Son günlerde banka ve kredi kartlarına ilişkin sıcak gelişmeler yaşanıyor. Bankacılık Düzenleme ve Denetleme Kurulu’nun (BDDK) 16 Şubat 2017 tarihli Kararı ile, verilmiş ve verilecek tüm kredi kartları için kart sahibinin kartının internet alışverişlerine açık olması durumu talebe bağlanmıştır. Diğer bir deyişle, kart sahibinin açık talebi ve rızası olmadan kartların internet alışverişlerinde kullanılması söz konusu olmayacaktır. Söz konusu Kurul Kararı özellikle kart çıkaran bankalar ve e-ticaret alanında faaliyet gösteren üye işyerleri (mal ve/veya hizmet satan kuruluşlar) açısından önemli değişiklikler getirmiş oluyor.
15 Mart 2017 tarihinde BDDK tarafından yapılan basın açıklaması ile konu açıklığa kavuşturulmuştur. Basın açıklamasında ’…’günlük hayatında kredi kartını internet işlemlerinde kullanmayan, kartı ile internetten alışveriş yapılabileceğinin farkında dahi olmayan vatandaşların dolandırıcılar tarafından kandırılarak suistimal edilmesinin, zarara uğratılmasının önüne geçebilmek için Bankacılık Düzenleme ve Denetleme Kurulu’nun 16 Şubat 2017 tarihli Kararı ile, verilmiş ve verilecek olan tüm kredi kartları için bankalara kart sahibinin kartının internet alışverişlerine açık olması talebe bağlı olma zorunluluğu getirilmiştir.’’ ibarelerine yer verilmiştir.
Belirtmek gerekir ki; söz konusu Kurul Kararı’na ilişkin yapılan basın açıklamasında mevcut işleyişi aksatmadan ve müşteri memnuniyetsizliği yaratmadan talep alma yükümlülüğünün yerine getirilebilmesi gerekçelerine vurgu yapılarak, bankaların sistemlerinin yapılan değişikliğe uyumlu hale getirilebilmesi için 6 aylık bir geçiş süresi belirlendiği vurgulanmaktadır.
Buna göre; 17 Ağustos 2017 tarihine kadar ilgili Kurul Kararına uyumun sağlanması gerekirken, halihazırda kullanımda olan mevcut kartlar ile ilgili kart sahiplerinin açık rızalarının alınması ve yeni verilecek kartların internet alışverişlerine açık olabilmesi için kart sahiplerinden onay alınması gerekecektir.
Bununla birlikte, altı çizilmesi gereken konu; Bankaların mevcut kartların internet işlemlerine açık olması için talep alırken müşterilerinin kişisel bilgilerini, şifre bilgilerini paylaşmasını istemeyeceğidir.
Yukarıda söz edilen Kurul Kararı kapsamında getirilen değişikliği daha geniş bir kapsama yerleştirebilmek adına vurgulamak gerekir ki, ilgili düzenlemelerin de yer aldığı ve Kartlarla ilgili bugüne kadar ortaya çıkan en ayrıntılı Tebliğ Taslağı henüz yürürlüğe girmedi. Dolayısıyla, 1 Ocak 2016 tarihinde yürürlüğe girmesi planlanan ancak henüz Resmi Gazete’de yayımlanmayan ‘Banka ve Kredi Kartı İşlemlerinde Kullanılan Bilgi Sistemlerinin Yönetimi Hakkında Tebliğ Taslağı’ nda (Taslak Tebliğ) yer alan ve özellikle bazı sektörlerde pek de olumlu karşılanmayan düzenleme Taslak Tebliği beklemeden hayata geçmiş oldu.
Bilindiği gibi, Taslak tebliğin 12’nci maddesinin (7) numaralı fıkrasıyla bankaların kartlarını CNP (card not present, ‘kartın ve kart hamilinin işlemin gerçekleştiği ortamda fiziksel olarak yer almadığı kartlı işlemleri’) ödemelere ve yurtdışında kullanıma kapalı olarak müşterilerine sunması yükümlülüğü getiriliyor. Kartın CNP ödemelerde ve yurtdışında kullanılabilir olması, ancak müşterinin bilgilendirilmesi ve açık onayının alınması halinde mümkün olabiliyor.
Diğer yandan Taslak Tebliğ’de yer alan ancak henüz hayata geçmeyen yeniliklere de kısaca bakmakta yarar görüyoruz.
Taslak Tebliğin 9’uncu maddesinin (3) numaralı fıkrasıyla, CNP işlemlerde kullanılacak dinamik kimlik doğrulamada, kimlik doğrulama gerçekleştirilen veri kümesiyle ikinci bir kimlik doğrulama gerçekleştirilemeyeceği, dinamik kimlik doğrulama kapsamında, kimlik doğrulamayı üye işyeriyle ve işlem tutarıyla ilişkilendiren kimlik doğrulama mekanizması kullanılacağı hükme bağlanıyor. Bu düzenlemeyle müşteriler tarafından form doldurulup imzalanmak suretiyle iletilen “mail order” işlemlerinin yapılması artık mümkün olamayacak. Nitekim 10’uncu maddenin (1) numaralı fıkrasının (b) bendiyle, hassas verilerin iletiminin güvenli şifrelemeyle gerçekleştirileceği ve aynı fıkranın (e) bendiyle veriyi ya güvenli şifrelemeyle şifrelenmiş olarak ya da korunaklı sistemlerde saklayabileceği hükme bağlandığı için kağıt üzerinde hassas verinin saklanması ve iletilmesi mümkün olmayacak.
Hassas kart verisini tutabilecek kuruluşları belirleyen taslak tebliğin 10, 18 ve 20’nci maddeleri üye işyerleri açısından önemli düzenlemeler içeriyor. 10’uncu maddenin 1’nci fıkrasının (c) bendi uyarınca, hassas ödeme verisi şifrelenmiş olsa dahi sadece kart kuruluşları (bankalar) ve bu kuruluşlara hizmet veren dış hizmet sağlayıcıları (bankalara destek hizmeti veren kuruluşlar) tarafından tutulabiliyor.
Taslak tebliğin “Üye işyeri adına hassas kart verisinin saklanması ve kullanılması” başlıklı 18’inci maddesi, üye işyeri adına, kart hamilinin talebi halinde, tebliğ hükümlerine uygun olarak, sadece üye işyeri anlaşması yapan kuruluşun (banka) veya üye işyeri anlaşması yapan kuruluşun dış hizmet sağlayıcısı (bankalara destek hizmeti veren kuruluş) nezdinde kart verisi saklanabileceğini düzenleme altına alıyor. Taslak tebliğin 20’nci maddesinde de üye işyerinin, şifrelenmiş bile olsa hiçbir biçimde hassas kart verisi saklayamayacağı düzenlenmiş durumda.
Bu çerçevede artık üye işyerleri hassas kart verisini kendileri tutamayacak. Ancak müşterilerin rızası kapsamında, dış hizmet alımı yoluyla bir banka aracılığıyla tutabilecekler.
Taslak tebliğin 20’nci maddesinin (5) numaralı fıkrası, hassas kart verisi saklamaya ilişkin önemli bir istisna getiriyor. 6493 sayılı “Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun” kapsamında elektronik para veya ödeme kuruluşu olan üye işyerleri, hassas kart verisi saklayabilecek. Bu çerçevede, taslak tebliğin 20’nci maddesinin (1) numaralı fıkrası bu kuruluşlar bakımından uygulanmayacak. Bu şekilde hassas kart verisi saklayan ödeme ve elektronik para kuruluşlarının PCI DSS kriterleriyle uyumlu olması ve bu durumu ispatlaması gerekiyor.
Son olarak, suistimal yapan üye işyerlerinin rakiplere bildirileceği ve sitemden çıkarılabileceğine ilişkin düzenlemeler de ilgili Taslak Tebliğ’de dikkat çeken hususlar arasında. Buna göre Taslak Tebliğ’in 15’inci maddesinin (1) numaralı fıkrasında; “Üye işyeri anlaşması yapan kuruluş, …… Üye işyerinin suiistimal işlem yaptığını tespit etmesi halinde, üye işyeri anlaşması yapan kuruluşun bu durumu diğer üye işyeri anlaşması yapan kuruluşlar ile paylaşacağına….. Üye işyeri kaynaklı suiistimal işlem şüphesi ya da tespiti halinde, işyeri hesaplarına üye işyeri anlaşması yapan kuruluş tarafından ihtiyaç duyulacak sürelerde bloke konabileceğine, …… uyulması gereken hükümlere ve aksi durumlarda uygulanacak para cezaları ve gerekmesi halinde sistemden çıkarma hallerine yer verir” denilmektedir.
Yukarıda yaptığımız açıklamalar çerçevesinde, BDDK’nın aldığı karar Taslak Tebliğ ile getirilmek istenen hususlardan sadece birini hayata geçirmiş oluyor. Diğer gelişmeleri hep birlikte yakından takip ediyor olacağız.