Video KYC Sürecinin Teknik Anatomisi
Video KYC sürecinin teknik temellerini anlamak, sistemin doğru bir şekilde tasarlanması ve uygulanması için kritik öneme sahiptir. Bu bölüm, sürecin temel bileşenlerini, geleneksel yöntemlerden farklarını ve operasyonel modellerini teknik bir bakış açısıyla inceler.
Video KYC Nedir ve Geleneksel Yöntemlerden Teknik Farkları Nelerdir?
Video KYC, bir müşterinin kimliğinin video görüşmesi aracılığıyla uzaktan doğrulanması sürecidir. Geleneksel yüz yüze doğrulamadan temel teknik farkları, tüm sürecin dijital bir kanal üzerinden yürütülmesidir. Bu, fiziksel belge kontrolünün yerini Optik Karakter Tanıma (OCR) ve biyometrik veri analizinin alması anlamına gelir. Geleneksel yöntemde insan gözüyle yapılan sahtelik kontrolleri, Video KYC’de canlılık tespiti (liveness detection) algoritmaları ve yapay zeka destekli sahtekarlık önleme sistemleri tarafından gerçekleştirilir. Veri akışı, şifrelenmiş kanallar üzerinden sağlanır ve tüm süreç dijital olarak kaydedilerek denetim izi oluşturulur.
Video KYC Akışının Temel Aşamaları
Başarılı bir Video KYC süreci, birbiriyle entegre çalışan birden fazla teknolojik adımdan oluşur. Bu adımlar, kullanıcı deneyimini sorunsuz hale getirirken güvenliği en üst düzeyde tutmayı hedefler.
Oturum Başlatma ve Güvenli Kanal Oluşturma
Süreç, kullanıcının mobil veya web uygulaması üzerinden bir Video KYC oturumu başlatma talebiyle başlar. Bu aşamada, sunucu ile istemci (kullanıcının cihazı) arasında güvenli bir iletişim kanalı kurulması esastır. Genellikle TLS (Transport Layer Security) protokolü kullanılarak verilerin aktarım sırasında şifrelenmesi sağlanır. Sunucu, oturuma özel benzersiz bir kimlik (session ID) atar ve bu kimlik, oturum boyunca tüm işlemlerin takibi için kullanılır.
Kimlik Belgesi Verilerinin Toplanması (OCR)
Kullanıcıdan kimlik belgesinin (kimlik kartı, pasaport vb.) ön ve arka yüzünün fotoğrafını çekmesi istenir. Bu görüntüler sunucuya güvenli kanaldan iletilir. Sunucu tarafında, Optik Karakter Tanıma (OCR) teknolojisi devreye girer. OCR motorları, belgenin üzerindeki metinleri (ad, soyadı, T.C. kimlik numarası, doğum tarihi vb.) ve MRZ (Machine Readable Zone – Makine Tarafından Okunabilir Alan) alanını okuyarak yapılandırılmış dijital veriye dönüştürür.
Canlılık Kontrolü ve Biyometrik Doğrulama
Bu aşama, sahtekarlığı önlemenin en kritik adımıdır. Canlılık kontrolü, kameranın karşısındaki kişinin gerçek bir insan olduğunu, bir fotoğraf veya video kaydı olmadığını teyit eder. Pasif canlılık kontrolü, kullanıcının farkında olmadan arka planda analiz yaparken; aktif canlılık kontrolü, kullanıcıdan başını sağa çevirme, göz kırpma gibi rastgele komutları yerine getirmesini ister. Ardından, kimlik belgesindeki fotoğraf ile kullanıcının canlı görüntüsünden alınan biyometrik veriler karşılaştırılarak yüz tanıma algoritması ile eşleşme skoru hesaplanır.
Müşteri Temsilcisi ile Etkileşim (Senkron Modelde)
Senkron modelde, tüm otomatik kontrollerden sonra kullanıcı, canlı bir müşteri temsilcisi ile video görüşmesine bağlanır. Temsilci, sistem tarafından üretilen verileri kontrol eder, kullanıcıya birkaç güvenlik sorusu sorar ve sürecin son onayını verir. Bu etkileşim, ek bir güvenlik katmanı ve insan doğrulaması sağlar.
Veri İşleme, Karşılaştırma ve Sonuçlandırma
Tüm adımlar tamamlandıktan sonra toplanan tüm veriler (OCR verileri, biyometrik eşleşme skoru, canlılık kontrolü sonucu, video kaydı, temsilci notları) bir araya getirilir. Sistem, önceden tanımlanmış iş kurallarına göre bu verileri analiz eder ve bir sonuç üretir: Onay, Ret veya Manuel İnceleme. Sonuç, hem kullanıcıya bildirilir hem de kurumun ilgili sistemlerine (örn. CRM) API aracılığıyla iletilir.
Senkron (Gerçek Zamanlı) ve Asenkron (Kayıtlı) Modellerin Teknik Karşılaştırması
Video KYC, temelde iki farklı modelde uygulanabilir. Senkron model, kullanıcı ile müşteri temsilcisinin aynı anda canlı video görüşmesi yapmasını içerir. Bu model, gerçek zamanlı etkileşim avantajı sunar ancak operasyonel olarak daha maliyetlidir. Asenkron modelde ise kullanıcı, kimlik belgesi ve canlılık kontrolü adımlarını kendi kendine tamamlar ve kısa bir video kaydı bırakır. Bu kayıt daha sonra bir müşteri temsilcisi tarafından incelenir. Asenkron model, operasyonel verimlilik sağlarken, dolandırıcılık tespiti için daha gelişmiş arka plan analizleri gerektirir.
Temel Altyapı ve Ağ Mimarisi Gereksinimleri
Video KYC hizmetinin kesintisiz, güvenli ve ölçeklenebilir olması, doğru tasarlanmış bir altyapı ve ağ mimarisine bağlıdır. Bu bölüm, sunucu, ağ ve veri depolama için gereken temel teknik unsurları ele almaktadır.
Sunucu ve Barındırma (Hosting) Altyapısı
Video KYC sisteminin kalbi, tüm veri işleme, analiz ve depolama operasyonlarını yürüten sunucu altyapısıdır.
Bulut (Cloud) ve Şirket İçi (On-Premise) Çözümlerin Mimarisi
Bulut (Cloud) tabanlı mimariler, esneklik, maliyet avantajı ve hızlı ölçeklenebilirlik sunması nedeniyle sıkça tercih edilir. AWS, Azure veya Google Cloud gibi sağlayıcılar, yönetilen veritabanları, sunucusuz (serverless) işlem gücü ve nesne depolama gibi hizmetlerle Video KYC altyapısını kurmayı kolaylaştırır. Şirket içi (On-Premise) çözümler ise veri egemenliği ve tam kontrol gerektiren, sıkı regülasyonlara tabi kurumlar için daha uygundur. Ancak bu model, yüksek başlangıç yatırımı ve bakım maliyetleri gerektirir.
Yatay ve Dikey Ölçeklenebilirlik (Scalability) Planlaması
Video KYC platformu, anlık kullanıcı yoğunluğundaki artışlara (örneğin bir kampanya döneminde) sorunsuz yanıt verebilmelidir. Yatay ölçeklenebilirlik, yük arttıkça yeni sunucu örnekleri (instance) ekleyerek sistemin performansını korurken; dikey ölçeklenebilirlik, mevcut sunucuların işlemci, bellek gibi kaynaklarını artırmayı ifade eder. Modern mimariler, özellikle Kubernetes gibi konteyner orkestrasyon araçları kullanarak yatay ölçeklenebilirliği otomatize eder.
Yüksek Erişilebilirlik (High Availability) ve Felaket Kurtarma (Disaster Recovery)
Yüksek erişilebilirlik, sistemin tek bir bileşeninin arızalanması durumunda bile hizmet vermeye devam etmesini sağlar. Bu, genellikle birden fazla coğrafi bölgeye (availability zone) dağıtılmış yedekli sunucular ve veritabanları ile sağlanır. Felaket kurtarma planı ise, tüm bir bölgenin hizmet dışı kalması gibi büyük çaplı bir felaket durumunda sistemin farklı bir coğrafi konumdan çalışmaya devam etmesini sağlayacak prosedürleri ve teknolojileri içerir. RPO (Recovery Point Objective) ve RTO (Recovery Time Objective) metrikleri bu planın temelini oluşturur.
Ağ (Network) Konfigürasyonu ve Bant Genişliği
Video ve ses verisinin gerçek zamanlı ve kaliteli bir şekilde iletilmesi, doğru yapılandırılmış bir ağ altyapısına bağlıdır.
Düşük Gecikme (Low Latency) için Ağ Optimizasyonu
Özellikle senkron Video KYC modelinde, müşteri ve temsilci arasındaki video görüşmesinin akıcı olması için düşük gecikme süresi kritiktir. CDN (Content Delivery Network) kullanımı ve coğrafi olarak kullanıcılara en yakın sunuculardan hizmet verilmesi (geo-routing), gecikmeyi azaltan etkili yöntemlerdir.
Video Akışı için Minimum ve Önerilen Bant Genişliği Değerleri
Sorunsuz bir video akışı için hem kullanıcı (istemci) hem de sunucu tarafında yeterli bant genişliği olmalıdır. Genellikle standart çözünürlüklü (480p) bir video görüşmesi için minimum 300-500 Kbps gerekirken, yüksek kaliteli (720p) bir deneyim için 1.5 Mbps ve üzeri bant genişliği önerilir. Sistem, değişken ağ koşullarına uyum sağlayabilmelidir.
Güvenlik Duvarı (Firewall), Yük Dengeleyici (Load Balancer) ve Ağ Geçidi (Gateway) Yapılandırmaları
Ağ altyapısının güvenliği ve verimliliği için bu bileşenler hayati öneme sahiptir. Güvenlik duvarı (Firewall), yetkisiz erişimleri engeller. Yük dengeleyici (Load Balancer), gelen istekleri birden fazla sunucuya dağıtarak sistemin aşırı yüklenmesini önler ve yüksek erişilebilirliği destekler. API ağ geçidi (API Gateway) ise dış dünyadan gelen tüm API isteklerini karşılayan, kimlik doğrulama, yetkilendirme ve hız limiti gibi politikaları uygulayan merkezi bir kontrol noktası görevi görür.
Veri Depolama ve Arşivleme Stratejileri
Video KYC sürecinde üretilen hassas verilerin güvenli bir şekilde depolanması ve yasal gerekliliklere uygun olarak arşivlenmesi zorunludur.
Video Kayıtları ve Logların Güvenli Depolanması
Video görüşmesi kayıtları, kimlik belgesi görüntüleri ve işlem logları gibi hassas veriler, depolanırken (data-at-rest) mutlaka şifrelenmelidir. AES-256 gibi güçlü şifreleme algoritmaları bu amaçla kullanılır. Veritabanı ve depolama sistemlerine erişim, sıkı kimlik ve erişim yönetimi (IAM) politikaları ile kısıtlanmalıdır.
Veri Saklama Süreleri ve Silme Politikaları
MASAK, BDDK gibi düzenleyici kurumların belirlediği yasal zorunluluklar gereği, KYC verilerinin belirli bir süre (genellikle 5-10 yıl) saklanması gerekir. Bu sürenin sonunda verilerin güvenli bir şekilde imha edilmesi için otomatik silme politikaları oluşturulmalıdır. Bu süreç, KVKK ve GDPR gibi veri koruma kanunlarına uyum için de kritiktir.
Arşivleme için Depolama Çözümleri (Object Storage, vb.)
Uzun süreli veri saklama için sık erişilmeyen verilerin daha düşük maliyetli arşivleme çözümlerine taşınması verimli bir stratejidir. Amazon S3 Glacier veya Azure Archive Storage gibi nesne tabanlı depolama (Object Storage) servisleri, büyük hacimli video kayıtlarını ve logları güvenli ve maliyet-etkin bir şekilde arşivlemek için idealdir.
Video ve Ses İletişim Teknolojileri
Video KYC’nin temelini oluşturan gerçek zamanlı iletişim, özel protokoller, kodekler ve akış yönetimi teknolojileri üzerine kuruludur. Bu teknolojiler, kullanıcıların farklı cihaz ve ağ koşullarında dahi kaliteli bir görüşme deneyimi yaşamasını sağlar.
Gerçek Zamanlı İletişim Protokolleri (WebRTC)
WebRTC (Web Real-Time Communication), web tarayıcıları ve mobil uygulamalar arasında herhangi bir eklentiye ihtiyaç duymadan gerçek zamanlı ses, video ve veri iletişimini sağlayan açık kaynaklı bir projedir. Video KYC uygulamalarının büyük çoğunluğu bu teknoloji üzerine inşa edilmiştir.
WebRTC Mimarisi ve Temel API’lerinin Entegrasyonu
WebRTC, üç temel JavaScript API’sinden oluşur: `MediaStream` (kamera ve mikrofona erişim), `RTCPeerConnection` (ses/video bağlantısını kurma ve yönetme) ve `RTCDataChannel` (keyfi veri gönderme). Başarılı bir entegrasyon, bu API’leri kullanarak cihazın medya kaynaklarına erişim sağlama, iki uç nokta arasında güvenli bir bağlantı (peer-to-peer) kurma ve video/ses akışını yönetme adımlarını içerir.
Sinyalizasyon (Signaling) Sunucusunun Kurulumu ve Yönetimi
WebRTC, iki istemcinin birbirini nasıl bulacağını ve bağlantı parametrelerini (IP adresi, kodek desteği vb.) nasıl değiş tokuş edeceğini tanımlamaz. Bu işleme “sinyalizasyon” denir ve geliştiricinin sorumluluğundadır. Genellikle WebSocket protokolü üzerinden çalışan bir sinyalizasyon sunucusu kurulur. Bu sunucu, görüşmedeki tarafların iletişim kurmasını sağlayan bir aracı görevi görür.
STUN/TURN Sunucuları ile NAT (Network Address Translation) Problemlerinin Çözümü
Kullanıcıların çoğu, ev veya ofis ağlarındaki NAT (Ağ Adresi Çeviricisi) ve güvenlik duvarları arkasındadır. Bu durum, iki cihazın doğrudan birbirine bağlanmasını engeller. STUN (Session Traversal Utilities for NAT) sunucusu, bir cihazın genel IP adresini öğrenmesine yardımcı olur. Eğer doğrudan bağlantı STUN ile sağlanamazsa, TURN (Traversal Using Relays around NAT) sunucusu devreye girer ve tüm video/ses trafiğini kendi üzerinden aktararak (relay) iletişimi mümkün kılar. Güvenilir bir Video KYC hizmeti için hem STUN hem de TURN sunucularının altyapıda bulunması zorunludur.
Video ve Ses Kodekleri (Codecs) ve Akış Yönetimi
Kodekler (codec), analog video ve ses sinyallerini sıkıştırarak dijital ortamda daha verimli bir şekilde iletilmesini sağlayan algoritmalardır. Doğru kodek seçimi, kalite ve bant genişliği arasında optimum dengeyi kurar.
Video Kalitesi-Bant Genişliği Dengesi için Kodek Seçimi (H.264, VP9, AV1)
H.264, en yaygın kullanılan ve geniş donanım desteğine sahip video kodeğidir. İyi bir sıkıştırma oranı sunar. VP9, Google tarafından geliştirilmiş olup genellikle H.264’e göre daha iyi sıkıştırma sağlar ancak daha fazla işlem gücü gerektirebilir. AV1 ise en yeni kodek olup, VP9’a göre bile daha yüksek verimlilik sunar ancak donanım desteği henüz yaygınlaşmamıştır. Video KYC sistemleri genellikle birden fazla kodeği destekleyerek cihaz uyumluluğunu en üst düzeye çıkarır.
Ses Netliği ve Gürültü Engelleme için Kodek Seçimi (Opus, AAC)
Opus, özellikle internet üzerinden gerçek zamanlı ses iletimi için tasarlanmış, çok yönlü ve yüksek kaliteli bir ses kodeğidir. Düşük bant genişliklerinde bile net ses kalitesi sunar ve gürültü engelleme gibi özelliklere sahiptir. AAC ise özellikle mobil cihazlarda yaygın olarak desteklenen bir diğer popüler seçenektir. Ses kalitesi, kullanıcı ve temsilcinin birbirini net bir şekilde anlaması için kritik olduğundan Opus genellikle tercih edilen kodektir.
Değişken Ağ Koşulları için Adaptif Bit Hızı (Adaptive Bitrate Streaming)
Kullanıcının internet bağlantısı (örneğin hareket halindeyken 4G’den 3G’ye düşmesi) değişkenlik gösterebilir. Adaptif Bit Hızı (ABR) tekniği, ağın anlık durumunu sürekli olarak izler ve video akışının kalitesini (bit hızını) bant genişliğine göre dinamik olarak ayarlar. Bu sayede, bağlantı zayıfladığında video kalitesi düşürülerek görüşmenin donması veya kopması engellenir, bağlantı iyileştiğinde ise kalite otomatik olarak artırılır.
Kimlik Tespiti ve Güvenlik Teknolojileri
Video KYC sürecinin güvenilirliği, kullanılan kimlik tespiti ve sahtekarlık önleme teknolojilerinin gücüne bağlıdır. Bu bölüm, OCR’dan biyometrik doğrulamaya ve veri şifrelemeye kadar sürecin temel güvenlik katmanlarını inceler.
Optik Karakter Tanıma (OCR) ve Veri Çıkarımı
OCR, kimlik belgelerindeki bilgilerin otomatik olarak okunup dijitalleştirilmesini sağlayarak süreci hızlandırır ve insan hatasını azaltır.
Kimlik Belgesi Türü Tespiti ve Şablon Eşleştirme
Gelişmiş OCR sistemleri, yüklenen belgenin görüntüsünü analiz ederek bunun bir pasaport mu, yeni tip kimlik kartı mı yoksa ehliyet mi olduğunu otomatik olarak tanır. Belge türü tespit edildikten sonra, o belgeye özel önceden tanımlanmış şablonlar kullanılarak ad, soyadı, doğum tarihi gibi alanların nerede olduğu belirlenir ve veri çıkarımı bu şablona göre yapılır.
MRZ (Machine Readable Zone) ve VIZ (Visual Inspection Zone) Alanlarından Veri Okuma
Kimlik belgelerinin iki temel alanı vardır: VIZ (Görsel Denetim Bölgesi), yani gözle okuduğumuz alanlar ve MRZ (Makine Tarafından Okunabilir Alan), pasaportların altındaki gibi özel karakter dizileri. MRZ, standart bir formata sahip olduğu için OCR ile okunması daha kolay ve hatasızdır. Sistem, hem VIZ hem de MRZ’den okuduğu verileri karşılaştırarak doğruluğunu teyit eder (cross-check).
NFC (Near Field Communication) ile Çipli Kimlik Kartı Verisi Okuma
Yeni nesil çipli kimlik kartları, NFC teknolojisi ile okunabilen güvenli bir çip içerir. Video KYC süreci, destekleyen mobil cihazlarda kullanıcıdan kimliğini telefonun arkasına yaklaştırmasını isteyebilir. Bu sayede, kimlik üzerindeki fotoğraf ve demografik bilgiler doğrudan ve şifreli bir şekilde çipten okunur. Bu yöntem, OCR’a göre çok daha güvenlidir çünkü belgenin fiziksel olarak sahtesinin yapılmış olma riskini ortadan kaldırır.
Biyometrik Doğrulama ve Sahtekarlık Önleme
Biyometrik teknolojiler, “kişinin kendisi” olduğunu kanıtlayarak kimlik doğrulamanın temelini oluşturur ve gelişmiş dolandırıcılık girişimlerini engeller.
Yüz Tanıma (Facial Recognition) Algoritmaları ve Eşleşme Skorları
Yüz tanıma sistemleri, kimlik belgesindeki fotoğraf ile kullanıcının canlı video görüntüsündeki yüzü karşılaştırır. Bu işlem sırasında, yüzdeki kilit noktalar (gözler, burun, ağız arasındaki mesafeler vb.) analiz edilerek bir biyometrik şablon oluşturulur. İki şablon arasındaki benzerlik, bir “eşleşme skoru” olarak ifade edilir. Genellikle %99’un üzerindeki skorlar başarılı bir eşleşme olarak kabul edilir.
Aktif ve Pasif Canlılık Tespiti (Liveness Detection) Yöntemleri
Canlılık tespiti, sistemin karşısındakinin canlı bir insan mı yoksa bir sahtekarlık denemesi mi (fotoğraf, video, maske) olduğunu anlamasını sağlar. Aktif yöntemler, kullanıcıdan belirli hareketleri yapmasını ister (örneğin gülümseme, başını çevirme). Pasif yöntemler ise kullanıcı fark etmeden, video akışındaki doku, yansıma, derinlik ve mikro hareketleri analiz ederek canlılığı tespit eder. Güçlü bir sistem genellikle her iki yöntemi bir arada kullanır.
Sunum Saldırılarına (Presentation Attacks) ve Deepfake’e Karşı Önlemler
Sunum saldırıları, sisteme sahte biyometrik veriler sunma girişimleridir. Gelişmiş 3D maskeler, yüksek çözünürlüklü videolar veya deepfake teknolojisi ile oluşturulmuş gerçekçi yüz animasyonları bu tür saldırılara örnektir. Bunlara karşı önlem olarak, kızılötesi veya 3D derinlik sensörleri (destekleyen cihazlarda), doku analizi ve video akışındaki anormallikleri tespit eden yapay zeka modelleri kullanılır.
Veri Güvenliği ve Şifreleme Standartları
Video KYC sürecinde toplanan kişisel ve biyometrik verilerin gizliliğini ve bütünlüğünü korumak için çok katmanlı bir şifreleme stratejisi uygulanmalıdır.
İletişim Kanalı için Uçtan Uca Şifreleme (E2EE)
Uçtan uca şifreleme, verinin sadece gönderici ve alıcı tarafından okunabildiği, aradaki sunucuların bile içeriği göremediği en güvenli iletişim yöntemidir. WebRTC, DTLS-SRTP protokolü ile medya akışları için yerleşik olarak uçtan uca şifreleme sunar. Bu, video görüşmesi içeriğinin gizliliğini sağlar.
Aktarımdaki Veri (Data-in-Transit) için TLS/SSL Şifrelemesi
Video akışı dışındaki tüm veri iletişimleri (API istekleri, kimlik bilgileri yüklemesi vb.) istemci ile sunucu arasında TLS (SSL’in modern versiyonu) ile şifrelenmelidir. Bu, verilerin ağ üzerinde taşınırken üçüncü şahıslar tarafından okunmasını veya değiştirilmesini engeller. Geçerli ve güvenilir bir SSL sertifikası kullanımı zorunludur.
Saklanan Veri (Data-at-Rest) için AES-256 gibi Güçlü Şifreleme Algoritmaları
Sunucularda, veritabanlarında veya arşiv depolama alanlarında saklanan tüm veriler şifrelenmelidir. AES (Advanced Encryption Standard) 256-bit anahtar uzunluğu ile günümüzde endüstri standardı olarak kabul edilen güçlü bir simetrik şifreleme algoritmasıdır. Bu, fiziksel sunuculara yetkisiz erişim sağlansa bile verilerin okunamaz olmasını garanti eder.
Yazılım Geliştirme Kiti (SDK) ve API Entegrasyonu
Video KYC hizmetinin mevcut mobil ve web uygulamalarına kolayca entegre edilebilmesi, iyi belgelenmiş ve esnek bir SDK (Yazılım Geliştirme Kiti) ve API (Uygulama Programlama Arayüzü) mimarisi gerektirir.
Mobil ve Web SDK’larının Teknik Özellikleri
SDK, Video KYC’nin kamera erişimi, video akışı, belge yakalama gibi karmaşık ön yüz (front-end) işlemlerini soyutlayarak geliştiricilerin işini kolaylaştıran bir kütüphanedir.
Platform Uyumluluğu (iOS, Android, Web-JavaScript)
Etkili bir SDK, hedef kitle tarafından kullanılan tüm ana platformları desteklemelidir. Bu, iOS için Swift/Objective-C, Android için Kotlin/Java dillerinde yazılmış yerel (native) SDK’lar ve web uygulamaları için JavaScript tabanlı bir SDK içerir. React Native, Flutter gibi çapraz platform (cross-platform) framework’ler için de destek sunulması büyük bir avantajdır.
SDK Boyutu ve Cihaz Performansına Etkisi
SDK’nın boyutu, son kullanıcının uygulamasını indirme boyutunu doğrudan etkiler. Bu nedenle SDK’nın mümkün olduğunca hafif ve modüler olması önemlidir. Ayrıca, SDK’nın video işleme ve yapay zeka analizleri sırasında cihazın işlemcisini ve pilini minimum düzeyde kullanacak şekilde optimize edilmesi, kullanıcı deneyimi açısından kritiktir.
Kullanıcı Arayüzü (UI) Özelleştirme Yetenekleri
SDK, entegre edildiği uygulamanın kurumsal kimliğine ve tasarım diline uyum sağlayabilmelidir. Geliştiricilerin renkleri, metinleri, logoları ve arayüz akışındaki bazı adımları özelleştirmesine olanak tanıyan esnek bir yapı sunmalıdır. Bu, son kullanıcıya bütünleşik ve tutarlı bir deneyim sunulmasını sağlar.
API Mimarisi ve Entegrasyon Süreci
API, kurumun kendi arka uç (back-end) sistemlerinin Video KYC platformu ile iletişim kurmasını, süreçleri başlatmasını ve sonuçları almasını sağlayan arayüzdür.
RESTful API Tasarımı ve Uç Noktaların (Endpoints) Tanımlanması
Modern API’ler genellikle REST (Representational State Transfer) mimari prensiplerine uygun olarak tasarlanır. Bu, standart HTTP metodlarının (GET, POST, PUT, DELETE) kullanıldığı, anlaşılır ve öngörülebilir URL yapılarına sahip bir API demektir. Temel uç noktalar (endpoints) şunları içermelidir: Oturum başlatma, oturum durumunu sorgulama, oturum sonuçlarını ve kanıtlarını (video kaydı, belgeler) getirme.
API Anahtarları (API Keys), OAuth 2.0 ile Yetkilendirme ve Kimlik Doğrulama
API’ye yapılan her isteğin güvenli ve yetkilendirilmiş olması gerekir. Basit senaryolar için API anahtarları kullanılabilirken, daha karmaşık ve güvenli entegrasyonlar için endüstri standardı olan OAuth 2.0 protokolü tercih edilmelidir. Bu, uygulamaların kullanıcı adına işlem yapabilmesi için güvenli bir yetkilendirme akışı sağlar ve yetkilerin kapsamını sınırlamaya olanak tanır.
Webhook’lar Aracılığıyla Asenkron Süreç Takibi ve Geri Bildirimler
Video KYC süreci, özellikle asenkron modelde veya manuel inceleme gerektiren durumlarda anında sonuçlanmayabilir. Sürecin durumunu sürekli olarak sorgulamak (polling) yerine, webhook’lar kullanılabilir. Bir süreç tamamlandığında (örneğin müşteri onaylandığında veya reddedildiğinde), Video KYC platformu, kurumun önceden belirttiği bir URL’ye (webhook) bir HTTP POST isteği göndererek sonucu anında bildirir. Bu, daha verimli ve gerçek zamanlı bir entegrasyon sağlar.
Kullanıcı Deneyimi ve Arayüz Teknik Gereksinimleri
Teknolojik olarak ne kadar güçlü olursa olsun, karmaşık ve kullanımı zor bir Video KYC süreci, kullanıcıların süreci yarıda bırakmasına neden olur. Bu nedenle, arayüzün ve kullanıcı akışının teknik olarak optimize edilmesi başarı için hayati önem taşır.
Cihaz ve Platform Uyumluluğu
Kullanıcıların çok çeşitli cihazlar ve tarayıcılar kullanabileceği göz önünde bulundurularak geniş bir uyumluluk yelpazesi hedeflenmelidir.
Kamera ve Mikrofon Erişimi için İzin Yönetimi
Süreç başlamadan önce, uygulamaların işletim sisteminden veya tarayıcıdan kamera ve mikrofon erişimi için izin istemesi gerekir. Bu izin talebinin neden gerekli olduğu kullanıcıya açık bir dille anlatılmalı ve izin verilmediği durumlarda kullanıcıya nasıl devam edeceği konusunda yol gösterilmelidir.
Farklı Mobil Cihaz Donanımları (Kamera Kalitesi, İşlemci Gücü) için Optimizasyon
Piyasadaki mobil cihazların kamera kaliteleri ve işlemci güçleri büyük farklılıklar gösterir. Sistem, düşük kaliteli kameralardan gelen görüntüleri dahi işleyebilecek kadar esnek olmalı ve eski model telefonlarda bile akıcı bir şekilde çalışabilmelidir. Gerekirse, video çözünürlüğü cihazın kapasitesine göre dinamik olarak ayarlanmalıdır.
Web Tarayıcısı Uyumluluğu (Chrome, Safari, Firefox, Edge) ve Sürüm Kontrolleri
Web tabanlı Video KYC için, WebRTC desteği sunan tüm modern tarayıcılarla uyumluluk sağlanmalıdır. Tarayıcıların farklı WebRTC implementasyonları olabileceğinden, her bir tarayıcı için kapsamlı testler yapılmalıdır. Ayrıca, sürecin gerektirdiği teknolojileri desteklemeyen eski tarayıcı sürümleri tespit edilmeli ve kullanıcıya tarayıcısını güncellemesi yönünde bir bildirim gösterilmelidir.
Arayüz Akışı ve Geri Bildirim Mekanizmaları
Kullanıcıyı süreç boyunca doğru şekilde yönlendirmek ve anlık geri bildirimler sağlamak, başarı oranını doğrudan etkiler.
Gerçek Zamanlı Görüntü Kalitesi Kontrolü (Bulanıklık, Parlaklık Tespiti)
Kullanıcı kimlik belgesinin fotoğrafını çekerken veya kendi yüzünü taratırken, SDK’nın görüntüyü anlık olarak analiz etmesi gerekir. Görüntüde bulanıklık, parlama (yansıma) veya yetersiz ışık tespit edildiğinde, kullanıcıya “Lütfen daha aydınlık bir ortama geçin” veya “Kamerayı sabit tutun” gibi anlık ve yapıcı geri bildirimler verilmelidir.
Kullanıcıyı Yönlendiren Görsel ve Metinsel Talimatlar
Sürecin her adımında, kullanıcıya ne yapması gerektiği açık ve basit bir dille anlatılmalıdır. “Kimliğinizin ön yüzünü ekrandaki çerçeveye sığdırın” gibi metinsel talimatlar, animasyonlu görsellerle desteklenerek anlaşılırlık artırılabilir. Bu, özellikle teknolojiye daha az aşina kullanıcılar için önemlidir.
Bağlantı Sorunları ve Hatalar için Anlık Bildirim Sistemleri
Kullanıcının internet bağlantısı koptuğunda veya beklenmedik bir sistem hatası oluştuğunda, süreç belirsiz bir durumda kalmamalıdır. Kullanıcıya “İnternet bağlantınız zayıf, lütfen kontrol edin” gibi net bir hata mesajı gösterilmeli ve mümkünse sürece kaldığı yerden devam etme seçeneği sunulmalıdır.
Yasal Uyum ve Denetim Altyapısı
Video KYC, özellikle finans sektöründe sıkı yasal düzenlemelere tabidir. Kullanılan teknolojinin ve süreçlerin bu düzenlemelerle tam uyumlu olması, hizmetin yasal geçerliliği için bir zorunluluktur.
Düzenleyici (Regülatif) Teknik Gereklilikler
Finansal hizmetler sunan kurumlar, yerel ve uluslararası düzenleyici otoritelerin belirlediği teknik standartlara uymak zorundadır.
MASAK, BDDK gibi Kurumların Belirlediği Teknik Standartlar
Türkiye’de Mali Suçları Araştırma Kurulu (MASAK) ve Bankacılık Düzenleme ve Denetleme Kurumu (BDDK), uzaktan kimlik tespiti süreçleri için detaylı tebliğler yayınlamıştır. Bu tebliğler, NFC ile çipli kimlik verisi okumanın zorunluluğu, müşteri temsilcisi ile yapılacak görüşmenin minimum standartları ve sahtekarlığa karşı alınması gereken teknik önlemler gibi birçok konuyu kapsar. Kullanılan Video KYC çözümünün bu gereklilikleri eksiksiz karşılaması gerekir. Özellikle kara para aklamayı önleme (AML) ve terörün finansmanıyla mücadele (CTF) yükümlülükleri bu sürecin merkezindedir.
KVKK ve GDPR Kapsamında Veri İşleme ve Rıza Yönetimi Altyapısı
Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Genel Veri Koruma Tüzüğü (GDPR), kişisel ve özellikle biyometrik gibi hassas verilerin işlenmesi için katı kurallar belirler. Video KYC platformu, kullanıcıdan hangi verilerin neden toplandığına dair açık ve anlaşılır bir şekilde “açık rıza” almalı, veri işleme faaliyetlerini bu rıza kapsamında sınırlandırmalı ve kullanıcılara verileriyle ilgili haklarını (silme, düzeltme vb.) kullanabilecekleri bir altyapı sunmalıdır. Veri işleme süreçlerinin detaylıca açıklandığı bir gizlilik politikası easily accessible olmalıdır.
Denetim İzi (Audit Trail) ve Kayıt Tutma
Olası bir yasal inceleme veya iç denetim durumunda, yapılan her işlemin geriye dönük olarak ispatlanabilmesi için eksiksiz bir kayıt altyapısı kurulmalıdır.
Her İşlem Adımı için Zaman Damgalı Loglama
Kullanıcının oturumu başlatmasından son kararın verilmesine kadar geçen süreçteki her kritik adım (belge yükleme, OCR sonucu, canlılık kontrolü skoru, temsilci onayı vb.), kim tarafından ve ne zaman yapıldığına dair değiştirilemez bir zaman damgası ile loglanmalıdır. Bu loglar, sürecin şeffaflığını ve denetlenebilirliğini sağlar.
Video Oturum Kayıtlarının Bütünlüğünün Sağlanması (Hashing)
Kaydedilen video görüşmelerinin sonradan değiştirilmediğini garanti altına almak için kriptografik özet (hashing) algoritmaları (örn. SHA-256) kullanılmalıdır. Video dosyası kaydedildiği anda bir hash değeri üretilir ve bu değer güvenli bir şekilde saklanır. Gelecekte videonun bütünlüğü kontrol edilmek istendiğinde, dosyanın hash’i yeniden hesaplanır ve orijinal değerle karşılaştırılır. Eşleşme, videonun değiştirilmediğini kanıtlar.
Raporlama ve Yetkili Sorguları için Veri Erişim Mekanizmaları
Sistem, yasal otoritelerden veya iç denetim birimlerinden gelen resmi taleplere yanıt verebilecek şekilde tasarlanmalıdır. Belirli bir müşterinin KYC sürecine ait tüm logları, belgeleri ve video kaydını güvenli bir şekilde çıkarıp raporlayabilen, yetkilendirilmiş erişim mekanizmalarına sahip olmalıdır.
Test, İzleme ve Sürdürülebilirlik
Video KYC sisteminin canlıya alınması, sürecin sonu değil, başlangıcıdır. Sistemin uzun vadede güvenilir, performanslı ve güncel kalması için sürekli test, izleme ve bakım faaliyetleri yürütülmelidir.
Test Stratejileri ve Ortamları
Kapsamlı bir test süreci, olası hataları ve güvenlik zafiyetlerini canlıya geçmeden önce tespit ederek riskleri minimize eder.
Uçtan Uca Fonksiyonel Testler ve Kullanıcı Kabul Testleri (UAT)
Uçtan uca testler, kullanıcının süreci baştan sona (bir oturum başlatmaktan sonucun bildirilmesine kadar) farklı senaryolar altında (başarılı, başarısız, hatalı veri girişi vb.) tamamladığı testlerdir. Kullanıcı Kabul Testleri (UAT) ise, iş birimlerinden gerçek son kullanıcıların sistemi test ederek beklentileri ve gereksinimleri karşılayıp karşılamadığını doğruladığı aşamadır.
Farklı Ağ Koşulları (3G, 4G, Wi-Fi) Altında Performans ve Yük Testleri
Sistemin farklı ağ koşullarındaki performansı test edilmelidir. Özellikle düşük bant genişliğine sahip 3G gibi ağlarda video kalitesinin nasıl adapte olduğu ve sürecin tamamlanma süresi ölçülmelidir. Yük testleri, sisteme aynı anda binlerce sanal kullanıcının erişmesini simüle ederek, yüksek trafik altında sistemin nasıl davrandığını, yanıt sürelerini ve olası darboğazları tespit eder. Bu amaçla profesyonel bir performans testi hizmeti almak önemlidir.
Güvenlik Zafiyeti Taramaları ve Sızma Testleri (Penetration Testing)
Sistemin güvenliğini proaktif olarak test etmek zorunludur. Otomatik zafiyet tarama araçları, bilinen güvenlik açıklarını tespit ederken; sızma testleri (penetration testing), etik hacker’ların sistemi delmeye çalışarak bilinmeyen veya karmaşık zafiyetleri ortaya çıkarmasını sağlar. Bu testler, hem uygulama katmanında hem de altyapı katmanında düzenli olarak yapılmalıdır.
Sistem İzleme (Monitoring) ve Bakım
Canlı ortamda sistemin sağlığını ve performansını sürekli olarak izlemek, olası sorunlara anında müdahale etme imkanı tanır.
Altyapı ve Servislerin Sağlık Durumu (Health Check) İzlemesi
Sunucuların CPU, bellek ve disk kullanımı, veritabanı bağlantı sayıları, API ağ geçidinin durumu gibi temel altyapı metrikleri anlık olarak izlenmelidir. “Health check” uç noktaları, her bir mikroservisin ayakta ve çalışır durumda olup olmadığını periyodik olarak kontrol eder. Bu süreçler için kapsamlı bir bulut işlem izleme platformu kullanılabilir.
API Hata Oranları, Gecikme Süreleri ve Başarı Metriklerinin Takibi
API’lerin performansı, işin başarısı için kritik öneme sahiptir. API isteklerinin ne kadarının başarılı olduğu (başarı oranı), ne kadarının hata ile sonuçlandığı (hata oranı) ve bir isteğin ortalama ne kadar sürede yanıtlandığı (gecikme süresi) gibi metrikler sürekli takip edilmelidir. Bu metriklerdeki anormal artışlar, bir sorunun habercisi olabilir.
SDK ve Bağımlılıkların Sürüm Yönetimi ve Güncelleme Planı
Video KYC sistemi, birçok açık kaynaklı kütüphane ve üçüncü parti bağımlılıktan oluşur. Bu bağımlılıklarda ortaya çıkabilecek yeni güvenlik açıkları veya hatalar için düzenli olarak güncellemeler yapılmalıdır. Hem sunucu tarafındaki yazılımların hem de mobil/web SDK’larının belirli bir sürüm yönetimi politikası olmalı ve güncellemeler planlı bir şekilde yayınlanmalıdır.
