğin 11 inci maddesi uyarınca faaliyet izni başvurusunda bulunulduğunda,
nihai onay aşamasından önce olmak üzere, bilgi sistemleri altyapısından sorumlu yöneticinin
atamasının yapılmış olması gerekir. Ataması yapılacak yöneticinin bilgi sistemleri sektöründe
benzer ölçekteki proje ekiplerinde yer almış olması gerekir.
7/32

(11) Yönetmeliğin 11 inci maddesi uyarınca faaliyet izni başvurusunda bulunulduğunda,
nihai onay aşamasından önce olmak üzere, bir yıllık iş planının gerektirdiği bilgi sistemleri
altyapısının üretim ortamının kurulmuş olması gerekir.
Bilgi sistemlerine ilişkin risk yönetimi
MADDE 5 – (1) Kuruluş, bilgi sistemlerinin sorunsuz şekilde işlemesini tehlikeye
sokabilecek tüm risklerin tespit edilmesini, ölçülmesini, izlenmesini ve etkin bir şekilde
yönetilmesini sağlamak amacıyla risk yönetim çerçevesi ve yeterli araç zenginliğine sahip bir
yapıyı tesis eder. Kuruluş, risk yönetim çerçevesi kapsamında riskleri yönetmek amacıyla
uygulanması gereken önlemlere ilişkin usul ve esaslar ile tesis edilmesi gereken kontrolleri
içerir politika, prosedür ve süreç dokümanlarını yazılı olarak oluşturur. Bu fıkra uyarınca
hazırlanan dokümanlar yönetim kurulunca onaylanır.
(2) Kuruluş, tesis edeceği risk yönetim çerçevesini oluştururken, bilgi sistemlerine ilişkin
riskleri ve ilgili mevzuat ile ulusal ve uluslararası standartları göz önünde bulundurur.
(3) Birinci fıkra uyarınca bilgi sistemlerine ilişkin riskler değerlendirilirken, Kuruluşun
ana faaliyetleri ile diğer faaliyetleri, varsa temsilci ve dış hizmet sağlayıcıların faaliyetleri,
üçüncü taraflara olan bağımlılıkları ve Kuruluşun diğer ödeme hizmeti sağlayıcıları ve ödeme
sistemleri ile olan bağlantıları da göz önünde bulundurulur.
(4) Kuruluş, bilgi sistemlerinde meydana gelecek önemli değişikliklerden önce ve yılda
en az bir defa olmak üzere bilgi sistemlerine ilişkin kapsamlı bir risk değerlendirmesi yapar ve
değerlendirme sonuçlarını ve bunlara ilişkin alınacak aksiyonları içerir raporu, herhangi bir
değişikliğe bağlı olmadan ve her yıl Ocak ayı sonuna kadar bir önceki yıla ilişkin olacak şekilde
hazırlar ve yönetim kurulu ile Bankaya sunar.
(5) Birinci fıkra uyarınca oluşturulacak dokümanlarda yer alan önlem ve kontrollerin
etkin bir şekilde uygulanabilmesi için kuruluş, organizasyon yapısı, personel ve diğer
kaynaklara ilişkin gerekli tedbirleri alır ve 4 üncü maddenin beşinci fıkrası çerçevesinde
oluşturulacak görev tanımlarında birinci fıkra uyarınca oluşturulacak dokümanlarda yer alan
önlem ve kontrollerin uygulanmasına ilişkin sorumlulukların açık bir şekilde belirlenmesini
sağlar.

Bilgi sistemleri işletimi
MADDE 6 – (1) Kuruluş, tanımlanan hizmet seviyeleri çerçevesinde bilgi sistemlerinin
işleyişinin güvenilirliğine, dayanıklılığına ve sürekliliğine ilişkin hedefleri yazılı olarak açıkça
belirler ve bu hedefler doğrultusunda bilgi sistemlerinin işletiminin etkin ve verimli
yapılabilmesi amacıyla sağlayıcı veya üretici firma desteği süren güncel yazılım sürümlerinin
kullanılması da dahil olmak üzere gerekli tedbirleri alır.
(2) Kuruluş, birinci fıkra kapsamında belirlediği hedeflere uyum düzeyini yılda en az bir
defa olmak üzere düzenli aralıklarla ölçer ve sonuçların yönetim kurulu tarafından
değerlendirilmesini ve uyum sağlanamayan durumlarda konuyla ilgili alınacak aksiyonların
belirlenmesini sağlar. Süreç sonucunda ortaya çıkan doküman her yıl için en geç takip eden
yılın Ocak ayı sonuna kadar Bankaya raporlanır.
(3) Kuruluş, bilgi sistemlerini tanımlanan hizmet seviyeleri için yeterli kapasiteye sahip
olacak şekilde tesis eder, kapasitenin ölçeklenebilir olmasını öncelikli olarak gözetir ve bilgi
sistemlerine yönelik etkin bir kapasite yönetimi yapar.
(4) Kuruluş, bilgi sistemleri envanterinin ve konfigürasyon bilgisinin oluşturulmasını,
güvenli bir şekilde saklanmasını, güncellenmesini ve üst yönetime raporlanmasını sağlar.
Kuruluş, bu çalışmalar kapsamında;
a) Masaüstü, dizüstü, mobil cihazlar ve sunucular üzerindeki işletim sistemi, veritabanları
ve uygulamalar ile güvenlik duvarları, yönlendirici ve anahtarlama cihazları gibi ağ cihazları
için sıkılaştırılmış ve test edilmiş güvenli standart konfigürasyon bilgilerini oluşturur. Söz
konusu standart konfigürasyon bilgilerini, standart konfigürasyondan sapmaları veya standart
8/32
konfigürasyondaki güncellemeleri değişiklik yönetiminin bir parçası olarak kayıt altına alır ve
onay mekanizmasına tabi tutar. Güvenli standart konfigürasyonun dışında kalan her türlü
değişiklik isteği için iş gereksinimi, gereksinim süresi ve bu iş gereksinimine ihtiyaç duyan iş
sorumlusunun kim olduğu gibi bilgileri kayıt altına alır.
b) Masaüstü, dizüstü, mobil cihazlar ve sunucular üzerindeki işletim sistemleri için bu
işletim sistemlerinin tipi, sürüm numarası, yama seviyesi ve üzerinde yüklü olan veritabanları
ve uygulamaların listesini gösterecek şekilde bir yazılım envanteri oluşturur.
c) (b) bendi uyarınca oluşturulan yazılım envanterinin aynı zamanda donanım envanteri
ile de entegre olmasını ve tek bir noktadan hangi donanım üzerinde hangi yazılımların olduğu
bilgisinin takip edilebilir olmasını sağlar.
(5) Kuruluş, bilgi sistemleri ile ilgili yapılacak her türlü değişikliği, süreci belirlenmiş ve
üst yönetimce onaylanmış değişiklik yönetimi prosedürlerine uygun olarak gerçekleştirir.
(6) Kuruluş, kurum içi geliştirme veya dış alım yoluyla bilgi sistemlerinde
gerçekleştirilecek her türlü projeyi, genel kabul görmüş ilgili uluslararası standartlara ve en iyi
uygulama örneklerine uygun olarak belirlemiş olduğu proje yönetimi prosedürlerine uygun
olarak yürütür. Yazılım geliştirme süreçlerinde geliştirme, test ve üretim ortamlarının
birbirinden ayrı olması ve görevler ayrılığı prensibine uygun olarak geliştirme, test ve üretime
geçiş süreçlerinin farklı kişiler tarafından yürütülmesi sağlanır.
(7) Kuruluş, Kanun kapsamındaki faaliyetleri ile ilgili süreç ve sistemleri, kritik bir
işlemin tek bir kişi tarafından başlatılması, onaylanması ve tamamlanmasına imkân vermeyecek
şekilde tasarlar ve işletir.
(8) Kuruluş, bilgi sistemleri unsurlarının sağlayıcı veya üretici firma desteği bittiğinde
veya bu unsurların güncel durumları günün şartlarına göre gerekli güvenlik ve güvenilirlik
seviyesini sağlayamadığında ilgili bilgi sistemleri unsurunu kullanımdan kaldırır.

Devamı...

Kaynak : https://www.tcmb.gov.tr/wps/wcm/connect/TR/TCMB+TR/Main+Menu/Banka+Hakkinda/Mevzuat/Odeme+Sistemleri
Tebliğ´in tamamı için TIKLAYIN

İlginizi Çekebilecek Diğer Makaleler

  • Ankara Hangi Hallerde Değer Kaybı Alınamaz?
    Araçlarınızda oluşan maddi hasar karşılığında bir tazminat alabilmektesiniz. Bu tazminatı almak için çeşitli şartlar bulunmaktadır.
  • Antalya Hasar Değer Kaybı Avukatlığı
    Günümüzde hızla artan araç sayısı beraberinde trafik kazalarının sayısında da çok ciddi bir artışı beraberinde getirmiştir. Buna bağlı olarak hasar değer kaybı davaları da giderek artmaktadır.
  • Özel Belgede Sahtecilik Yargıtay Kararı
    Ünsal Hukuk Bürosu´nda yayınlanan "Özel Belgede Sahtecilik Yargıtay Kararı" içeriğini incelemenizin ardından senet vb.. belgelerde yaşanan sorunlarınız ile alakalı avukat desteği alabilirsiniz.
Whatsapp