Emre Sayın
Dijital dönüşüm, küresel finans sektörünü yeniden şekillendirirken, bulut bilişim teknolojileri bu değişimin merkezinde yer alıyor. Kurumlara sunduğu esneklik, maliyet verimliliği ve ölçeklenebilirlik gibi avantajlar, Türk finans kuruluşlarının da bu teknolojiye olan ilgisini artırıyor. Ancak sektörün taşıdığı sistemik riskler, veri güvenliği ve müşteri mahremiyeti gibi hassasiyetler, bulut bilişimin kullanımını sıkı bir düzenleyici çerçeveye tabi kılıyor.
Bankacılık Düzenleme ve Denetleme Kurumu (BDDK), teknolojiyi yasaklamak yerine, risk odaklı bir yönetişim modeli ile inovasyonu teşvik etmeyi ve finansal istikrarı korumayı hedefliyor. Bu yaklaşımın en somut örneği, “Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik” (BSEBY) olarak bilinen düzenlemedir. Peki, BDDK tarafından denetlenen bir kuruluş, uzaktan müşteri edinimi (e-KYC), kimlik tespiti ve dolandırıcılık (fraud) tespit gibi kritik operasyonlar için bulut hizmetlerini nasıl kullanabilir?
Bulut Sağlayıcı Seçimi
Türk finansal düzenlemelerine göre, bulut bilişim hizmeti alımı bir “dış hizmet” alımı olarak kabul edilir. Bir banka, herhangi bir hizmeti dışarıdan temin etse dahi, o hizmetle ilgili tüm yasal ve operasyonel yükümlülüklerinden kurtulamaz. Yaşanacak bir veri sızıntısı veya hizmet kesintisi durumunda, BDDK’nın birincil muhatabı bulut hizmet sağlayıcısı değil, doğrudan hizmeti alan finansal kuruluşun kendisidir.
Bu nedenle kuruluşlar, bir bulut sağlayıcı seçmeden önce detaylı bir “risk analizi raporu” ve sağlayıcının teknik yeterliliğini kanıtlayan bir “teknik yeterlilik raporu” hazırlamak zorundadır. Ayrıca, mevzuatın gerektirdiği özel maddeleri (örneğin BDDK denetimine izin verme, müşteri sırrını koruma taahhüdü) kapsayacak şekilde müzakere edilmesi kritik bir öneme sahiptir.
Veri ve Sistem Yerelleştirme
Türk finansal düzenlemelerinin kurallarından biri, veri yerelleştirme zorunluluğudur. Bu zorunluluk, “birincil sistemler” ve “ikincil sistemler” kavramları etrafında şekillenir.
- Birincil Sistemler: Bir finansal kuruluşun ana faaliyetlerini yürütmesi için zorunlu olan ve hassas veri veya müşteri sırrı niteliğinde veri işleyen sistemlerin tamamıdır. Ana bankacılık sistemleri, CRM platformları, kredi değerlendirme motorları, uzaktan müşteri edinimi (e-KYC) altyapıları ve fraud tespit sistemleri bu kategoriye girer.
- İkincil Sistemler: Birincil sistemlerin faaliyetlerinde bir kesinti olması durumunda iş sürekliliğini sağlayan yedek sistemlerdir. Felaket kurtarma (disaster recovery) merkezleri en net örneğidir.
BSEBY’nin 25. maddesi, bankaların birincil ve ikincil sistemlerini yurt içinde bulundurmalarının zorunlu olduğunu açıkça belirtir.
Bu, sadece verinin bir kopyasının Türkiye’de tutulması değil, o veriyi işleyen altyapı, donanım, yazılım ve verinin tamamının fiziksel olarak Türkiye Cumhuriyeti sınırları içinde konumlandırılması gerektiği anlamına gelir. Dolayısıyla, birincil veya ikincil sistemler için bir bulut hizmeti alındığında, dış hizmet sağlayıcısının bu hizmeti sunduğu bilgi sistemleri ve yedeklerinin de yurt içinde bulunması zorunludur.
Doğru Bulut Modelini Seçmek: Özel, Topluluk ve Genel Bulut
BDDK düzenlemeleri, risk seviyelerine göre üç farklı bulut modelini tanır:
- Özel Bulut : Özel bulut, bilişim kaynaklarının (donanım ve yazılım) tek bir kuruluşa (bu durumda tek bir bankaya) özel olarak tahsis edildiği bir hizmet modelidir.Bu modelde, altyapı fiziksel veya mantıksal olarak diğer kuruluşların altyapısından tamamen izole edilmiştir. Bankalar, birincil ve ikincil sistemleri için özel bulut hizmeti alabilirler. Bu modelin kullanımı için BDDK’dan özel bir izin alınması gerekmez; ancak, hizmet alımı yine de “dış hizmet alımı” ve “veri yerelleştirme” kurallarına tabidir.
- Topluluk Bulutu : Topluluk bulutu, Türkiye’deki finansal düzenlemelerinin bulut bilişime getirdiği özgün kavramlardan biridir. Bu model, benzer regülatif gereksinimlere ve güvenlik beklentilerine sahip belirli bir topluluğun ortak kullanımına sunulan bir bulut altyapısıdır. Mevzuattaki tanımına göre topluluk bulutu; sadece BDDK veya Türkiye Cumhuriyet Merkez Bankası (TCMB) gibi yetkili otoritelerin denetimine tabi kuruluşlara (bankalar, finansal kiralama, faktoring, ödeme kuruluşları vb.) tahsis edilmiş, donanım kaynaklarının fiziksel olarak paylaşıldığı, ancak her bir kuruluşa mantıksal olarak ayrı ve izole kaynakların atandığı bir hizmet modelidirBu model, özel bulutun güvenliğini ve genel bulutun maliyet avantajını birleştirmeyi hedefler. Ancak, kaynakların paylaşılıyor olması nedeniyle BDDK tarafından daha riskli kabul edilir ve kullanımı belirli şartlara ve izinlere bağlanmıştır.Bankaların ana bankacılık, kredi ve ödeme hizmetleri gibi kritik faaliyetler için topluluk bulutu hizmeti alması BDDK Kurulu’nun özel iznine tabidir ve her duruma göre değerlendirilir. Ödeme ve elektronik para kuruluşları için ise topluluk bulutu hizmeti alabilmeleri için dış hizmet sağlayıcının öncelikle TCMB’den “uygunluk” alması gerekmektedir. TCMB uygunluk verdiği sağlayıcıların listesini yayımlar.
- Genel Bulut (Public Cloud): Kaynakların internet üzerinden tüm müşterilere paylaşımlı olarak sunulduğu modeldir. Hassas müşteri verisi veya müşteri sırrı içeren birincil ve ikincil sistemlerin genel bulutta barındırılması fiilen yasaktır. Kullanım alanı, müşteri verisi içermeyen test/geliştirme ortamları veya genel web siteleri gibi hassas olmayan sistemlerle sınırlıdır.
Uzaktan Müşteri Edinimi ve Fraud Tespiti
BDDK Denetimine tabi olan müşterilerimizin merak ettiği bu iki kritik süreç, içerdikleri veri ve yasal yükümlülükler nedeniyle doğrudan “birincil sistem” kategorisine girer.
Uzaktan Müşteri Edinimi (e-KYC / KYB ): Bu süreç, görüntülü görüşme, T.C. Kimlik Kartının NFC ile doğrulanması ve canlılık tespiti gibi adımlar içerir. İşlenen kimlik bilgileri, biyometrik veri niteliğindeki yüz görüntüleri ve ses kayıtları, hem KVKK kapsamında özel nitelikli veri hem de Bankacılık Kanunu uyarınca “müşteri sırrı”dır. Bu nedenle, bulut tabanlı bir KYC çözümü kullanılacaksa, bu hizmet mutlaka Türkiye’de barındırılan bir Özel Bulut veya BDDK’dan özel izin alınmış bir Topluluk Bulutu üzerinde çalışmalıdır.
Fraud Tespit ve Engelleme Sistemleri: Müşteri işlemlerini gerçek zamanlı izleyen bu sistemler, işlem detayları, harcama alışkanlıkları ve lokasyon bilgileri gibi doğrudan müşteri sırrı kapsamındaki en hassas verileri işler. Bu sistemlerin düzgün çalışması, bankanın yasal sorumlulukları için hayatidir. Dolayısıyla, bulut tabanlı bir fraud tespit platformu da tartışmasız bir “birincil sistem”dir ve bu hizmet mutlaka Türkiye’de barındırılan bir Özel Bulut veya BDDK’dan özel izin alınmış bir Topluluk Bulutu üzerinde çalışmalıdır.
