19 Ağustos 2021 Tarihli Resmî Gazete
Sayı: 31573
Bankacılık Düzenleme ve Denetleme Kurumundan:
BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak ve Tanımlar
Amaç
MADDE 1 – (1) Bu Tebliğin amacı, Risk Merkezi ve bilgi alışverişi kuruluşlarının faaliyetlerinin ifasında kullandıkları bilgi sistemleri yönetiminde ve denetiminde esas alınacak asgari usul ve esasları düzenlemektir.
Kapsam
MADDE 2 – (1) Risk Merkezi ve bilgi alışverişi kuruluşları bu Tebliğ hükümlerine tabidir.
Dayanak
MADDE 3 – (1) Bu Tebliğ, 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanununun 93 üncü maddesi ve ek 1 inci maddesi, 23/2/2006 tarihli ve 5464 sayılı Banka Kartları ve Kredi Kartları Kanununun 27 nci maddesinin üçüncü fıkrası ve 29 uncu maddesinin ikinci fıkrası ile 10/3/2007 tarihli ve 26458 sayılı Resmî Gazete’de yayımlanan Banka Kartları ve Kredi Kartları Hakkında Yönetmeliğin 26/B maddesinin dördüncü fıkrası hükümlerine dayanılarak hazırlanmıştır.
Tanımlar ve kısaltmalar
MADDE 4 – (1) Bu Tebliğde yer alan;
a) Bilgi alışverişi kuruluşu: Banka Kartları ve Kredi Kartları Kanununun 4 üncü maddesi çerçevesinde faaliyet izni alarak bilgi alışverişi faaliyetinde bulunan kuruluşları,
b) BSDHY: 13/1/2010 tarihli ve 27461 sayılı Resmî Gazete’de yayımlanan Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmeliği,
c) Kanun: 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanununu,
ç) Kuruluş: Risk Merkezi ile bilgi alışverişi kuruluşlarını,
d) Kurum: Bankacılık Düzenleme ve Denetleme Kurumunu,
e) Risk Merkezi: Kanunun ek 1 inci maddesi uyarınca; kredi kuruluşları ile Kurulca uygun görülecek finansal kuruluşların müşterilerinin risk bilgilerini toplamak ve söz konusu bilgileri bu kuruluşlar ile gerçek veya tüzel kişilerin kendileriyle ya da onay vermeleri koşuluyla gerçek kişiler ve özel hukuk tüzel kişileri ile de paylaşılmasını sağlamak üzere Türkiye Bankalar Birliği nezdinde kurulan Risk Merkezini,
f) Risk Merkezi Yönetimi: Risk Merkezinin görev ve faaliyetlerini sevk ve idare etmek üzere oluşturulmuş olan Türkiye Bankalar Birliği Risk Merkezi Yönetimini,
g) Üye kuruluş: Kuruluş ile arasında bilgi alışverişi bulunan tüzel kişileri,
ğ) Yönetmelik: 15/3/2020 tarihli ve 31069 sayılı Resmî Gazete’de yayımlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği,
ifade eder.
İKİNCİ BÖLÜM
Bilgi Sistemleri Yönetişimi, Bağımsız Bilgi Sistemleri ve İş Süreçleri Denetimi
Genel ilkeler
MADDE 5 – (1) Kuruluş, Yönetmelik hükümlerine tabidir. Yönetmelikte geçen “banka” ifadesi kuruluşu; “bankacılık faaliyetleri” ifadesi kuruluşun faaliyetlerini, “Yönetim kurulu” ifadesi ise Risk Merkezi için Risk Merkezi Yönetimini ifade eder.
Bilgilerin doğruluğunun, güvenliğinin ve güncelliğinin sağlanması
MADDE 6 – (1) Kuruluş, üye kuruluşlar ile olan bilgi iletişiminin güvenli, doğru ve yeterli sıklıkta gerçekleşebilmesi için gerekli önlemleri alır; söz konusu önlemleri üye kuruluşa iletir ve bu önlemlerin yerine getirilmesini gözetir. Bilgilerin ne ölçüde güncel tutulacağına ilişkin yönetim kurulu kararı veya Risk Merkezi Yönetimi kararı alır ve kararı, alındığı tarihten itibaren bir ay içinde Kuruma ve Türkiye Cumhuriyet Merkez Bankasına yazılı olarak iletir.
(2) Kuruluş, Kanunun 73 üncü maddesine göre sır kapsamında olan bilgilerin üye kuruluş tarafından sorgulanmasına ilişkin işlemlere ait denetim izlerinin, bilgilerin ifşası durumunda üye kuruluş içindeki sorumluların tespitini sağlayacak nitelikte beş yıl süreyle üye kuruluş tarafından tutulmasını temin eder.
(3) Kuruluş, kendi alanına giren konularda sahtecilik ve bilgi ifşasını önleyici çalışmalar yapmak, güvenlik önlemlerini saptamak, ilgili taraflar arasında gerekli bilgi paylaşımının sağlandığından emin olacak şekilde mekanizmalar kurmak ve sağlanan bilgi paylaşımının etkinliğini takip etmekle yükümlüdür.
(4) Kuruluş, bilgi alışverişi sisteminin sürekliliğinin sağlanabilmesi adına üye kuruluşlar tarafından alınması gerekli olan tedbirleri belirler ve yazılı olarak üyeleriyle paylaşır. Kuruluş tarafından yapılan kontrollerde, söz konusu önlemleri, belirtilen tarihe kadar almadığı tespit edilen üye kuruluş, alınması talep edilen tedbir ve üye kuruluşa verilen süre ile birlikte en geç bir ay içerisinde Kuruma bildirilir.
(5) Bilgi alışverişine ilişkin kullanılacak süreçler ve sistemler Yönetmeliğin 29 uncu maddesinin onuncu fıkrası kapsamında kritik bilgi sistemleri olarak değerlendirilir.
Bağımsız bilgi sistemleri ve iş süreçleri denetimi
MADDE 7 – (1) Kuruluşun bilgi sistemleri, iş süreçleri ve iç sistemlerinin denetimi ve denetim sonuçlarının raporlanması BSDHY ile belirlenen usul ve esaslar çerçevesinde, BSDHY kapsamında yetkilendirilmiş veya izin verilmiş bağımsız denetim kuruluşlarınca gerçekleştirilir.
(2) BSDHY’de geçen “banka” ifadesi kuruluş; “bankacılık süreçleri” ifadesi ise kuruluşun iş süreçleri olarak uygulanır. İş süreçlerinin belirlenmesi ve denetim kapsamına dâhil edilmesinde, BSDHY’nin 5 inci maddesinde tanımlanan önemlilik kriteri dikkate alınır.
(3) Denetçi, kuruluşun destek hizmeti alarak gerçekleştirdiği hizmetlerin bilgi sistemlerini ve iş süreçlerini nasıl etkilediğini göz önünde bulundurur, denetimini buna göre planlar ve etkin bir denetim yaklaşımı geliştirir.
(4) İş süreçleri denetimi her yıl, bilgi sistemleri denetimi iki yılda bir kez yapılır. Kurum, gerekli gördüğü hallerde denetlenenlerden herhangi biri ya da tüm denetlenenler için, bu denetimlerin kapsamını ve sıklığını farklılaştırabilir.
ÜÇÜNCÜ BÖLÜM
Çeşitli ve Son Hükümler
Yürürlükten kaldırılan tebliğ
MADDE 8 – (1) 4/12/2013 tarihli ve 28841 sayılı Resmî Gazete’de yayımlanan Bilgi Alışverişi, Takas ve Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler ile İş Süreçleri ve Bilgi Sistemlerinin Denetimine İlişkin Tebliğ yürürlükten kaldırılmıştır.
Yürürlük
MADDE 9 – (1) Bu Tebliğ yayımı tarihinde yürürlüğe girer.
Yürütme
MADDE 10 – (1) Bu Tebliğ hükümlerini Bankacılık Düzenleme ve Denetleme Kurumu Başkanı yürütür.
