Elektronik Para Sistemlerinde Güvenlik Riskleri Ve Yönetimi
Elektronik Para Sistemlerinde Güvenlik Riskleri Ve Yönetimi
Para ve Tarihi Gelişimi
Tarihin ilk devirlerinden beri insanların birbirlerine ihtiyacı olmasından dolayı, başkasının malına veya hizmetine ihtiyacı olmuştur. İlk zamanlarda bunların değişimi takas ile (hukuki anlamıyla trampa) olmasına rağmen, çeşitliliğin ve bölünebilirliğin kısıtlı olmasından dolayı, belli cisimler(boncuk, deniz kabuğu gibi) para olarak kullanılmaya başlanmıştır.(Bazı teorilere göre bu durum doğal olarak gelişmiştir.) [1] (elektronik para güvenlik)
Zaman geçtikçe de daha güvenli ve istikrarlı olduğu için belli metaller değişim aracı olarak kullanılmaya başlamıştır. Modern para devrine geldiğimizde ise, belli değerli metallerin para olarak kabul edildiği sistemdeki gibi istikrarı ve kendi değeri olmayan, belli şekilde oluşturulan değersiz metal ve özellikle kâğıt olarak tedavüle çıkan para sistemleri kullanılmaya başlanmıştır.
Teknolojinin gelişmesi ve bilgi çağının da başlaması ile birlikte, üretim olanaklarının artması sonucu ticaret de gelişmiş, hızlanmış ve çeşitlenmiştir.
1970 yılında yaklaşık 3,7 milyar olan dünya nüfusu 2016 yılı sonunda 7,4 milyara yükselmiştir. Mevcut eğilimlerin devam etmesi durumunda 2050 yılında bu nüfusun 9,8 milyar kişiye ulaşması beklenmektedir. 1970 yılında 3,4 trilyon dolar olan küresel hâsıla 2016 yılı sonunda 76,3 trilyon dolara ulaşmıştır. 1950 yılında sadece 62 milyar dolar olan mal ihracatı 2016 yılı sonunda 15,9 milyar dolara yükselmiştir.[2] Dünya e-ticaret hacmi ise 2018 verilerine göre 4 yılda yaklaşık 3 kat artarak 1.6 trilyon dolara çıkmıştır. [3] Amerikalı tüketiciler alışverişlerinin %70’e yakınını, Avrupa %35’e yakınını internet üzerinden gerçekleştirmiştir.[4] Bu istatistikler birlikte değerlendirildiğinde, değer değişim araçlarının (para) farklı yöne gittiği sonucu ortaya çıkmaktadır. Nitekim bu ihtiyaçları daha kolay karşılayabilen nakit olmayan ödeme sistemlerinin (banka kartı, kredi kartı, elektronik fon transferi gibi) 2009-2015 yılları arasında kullanım oranları %45 artarak 390 milyar dolara ulaşmıştır. [5] İşte Dünyada ticaretin ve özellikle e-ticaretin artması, farklı ödeme şekillerine rağbetin artmasını ve paranın seyrini de değiştirmiştir.
1887 yılında ilk kartlı ödeme fikrinin ortaya çıkmış, 1894 yılında ABD’de ilk defa sadece belli otellerde geçerli kart ile ödeme uygulamaya konulmuş, 1950 yılında bugün kullandığımız kredi kartının ilk örneği olan kart kullanılmış, 1969’da ilk ATM ve 1973’te de ilk POS (Point of Sale) makinesi IBM tarafından geliştirilmiştir.
İlk çipli kart da 1974 yılında ABD’de üretilmiştir. Ülkemizde ise ilk ATM 1987, ilk POS makinesi 1991 yılında kullanılmıştır. Daha sonra ise EFT ve elektronik çek gibi sistemler ortaya çıkmıştır.[6]
ABD ve Avrupa’da 1993 yılında elektronik para ile ilgili tartışmalar başlamış olmakla birlikte, Avrupa Birliği bu konuda biraz daha öne çıkarak 2000 yılında 2000/46/EC sayılı direktif ile mevzuatına elektronik parayı dahil etmiştir.. Türkiye’de ise 2013 yılında 6493 sayılı ‘’Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’’ ile hukuk sistemimizde yer almıştır.
Banka Kartı, Kredi Kartı ve Kripto Paraların Sistem İşleyişi ve Riskleri
Banka ve kredi kartları: Kişilerin fiziksel parasını bir hesapta tutan bankaların, bu hesaplardaki para değişimlerini POS terminalleri üzerinden (Point of Sales Terminal) veya bankaya elektronik veya yazılı havale talimatı ile, banka ile ödemeyi yapan ve yine banka ve ödemeyi alan kişi arasında ayrı ayrı borç ilişkisi doğuracak şekilde işleyen banka kartı sistemi, insanların paralarını fiziksel olarak taşımanın alternatifi olarak en çok tercih ettikleri sistemdir ve kaydi para yerine geçmektedir. Burada, tarafların banka ile bir cari hesap sözleşmesi yapmaları gereklidir. Farklı görüşler olmakla birlikte, kredi kartlarında da cari hesap sözleşmelerinin olduğu kabul edilmektedir.[7] Kredi kartlarında da, belli usuller ve imzalar ile bu hesabı borçlandırma yetkisi(authorisation) verilmektedir.
Banka kartında da kredi kartında da işlemler havale ile tamamlanmaktadır.
Banka ve kredi kartlarında kullanıcılar açısından sayılabilecek bazı riskler:
§ Fiziksel olarak kartların ve şifrelerinin çalınması ile kullanılması
§ Kart üzerindeki çiplerin kopyalanması suretiyle
kullanılması
§ Kartlara ulaşmadan uzaktan banka hesapları arasında aktarım yapılması (hacking)
§ Bazı kart bilgilerinin öğrenilmesi
§ Temassız kart ile izinsiz çekimler
Bankalar ve ekonomiler açısından da kredi riski(taraflardan birisinin taahhüt ettiği ödemeyi yapmaması) veya likitide riski (nakit akışı düzensizliği ile birlikte mali yükümlülüklerin yerine getirilmemesi sonucu tıkanma) gibi riskler de mevcuttur.
Kripto paralar: Sanal para birimlerinden birisi olan kripto para süreci, 1981 yılında David Chaum’un anahtar şifreleme(kriptografi) tekniğini buluşu ile başlamış, Chaum’un ‘‘kör imza’’ sistemini bulması ile devam etmiştir. Bu sistem internet aracılığı ile güvenli ödemeyi de sağlamıştır. Adam Back’in ‘’iş kanıtı’’(PoW) sistemine dayanan bitcoin madenciliği algoritmasının temeli olan ‘’hashcash’’ in keşfi ve 2008 yılında Satoshi Nakamoto tarafından ‘’bitcoin’’ ve ‘’blockchain’’ teknolojisinin bulunması ile de dijital para devri tam olarak başlatmıştır. Ve bugün de geliştirilmeye devam etmektedir. Bu teknoloji aynı zamanda merkezi sistemi aradan çıkaran bir sistemdir. Bu yüzden ilk global para birimi olma özelliğini taşımaktadır. Hiçbir devlet müdahalesi olmaksızın organik şekilde değerlenmektedir.
Matematiksel işlemlerin çözülmesiyle madenciler tarafından üretilen bitcoinler, sistemdeki herkesin erişebildiği, dağıtılmış ‘’defter-i kebir’’ üzerine tek tek yazılmakta ve açık ve gizli anahtarlar ile el değiştiren bitcoinler de deftere kaydedilip, güncel kayıtları tüm kullanıcılarla paylaşılmaktadır.
Çifte harcama problemini çözmek için de ‘‘bitcoin miner’’ isimli doğrulama sistemini kullanılmaktadır.[8]
Bitcoin ve diğer altcoinlerin içinde olduğu bazı riskler:
Kişisel bilgisayar veya mobil cihazlarda tutulan cüzdanlardaki açık-gizli anahtarların, donanım arızası, zararlı yazılımlar, cihaz kaybı gibi durumlarda kaybedilmesi bitcoinlerin ulaşılmaz hale gelmesi. Yine bu anahtarların zararlı yazılımlar tarafından çalınma riski Belli otoritelerin müdahalesinin imkansız olması nedeni ile öngörülemeyecek dalgalanmaların olması İşlemlerin geri döndürülemez olması.
Bitcoin ve diğer kripto paraların devletler açısından riskleri ise kara para aklamaya fazla olanaklı olması, ülkelerce kontrolünün zor olması ve belirlenememesi sebebi ile de vergilendirilmesinin neredeyse olanaksız olması olarak sayılabilir. Bu paraların arzını devletin sağlaması halinde ise bu paraların amacına aykırı olacaktır. Yine bunların ulusal para birimi olması halinde yasa dışı kullanım oranının yüksek olacağı düşünülmektedir.[9]
Elektronik Para, İşleyiş Sistemi, Riskleri ve Risk Yönetimi
Kullandığımız nakit paranın elektronik ortamda donanımsal veya yazılımsal olarak depolanıp aktarılabilen şekline elektronik para denir. Elektronik para, ödemeli hamiline senet gibi işlem görür[10] ve resmi para birimi olmasa da elektronik para ile yapılan ödemeler nakit para gibi kabul görmektedir.
Elektronik Paranın İşleyiş Sistemi Nasıldır?
Elektronik para birkaç yönden sınıflandırılabilir.
Sistemin işletildiği ortama göre elektronik paralar:
Sistemin işletildiği ortama göre elektronik paralar, donanımsal veya yazılımsal olarak şekilde saklanabilir ve aktarılabilir.
Donanımsal sistem bir çip içerisindeki cüzdan uygulamalarda saklanan kod demetlerinin saklanması ve eş zamanlı erişim gerektirmeyen şekilde aktarılması şeklinde çalışır.
Yazılım tabanlı elektronik parada ise kişisel bilgisayarlar veya tabletler gibi cihazlarda cüzdan uygulamasında tutulan paralar söz konusudur. Bu paralar online olarak aktarılır.
Hem yazılım hem donanım sistemini aynı anda barındıran sistemler de mevcuttur.
Kullandıkları cüzdan uygulamasına göre elektronik paralar:
Kullandıkları cüzdan sistemine göre, çift yuvalı elektronik cüzdan, abone tanımlama modüllü elektronik cüzdan ve cep telefonu numarasına bağlı elektronik cüzdan olarak ayrılır. [11]
Çift yuvalı elektronik cüzdan sisteminde, plastik çipli kart ve ona bağlı telefona yerleştirilen çip, entegreli çalışır. burada cep telefonu bir nevi istasyon görevi görür.
Abone tanımlama modüllü sistemde, cüzdan sim kart üzerine yüklenmektedir. Terminal gibi hareket eden, sim karttır.
Cep telefonu numarasına bağlı e-cüzdan sisteminde ise, sim’e gerek olmadan, mobil cihaza yüklü cüzdan uygulaması üzerinden işlemler yürür. Burada cep telefonu aracı terminal işlevi görmektedir. Bu iki ayrım sistemleri dışında onaylama yöntemine göre çevrimiçi ve yarı çevrimiçi sistem, kullanıcının kimliğinin belirlenmesine göre anonim ve anonim olmayan sistem ve paranın teknik görünümü açısından hesap tabanlı ve madeni para tabanlı sistemler vardır. [12]
Elektronik Para Kullanımında Riskler
Düşük maliyet, çek ve kredi kartı dolandırıcılığının azaltılması, perakende satışta sahteciliğin azalması, konforun artması, taşımanın ucuz olması, şifre koruması, bölünebilirlik gibi avantajları olan e-para sistemlerinin, aynı zamanda dezavantajları da vardır. Kullanıcılar açısından da, elektronik para ihraç eden kuruluşlar açısından da, devletler açısından da çeşitli dezavantajlar mevcuttur.
Kullanıcılar açısından riskler:
Gerek alıcılar açısından gerek de satıcılar açısından dezavantajlar olabili0r. Bu dezavantajlar;
§ En başta fon sahibi banka veya elektronik para kuruluşunun ödeme kabiliyetinin düşük olması, ödeme konusunda riskler oluşturabilir.
§ Donanım tabanlı sistemlerde, kartın ve şifresinin çalınması durumları oluşabilir.
§ Plastik çipli donanım tabanlı sistemlerde kalpazanlık, kart kopyalama ve yeniden değer yükleme[13] gibi riskler oluşabilir. (offline fraud)
§ Çoğu elektronik para sisteminde, uzaktan izinsiz erişim ve değer değiştirme(hacking) gibi riskler mevcuttur. (Bilgisayar ağı üzerinden gönderilen elektronik mesajlara müdahale gibi.)(online fraud)
§ Yanlış işlem yapma durumunda da geri dönme imkanı olmadığı için büyük risk vardır.
§ Kartın kaybolması ve bozulması riski mevcuttur.
§ Temassız kart durumlarında yetkisiz ödemeler gibi riskler mevcuttur.
§ Ayrıca kişisel verilerin korunması bağlamından bakar isek, bu verilerin güvenliğinin ihlali de riskler arasındadır.
Elektronik para kuruluşları ve ödeme kuruluşları açısından riskler:
– Yine aynı şekilde yetkisiz kişilerce yapılan erişim, elektronik para kuruluşlarını büyük zararlara uğratabilir.
– Fraud durumlarında müşterilerin ters ibraz(chargeback) hakları olduğundan dolayı, kuruluşların da büyük zarara uğrama riskleri vardır.
– Dijital ortamda kodlar kopyalanabildiğinden dolayı, çifte harcama riskleri olabilmektedir.
Devletler açısından riskler:
Devletler açısından, ekonomik değer değişim aracı olan paranın kontrolünü elde bulundurmak çok önemlidir. Elektronik parada da bu kontrolün sağlanması gerekir. Bu merkez etrafında olan veya diğer riskler şunlardır;
Anonim sistemli elektronik paralarda, paranın akışı takip edilemediğinden dolayı kara para aklama riskleri ile devletler karşı karşıyadır.
Yine çifte harcama durumları, devletler açısından da büyük risktir.
Elektronik paranın merkez bankası tarafından arz edilen paraya alternatif olma ihtimali de devletler açısından büyük risktir. Bu durumda para politikaları etkisiz olacak ve kontrol gidecek veya azalacaktır.
Kullanıcılar ve e-para kuruluşları ile ödeme kuruluşları için olan risklerin düzeyi arttığı takdirde dolaylı olarak devletleri de etkilemektedir.
Yukarıda saymaya çalıştığımız ve onlara benzer riskler, elektronik paranın güvenilir olma durumunu etkilemektedir. Bu yüzden elektronik paranın güvenliği, hem mevzuatlar ile hem de sistemsel ve donanımsal şekilde sağlanmaya çalışılmıştır.
Elektronik Parada Sistemlerinde Güvenlik
Kişiler, gerek kanuni para, gerek kaydi para, gerek sanal para gerekse elektronik para kullanımlarında, kendi iradeleri dışında ödeme olmaması ve hesaplarında değişiklik olmamasını beklerler.
Elektronik para sistemlerinde yukarıda incelediğimiz gibi birçok risk olmakla birlikte, bu risklerden bazıları için, e-para çalışma sistemlerinin çeşidine göre güvenlik sistemi de geliştirilmiştir.
Elektronik parada risk yönetim zorunluluğunun kanundan ve yönetmelikten kaynaklanan dayanakları
Elektronik para sistemlerinde güvenli bir işleyişin sağlanması için 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’da ve Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Kuruluşları Hakkında Yönetmelik’te genel çerçeve çizilmiştir. Bu konuda ayrıntılı düzenleme ise Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ’de mevcuttur. Bu başlıkta elektronik para sistemlerinde güvenliğin sağlanmasının kanundan ve yönetmelikten doğan dayanakları incelenecek, daha sonra da Tebliğ ile öngörülen ayrıntılı önlemler teknik açıdan incelenecektir.
6493 sayılı Kanun’un 5.maddesi birinci fıkrasında, sistem işleticisinin[14] faaliyet izni alması için gerekli şartlar sayılırken, ç bendinde ‘’ Yeterli risk yönetimine sahip olması ve bilgilerin güvenliği ile güvenilirliğine ve iş sürekliliğine dair gerekli tedbirleri alması’’ şartını da getirerek, risklerin önlenmesi konusunda önemli bir düzenleme yapmıştır. Bu bağlamda, Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Kuruluşları Hakkında Yönetmelik’in 20. maddesinde, risk yönetim ile alakalı daha ayrıntılı düzenleme yapılmıştır: ‘’ (14) Kuruluşun, faaliyetlerinin kapsamı ve yapısıyla uyumlu ve değişen koşullara uygun, maruz kalınabilecek tüm risklerin tanımlanmasını, ölçülmesini, izlenmesini, kontrol edilmesini ve raporlanmasını sağlamak üzere etkin bir risk yönetimi sistemi kurması zorunludur.
(2) Risk yönetimi faaliyetleri, yönetim kuruluna veya yönetim kurulunun belirleyeceği genel müdür dışındaki bir yönetim kurulu üyesine bağlı olarak icraî görevi bulunmayan risk yönetimi personeli tarafından yürütülür.’’ Yine aynı kanunun 14. maddesi birinci fıkrası d bendinde, ‘’Bu Kanun kapsamındaki işlemleri gerçekleştirebilecek yönetim, yeterli personel ve teknik donanıma sahip olması ve şikâyet ve itirazlarla ilgili birimleri oluşturması’’ şartı ödeme kuruluşları [15] açısından getirilmiştir. Bu şikayet ve itirazlar özellikle çifre harcama ve fraudlar açısından önem arz etmektedir. Elektronik para kuruluşları[3] için de Kanun’un 18. maddesi birinci fıkrası d bendinde, ‘’ Bu Kanun kapsamındaki işlemleri gerçekleştirebilecek yönetim, yeterli personel ve teknik donanıma sahip olması, şikâyet ve itirazlarla ilgili birimleri oluşturması ‘’ şartı getirilmiştir.
14. maddenin birinci fıkrası e bendinde, ‘’Bu Kanun kapsamında yürütecekleri faaliyetlerin sürekliliğine ve ödeme hizmeti kullanıcılarına ilişkin fon ve bilgilerin güvenliğine ve gizliliğine dair gerekli tedbirleri alması’’ şartı getirilerek, kişisel verilerin güvenliğine ilişkin önlemlerin ödeme kuruluşları tarafından alınması gerektiğini düzenlemiştir.
Kanun’un 21. maddesi 5. fıkrasında, ‘’ Kamu kurum ve kuruluşları, Devletin güvenliği ve temel dış yararlarına karşı ağır sonuçlar doğuracak hâller ile meslek sırrı, aile hayatının gizliliği, soruşturmanın
gizliliği ve savunma hakkına ilişkin hükümler saklı kalmak kaydıyla özel kanunlardaki yasaklayıcı ve sınırlayıcı hükümler dikkate alınmaksızın gizli dahi olsa Kurum tarafından bu Kanun kapsamında verilen görevler ile sınırlı olmak üzere istenecek her türlü bilgi ve belgeyi uygun süre ve ortamda, sürekli veya münferit olarak vermek zorundadır.’’
Kanun’a göre e-para ve ödeme kuruluşlarının kabul ettikleri fonların 5411 sayılı Bankacılık Kanununa tabi bir bankada açılacak koruma hesaplarında tutulması zorunludur. Hizmetin gerçekleştirilmemesi veya elektronik paranın gerçek paraya çevrilmemesi riski karşısında ödeme hizmetinden faydalanan veya elektronik para kullanan müşterilerin korunmasının sağlanmasıdır. Ayrıca 22. maddede fonların korunması Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Kuruluşları Hakkında Yönetmelikle belirleneceği belirtilmiş, yönetmeliğin 26. maddesinde ise korunma şekilleri belirtilmiştir. Kanun’un 23. maddesinde ise kişisel verilerin korunması konusunda bir düzenleme vardır. 23. maddenin 2. fıkrasında, ‘’ Ödeme usulsüzlüklerini önlemek, araştırmak ve ortaya çıkarmak için gerekli durumlarda, sistem işleticisi ve ödeme hizmeti sağlayıcısı, kişisel bilgileri kişisel verilerin korunmasına ilişkin gerekli tedbirleri alarak kullanır.’’ şeklinde düzenleme vardır. Yönetmeliğin 21. maddesinde, raporlama, muhasebe ve bunların bağımsız denetlenmesi düzenlenmiştir: ‘’(1) Kuruluş, Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurulu tarafından belirlenen usul ve esaslar çerçevesinde, tüm işlemlerini gerçek mahiyetlerine uygun şekilde muhasebeleştirmek, finansal raporlarını bilgi edinme ihtiyacını karşılayabilecek biçim ve içerikte, anlaşılır, güvenilir ve karşılaştırılabilir, denetime, analize ve yorumlamaya elverişli, zamanında ve doğru şekilde düzenlemek zorundadır.
(2) Kuruluşun yılsonu finansal tablolarının bağımsız denetimi Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumundan kamu yararını ilgilendiren kuruluşlar dahil bağımsız denetim yapma yetkisi almış Bağımsız Denetim Kuruluşları listesinde yer alan ve unvan ile iletişim bilgileri Kurum tarafından “Ödeme Kuruluşları ve Elektronik Para Kuruluşlarında Bağımsız Denetim Yapmaya Yetkili Bağımsız Denetim Kuruluşları” listesinde yayımlanan bağımsız denetim kuruluşlarınca gerçekleştirilir.’’
Yönetmeliğin 45. maddesinde yukarıda bahsettiğimiz bazı güvenlik ihlallerinin ödeme hizmeti kullanıcısı tarafından olmadığı hallerde, ödeme hizmeti kullanıcısının hak ve yükümlülüklerini düzenlemiştir. Buna göre ödeme hizmeti kullanıcısı, yetkilendirmediği veya hatalı gerçekleştirilmiş ödeme işlemini öğrendiği andan itibaren ödeme hizmeti sağlayıcısına gecikmeksizin bildirmek suretiyle işlemin düzeltilmesini isteyebilir. Düzeltme talebi, her halükarda ödeme işleminin gerçekleştirilmesinden itibaren on üç ay içinde yapılmalıdır. Ödeme hizmeti sağlayıcısı tarafından ödeme işlemine ilişkin bu Yönetmelikte belirtilen tüm bilgilerin ödeme hizmeti kullanıcısına sağlanmamış olması halinde, ödeme hizmeti kullanıcısı bu süreyle bağlı olmaksızın her zaman düzeltme talep edebilir. Yine buna göre, gönderenin ödeme hizmeti sağlayıcısının 44 üncü maddenin dördüncü fıkrası kapsamındaki bildirimin yapılabilmesi için gerekli tedbirleri almamış olması, ödeme hesabını donduramaması ya da ödeme aracını kullanıma kapatamaması hallerinde ödeme aracının kullanılmasından doğan zarardan gönderen sorumlu tutulamamaktadır.
Elektronik Parada Güvenlik Riskleri Yönetimi
Bu risklere karşı, finansal, hukuki ve teknik açılardan (bilgi sistemleri) güvenlik önlemleri mevcuttur.
İlk olarak fon sahibi banka veya elektronik para kuruluşunun ödeme kabiliyetinin düşük olması sebebiyle ödeme konusunda oluşabilecek risklere karşı düzenlemeler Yönetmelik 27. maddede belirtilmiştir. Buna göre, elektronik para kuruluşu, şubeleri, temsilcileri veya elektronik para kuruluşu adına hareket eden üçüncü taraf bir hizmet sağlayıcısı tarafından elektronik para ihraç edilmesi karşılığında alınan ve alındığı günü izleyen iş günü sonuna kadar fona çevrilmeyen tutarlar bir banka nezdinde, sadece bu fonların tutulacağı fonların korunması amacıyla açılan hesaba aktarılır. Bu hesaba elektronik para koruma hesabı denilmektedir.
Elektronik para ihracı için bir ödeme aracı vasıtasıyla alınan fonlar ile Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğde tanımlanan hizmet noktaları vasıtasıyla alınan nakit tutarlar, birinci fıkra saklı kalmak kaydıyla elektronik para kuruluşunun hesabına geçtiğinde veya başka bir surette elektronik para kuruluşunun kullanımına hazır hale geldiğinde elektronik para koruma hesabına aktarılır. Elektronik para koruma hesabına aktarma süresi, elektronik paranın ihracından itibaren beş iş gününü geçemez. Sözleşme ile 5 iş gününden fazla süre kararlaştırılsa bile, bir etkisi olmayacaktır.
Yine bu amaçla getirilen düzenlemeye göre, elektronik para koruma hesabının gün sonu bakiyesi, elektronik para koruma hesabının bulunduğu banka tarafından Merkez Bankası nezdindeki hesabında bloke edilir.
Donanım tabanlı sistemlerde kartın çalınması ve şifresinin kırılması durumlarında, yetkisiz işlem yapma durumları oluşmaktadır. Bu duruma yönelik ilk önlem, aslında yazılım tabanlı elektronik para sistemidir. Fakat bu sistemde de başka riskler oluşabilmekle birlikte, aşağıda değinilecektir.
Tebliğ’in 7. maddesi 6,7 ve 9. fıkralarında ve 9. madde 3. fıkrasında belirtilenlere göre kuruluş, kullanıcılarına sağladığı mobil uygulamaları barındıran mobil cihazların, güvenli bileşenlerin ya da ödeme kuruluşunun kullanımına hazır hale geldiğinde elektronik para koruma hesabına aktarılır. Elektronik para koruma hesabına aktarma süresi, elektronik paranın ihracından itibaren beş iş gününü geçemez. Sözleşme ile 5 iş gününden fazla süre kararlaştırılsa bile, bir etkisi olmayacaktır.
Hassas ödeme verilerinin ve kişisel bilgilerin kablosuz biçimde veya internet üzerinden iletilmesi halinde, bu iletim uçtan uca güvenli iletişim ile gerçekleştirilmeli,kullanılacak şifreleme tekniklerinde, güncel durum itibariyle literatürde kabul görmüş ve güvenilirliğini yitirmemiş algoritmalar temel alınmalıdır. Kullanılacak şifreleme anahtarları, ilgili algoritmalar için anahtarın geçerli olacağı ve kullanılabileceği zaman zarfında kırılamayacak şekilde uzun seçilir.
Geçerliliğini yitirmiş, çalınmış veya kırılmış şifreleme anahtarlarının kullanılabilirliği engellenmelidir. Kuruluş, tesis edeceği sistemler ve geliştireceği uygulamalarda kullanıcılarına ve personeline ait kimlik doğrulama bilgilerinin gizliliğine ve güvenliğine yönelik gerekli önlemleri almalı, bu önlemler asgari olarak kimlik doğrulama bilgilerinin, veritabanlarında şifreli olarak muhafaza edilmesi, kimlik doğrulama amacıyla aktarılırken şifrelenmesi, yetkisiz erişimlere veya görevler ayrılığı prensibine aykırı olarak kontrolsüz bir şekilde gerçekleştirilecek değişikliklere karşı korunması, bu veritabanları üzerinde gerçekleştirilen işlemlere ilişkin yeterli denetim izlerinin tutulması ve bu denetim izlerinin güvenliğinin sağlanması hususlarını içermelidir.
Burada en başta yazılım ve bilginin bütünlüğünü korumak amacıyla kötü niyetli kodlara ve uygulamalara karşı güvenlik kontrolleri gerçekleştirilmelidir ve antivirüs programları başta olmak üzere çeşitli önlemler alınmalıdır. Bu amaca hizmet eden sistemler şunlardır:
EMV sistemi: Donanımtabanlı sistemler açısından donanım üzerindeki çipte veri saklama metodunun statik olması yerine dinamik şekilde saklama ve her seferinde kodların değişmesi durumu olarak anlatılabilecek, EMV çipli kartlarda kart kopyalamak imkansızlaşmaktadır. Ayrıca kartlar üzerindeki sahtekarlıkları da azaltır. EMV uygulamasında kart kullanıcıları, kredi ve debit işlemleri için şatış işleminin yapıldığı terminalden PIN girerek kimlik denetimini gerçekleştirirler. PIN, terminal ile sayısal sertifika yöntemini kullanarak kimlik denetimini gerçekleştiren akıllı kart tarafından doğrulanır.
İşlem detayları, kart kullanıcısı ile kartı kullanıcıya veren banka arasında paylaşılmış olan simetrik anahtar ile MAC (mesaj kimlik denetimi kodu) kullanılarak kimlik denetiminden geçirilir. [17]
Bu konuda yazılım tabanlı sistemler açısından ise SET protokollerinin daha gelişmiş şekli olan 3D Güvenlik(3DSecure) sistemi mevcuttur ve kullanılmaktadır. Çalışma sistemi olarak EMV sistemine benzemektedir.
Yine bu amaçla getirilen düzenlemeye göre, elektronik para koruma hesabının gün sonu bakiyesi, elektronik para koruma hesabının bulunduğu banka tarafından Merkez Bankası nezdindeki hesabında bloke edilir.
Donanım tabanlı sistemlerde kartın çalınması ve şifresinin kırılması durumlarında, yetkisiz işlem yapma durumları oluşmaktadır. Bu duruma yönelik ilk önlem, aslında yazılım tabanlı elektronik para sistemidir. Fakat bu sistemde de başka riskler oluşabilmekle birlikte, aşağıda değinilecektir.
Tebliğ’in 7. maddesi 6,7 ve 9. fıkralarında ve 9. madde 3. fıkrasında belirtilenlere göre kuruluş, kullanıcılarına sağladığı mobil uygulamaları barındıran mobil cihazların, güvenli bileşenlerin ya da ödeme araçlarının kaybolması ya da çalınması halinde bunlar üzerindeki hassas ödeme verilerinin erişilemez olmasını sağlamak amacıyla günün teknolojisine uygun kontroller tesis etmek zorundadır. Hassas ödeme verilerinin ve kişisel bilgilerin kablosuz biçimde veya internet üzerinden iletilmesi halinde, bu iletim uçtan uca güvenli iletişim ile gerçekleştirilmeli,kullanılacak şifreleme tekniklerinde, güncel durum itibariyle literatürde kabul görmüş ve güvenilirliğini yitirmemiş algoritmalar temel alınmalıdır. Kullanılacak şifreleme anahtarları, ilgili algoritmalar için anahtarın geçerli olacağı ve kullanılabileceği zaman zarfında kırılamayacak şekilde uzun seçilir.
Geçerliliğini yitirmiş, çalınmış veya kırılmış şifreleme anahtarlarının kullanılabilirliği engellenmelidir. Kuruluş, tesis edeceği sistemler ve geliştireceği uygulamalarda kullanıcılarına ve personeline ait kimlik doğrulama bilgilerinin gizliliğine ve güvenliğine yönelik gerekli önlemleri almalı, bu önlemler asgari olarak kimlik doğrulama bilgilerinin, veritabanlarında şifreli olarak muhafaza edilmesi, kimlik doğrulama amacıyla aktarılırken şifrelenmesi, yetkisiz erişimlere veya görevler ayrılığı prensibine aykırı olarak kontrolsüz bir şekilde gerçekleştirilecek değişikliklere karşı korunması, bu veritabanları üzerinde gerçekleştirilen işlemlere ilişkin yeterli denetim izlerinin tutulması ve bu denetim izlerinin güvenliğinin sağlanması hususlarını içermelidir.
Burada en başta yazılım ve bilginin bütünlüğünü korumak amacıyla kötü niyetli kodlara ve uygulamalara karşı güvenlik kontrolleri gerçekleştirilmelidir ve antivirüs programları başta olmak üzere çeşitli önlemler alınmalıdır. Bu amaca hizmet eden sistemler şunlardır:
EMV sistemi: Donanımtabanlı sistemler açısından donanım üzerindeki çipte veri saklama metodunun statik olması yerine dinamik şekilde saklama ve her seferinde kodların değişmesi durumu olarak anlatılabilecek, EMV çipli kartlarda kart kopyalamak imkansızlaşmaktadır. Ayrıca kartlar üzerindeki sahtekarlıkları da azaltır. EMV uygulamasında kart kullanıcıları, kredi ve debit işlemleri için şatış işleminin yapıldığı terminalden PIN girerek kimlik denetimini gerçekleştirirler. PIN, terminal ile sayısal sertifika yöntemini kullanarak kimlik denetimini gerçekleştiren akıllı kart tarafından doğrulanır.
İşlem detayları, kart kullanıcısı ile kartı kullanıcıya veren banka arasında paylaşılmış olan simetrik anahtar ile MAC (mesaj kimlik denetimi kodu) kullanılarak kimlik denetiminden geçirilir. [17]
Bu konuda yazılım tabanlı sistemler açısından ise SET protokollerinin daha gelişmiş şekli olan 3D Güvenlik(3DSecure) sistemi mevcuttur ve kullanılmaktadır. Çalışma sistemi olarak EMV sistemine benzemektedir.
3D Güvenlik Sistemi: Bu sistem, şifreleme yöntemi olarak açık anahtar sisteminde, ortak anahtar ile kişinin kimliğinin doğrulanmasıdır. Daha açık bir deyiş ile, kişinin kimliğinin telefonuna gönderilen bir mesajdaki simetrik anahtarlı şifre ile doğrulanması ve denetim kodlu çift katmanlı şifreleme sağlanmasıdır. Tebliğ’in 7. maddesinin 3, 4 ve 10. fıkrasına göre de, kuruluş, kullanıcılarına sunduğu her türlü yazılım ya da mobil uygulamanın, kullanıcı güvenliğini tehlikeye sokacak herhangi bir kod içermemesini sağlamakla, güvenlik açıklarını giderecek gerekli yamaları ve güncellemeleri yayınlamakla yükümlü tutulmuştur. Ayrıca kendi kurumsal ağı dışındaki ağlarla iletişimde bulunduğu hallerde bu dış ağlardan gelebilecek tehditler için ağ kontrol güvenlik sistemlerini tesis etmelidir.
Kuruluş, dış ağdan iç ağına yapılacak erişimleri kontrol altında tutmak, ayrıca, iç ağının farklı güvenlik hassasiyetine sahip alt bölümlerini birbirinden ayırarak kontrollü geçişi temin etmek üzere, gerektiği şekilde konfigürasyonu yapılmış ve sürekli gözetim altında tutulan bir veya birden fazla güvenlik duvarı kullanmakla yükümlüdür. İnternet aracılığıyla sunulan hizmetlerde, kullanıcının işlem gerçekleştirdiği internet sayfasının kuruluşa ait olduğunun doğrulanmasını sağlayacak teknikler kullanılır.
Bu güvenliği sağlamak için bazı sistemler mevcuttur.
SSL (Secure Sockets Layer) Sistemi: SSL (Secure Sockets Layer) sertifikaları aracılığıyla kullanılan SSL protokolü, internet veya bir bilgisayar ağı üzerinde güvenli bilgi akışını sağlayabilen bir teknolojidir.
SSL sertifikası, bağlanılan web sitesinin kimliğini doğrulayan ve SSL protokolü kullanılarak sunucuya gönderilen ve alınan bilgilerin şifrelenerek aktarılmasını sağlayan dijital bir belgedir. SSL bağlantısı üzerinden paylaşılan bilgiler sadece uygun şifre ve anahtarlar ile okunabilir. Dışarıdan müdahale ile bu bilgilere ulaşılsa bile, bu bilgiler şifreli olduklarından tamamen okunamaz haldedirler. SSL çalışma sistemi, açık anahtarlı altyapılar, bir başka deyişle çift anahtarlı şifreleme tekniğiyle amacına ulaşır. Normal şifreleme yöntemlerinde, bağlantıya geçen iki taraf birbirleriyle bir şifre veya bir anahtarı önceden paylaşır. Buna istinaden bu şifre veya anahtar hem mesajın şifrelenmesinde hem de mesajın deşifre edilmesinde kullanılır. [18]
Ama bu sürekli ve tam bir güvenlik protokolü oluşturmaz; keza kötü niyetli kişiler tarafından ele geçirilebilecek olan bu ortak şifre veya anahtar ile tüm iletilen bilgiler kolayca çözülebilir. SSL bağlantısı kurulurken, bu şifreleme anahtarının güvenli bir şekilde, tek kullanımlık olarak oluşturulması ve sadece tek bir bağlantı için taraflarca paylaşılması sağlanır.
SSL sertifikalarının çeşitleri vardır.
1) DV (Domain Validation) SSL :Doğrulama düzeyi düşük, sadece sunucu adını doğrulayan ve dakikalar içerisinde sağlanan sertifikalardır.
2) OV (Organizational Validation) SSL : Sunucu adına bağlı olarak bu alan adına sahip olan firmanın bilgilerini içerir ve bu bilgilerin hepsi sertifikayı üreten firma tarafından kontrol edilerek doğrulanır. DV seritifikalara göre çok daha güvenlidir.
3) EV (Extended Validation) SSL :Güvenlik düzeyi en yüksek olan ve sertifika sahibi firmanın fiziksel, hukuki ve ticari varlığıyla beraber çok kapsamlı kurumsal doğrulama süreçlerini sağlayan sertifikalardır.
Veri Güvenliği Standardı Olarak PCI/DSS PCI
DSS, Payment Card Industry Data Security Standard ifadesinin kısaltması olup, Türkçe’ye Ödeme Kartları Endüstrisi Veri Güvenliği Standartları olarak geçmiştir. Dünya genelinde kullanılan bu standart sayesinde, kart ödemelerinin güvenli bir şekilde yapılması, sahtecilik ve dolandırıcılık işlemlerine karşı etkin bir koruma sağlanmaktadır. Fraud ve diğer sahtecilik yöntemlerine karşı koruma sağlayan PCI DSS Sertifikası, ödeme kartı denildiğinde akla gelen her türlü aracı kapsıyor. Para kart, maaş kartı, banka kartı, kredi kartı, donanım tabanlı elektronik para kartı ve başka isimlerle anılan diğer ödeme kartlarını kapsayan bu standartların uygulanması konusunda da PCI DSS tarafından sık sık gerekli baskı yapılıyor. Öyle ki bu standartlara uymayan firmaların yetkilerinin durdurulması bile gündeme gelebiliyor. Visa, Master Card, American Express ve JCB’nin yer aldığı PCI SSC adı verilen konsey tarafından kurulmuş olan bu sistem teknik ve operasyonel bir sistemdir. [19]
Kartlı Ödeme Endüstrisi Veri Güvenlik Standardı (PCI DSS), elektronik kartların işlenmesi, iletilmesi ve saklanması aşamalarında uyulması gereken mantıksal ve fiziksel bilgi güvenliği kurallarını tanımlamaktadır. PCI DSS sadece elektronik kart sadece elektronik para kuruluşları için geçerli olmakla kalmayıp, kart sahibinin bilgilerini gizleyen ya da ileten tüm hizmet sağlayıcılarını da kapsamaktadır. Bir başka deyişle, ödeme kuruluşlarını, POS terminali kullanacak olan işyerlerini ve e-ticaret sitelerini de kapsamaktadır.
PCI/DSS standartlarında, belirleme yapıldıktan sonra seviyelere göre sertifikalar verilmektedir. PCI DSS için öncelikle güvenli bir ağ oluşturulması gerekir. Güvenlik duvarının kurulması, ayarlanması, sistem parolalarının ayarlanması ilk yapılması gerekenlerdir. Daha sonra kredi kartı ya da banka kartı sahibinin bilgilerinin açık ve kapalı ağlarda transferinin güvenli bağlantı üzerinden sağlanması gerçekleştirilir. Her sistemde olduğu gibi burada da anti-virüs yazılımlarına ihtiyaç vardır. Bu yazılımların kurulumu ve düzenli olarak güncellenmesi esastır. Kart sahibinin bilgilerinin yalnızca ilgili kişilere gönderiminin sağlanması, kart bilgilerine fiziksel erişimin engellenmesi bir sonraki basamaktır. Ağ kaynaklarına ve kart sahibi bilgilerine erişimin sürekli olarak izlenmesi ve kayıt altında tutulması, güvenlik sisteminin ve süreçlerinin test edilmesi PCI DSS’te olağan olarak yapılması gerekenlerin başında gelir.
PCI/DSS seviyeleri
Güvenlik programları belli bir standart üzerinden ilerlese de e-ticaret firmaları ve diğer kuruluşlar, kart işlem sayılarına göre 4 farklı seviyede değerlendirilirler. Farklı seviyelere göre de uyum doğrulamayı gerektirecek farklı yollar belirlenir. Visa ve Mastercard kullanan firmalar için ana hatlarıyla seviyeler şu şekilde sınıflandırılabilir:
– Level 1: Yılda 6 milyondan fazla işlem yapılan firmalar.
– Level 2: Yılda 1-6 milyon arası işlem yapılan firmalar.
– Level 3: Yılda 20 bin-1 milyon arası işlem yapılan firmalar
– Level 4: Yılda 20 binden az işlem yapılan firmalar.[1]
Anonim sisteme sahip sistemlerde kara para aklanması gibi risklerin önlenmesi için, kör imza ve gizli ayırma yöntemleri ile anonimlik giderilmektedir.
Dijital ortamda kodlar kopyalanabildiği için, çifte harcama gibi durumların olması karşısında, iki tarafın da anahtara sahip olduğu açık anahtar şifreleme sistemleri kullanılmakta ve bu sorun giderilebilmektedir.
Elektronik paranın merkez bankaları tarafından arz edilen kanuni paralara alternatif olma ihtimali de mevcut olmakla birlikte, bunun sonucu ile para politikalarının etkisiz kalacağıdır. Bu duruma karşı elektronik para ihraç etme yetkisinin sadece merkez bankalarına verme uygulanabilir. Fakat AB 2009/110/EC sayılı direktife ve ülkemiz 4953 sayılı kanuna göre, elektronik para ihraç etme yetkisi sadece merkez bankalarında değildir.
Kanunun 29-31. maddelerinde ise güvenlik önlemi almayan ve güvenlik ihlali yapanlara karşı cezai yaptırımlar öngörülmüştür.
Çağımızda doğal olarak değişen vegelişen teknolojik ve finansal sistemlerin bir ürünü olan elektronik para, riskler yanında bunlara karşı tedbirlerin de olması sebebiyle, güvenilirliğini ve yaygınlığını artıracağa benzemektedir.
Yazar: Av. Ali ERŞİN / Hukuk ve Bilişim Dergisi Genel Koor.
Yazarın “Kripto Para Borsaları ve Hak İhlalleri” isimli yazısını okumak için bağlantıya tıklayınız.
Yazının bağlantısına ulaşmak için tıklayınız.
Kaynakça
[1] YURTÇİÇEK
Mehmet Sıddık, Hukuki Açıdan Elektronik Para
[2] Ege Bölgesi Ticaret Odası, 2017 Yılında
Dünya ve Türkiye Ekonomisi ve 2018 Yılında Gelişmeler
[3] Gözde ULUKAN, Webrazzi, 28.02.2018,
[4] E-Ticaret Port, 29.09.2019,
https://www.eticaretport.com/turkiye-ve-dunyada-eticaret-s2054.html
[5] Evrim KÜÇÜK, Dünya Gazetesi, 09.10.2015
[6] Ekonomi Sayfası, 24.09.2012,
http://ekonomisayfasi.blogspot.com/2012/09/kredi-kart-ve-banka-kartlarnn-tarihi.html
[7] YURTÇİÇEK Mehmet Sıddık, Hukuki Açıdan Elektronik Para
[8] KONDRATENKO, Valentyna, Emerging Legal Of The
Blockchain Appıcation In The Public Sector: Experience of the Ukraınıan
Decentralized Online Auction System
[9] YILMAZ ÖZBAŞ Mert, BİTCOİN GELECEĞİN PARA BİRİMİ OLABİLİR Mİ?
[10] YURTÇİÇEK Mehmet Sıddık, Hukuki Açıdan Elektronik Para
[11] YURTÇİÇEK Mehmet Sıddık, Hukuki Açıdan Elektronik Para
[12] YURTÇİÇEK Mehmet Sıddık, Hukuki Açıdan Elektronik Para
[13] ÇAĞLAR Ünal, Elektronik Para: Enformasyon Teknolojisindeki Gelişmeler ve Yeni Ödeme Yöntemleri
[14] Sistem İşleticisi: Sistemin günlük işleyişinden sorumlu olan ve sistem işletimi için gerekli olan
faaliyet iznine sahip tüzel kişidir.
[15] Ödeme kuruluşu: Ödeme hizmeti sağlamak ve gerçekleştirmek için bu Kanun kapsamında yetkilendirilmiş tüzel kişidir.
[16] Elektronik para kuruluşu: Bu Kanun kapsamında elektronik para ihraç etme yetkisi verilen tüzel
kişidir.
[17] Arif UNAL, EMV nedir?, http://unalarif.com/yazi/emv-nedir-2/
[18] KALKAN, Burak, Çözüm Park, https://www.cozumpark.com/ssl-secure-sockets-layer-nasil-calisir/
[19] Codevist, https://blog.codevist.com/eec28e285d53
[20] Codevist, https://blog.codevist.com/eec28e285d53
[21] Payfull, https://payfull.com/tr/pci-dss-guvenlik-sertifikasi-hakkinda-kisaca
Geri bildirim: Bilgi Güvenliği Teknolojisi Teknikeri - Bilişim Profesyonelleri
Geri bildirim: Bilgi Teknoloji Danışmanı ne iş yapar? - Bilişim Profesyonelleri