Ocak 2016’dan itibaren artık müşteriler tarafından form doldurulup imzalanmak suretiyle iletilen “mail order” işlemleri yapılamayacak. Kartlar müşteriye CNP işlemlerine ve yurtdışında kullanıma kapalı olarak gelecek. Suiistimal yapan üye işyerleri, üye işyeri anlaşması yapan diğer kuruluşlarla paylaşılacak, gerekirse sistemden çıkarılacak…
1 Ocak 2016’dan itibaren yürürlüğe girmesi planlanan “Banka ve Kredi Kartı İşlemlerinde Kullanılan Bilgi Sistemlerinin Yönetimi Hakkında Tebliğ Taslağı” (taslak tebliğ); kartlı sistem kuran (MasterCard, Visa vb), kart çıkaran (bankalar), üye işyeri anlaşması yapan kuruluşlar (bankalar), üye işyerleri (mal ve/veya hizmet satan kuruluşlar) ve dış hizmet sağlayıcılar (kart verisi saklama, işleme, iletme amacıyla banka veya üye işyerlerine hizmet veren kuruluşlar) açısından önemli düzenlemeler içeriyor. Bu yazımızda, söz konusu düzenlemelerden özellikle üye işyerlerini etkileyecek olanları ele aldık…
Öncelikle, banka ve kredi kartlarıyla yapılan işlemler kapsamındaki faaliyetlerin yürütülmesinde kullanılan bilgi sistemlerinin yönetimine ilişkin usul ve esasların ilk kez bu kadar ayrıntılı bir şekilde düzenlendiğini belirtelim.
Taslak tebliğin geneline bakıldığında, bilgi güvenliğinin ve kartlara ve kart hamillerine ilişkin bilgilerin gizliliğinin üst düzeyde tutulmaya çalışıldığı görülüyor. Tebliğin temel amaçlarından biri de kart hamilinin bilgisi olmadan, onun adına finansal işlem yapılmasının önlenmesi…
Form doldurtarak kart çekimi dönemi bitiyor
Taslak tebliğin 9’uncu maddesinin (3) numaralı fıkrasıyla, CNP (kartın hazırda bulunmadığı hallerde) işlemlerde kullanılacak dinamik kimlik doğrulamada, kimlik doğrulama gerçekleştirilen veri kümesiyle ikinci bir kimlik doğrulama gerçekleştirilemeyeceği, dinamik kimlik doğrulama kapsamında, kimlik doğrulamayı üye işyeriyle ve işlem tutarıyla ilişkilendiren kimlik doğrulama mekanizması kullanılacağı hükme bağlanıyor. Bu düzenlemeyle müşteriler tarafından form doldurulup imzalanmak suretiyle iletilen “mail order” işlemlerinin yapılması artık mümkün olamayacak. Nitekim 10’uncu maddenin (1) numaralı fıkrasının (b) bendiyle, hassas verilerin iletiminin güvenli şifrelemeyle gerçekleştirileceği ve aynı fıkranın (e) bendiyle veriyi ya güvenli şifrelemeyle şifrelenmiş olarak ya da korunaklı sistemlerde saklayabileceği hükme bağlandığı için kağıt üzerinde hassas verinin saklanması ve iletilmesi mümkün olmayacak.
Kimlik doğrulamadaki yenilikler CNP kaygısını giderecek
Taslak tebliğin 9’uncu maddesinin (5) numaralı fıkrasıyla, tekrar eden ödemeler için uygulanacak dinamik kimlik doğrulama mekanizması düzenleniyor. Buna göre ilk işlem esnasında, ödenen tutarın değişmesi durumunda ve uzun süreli işlemlerde asgari olarak yılda bir kez dinamik kimlik doğrulama koşulu getiriliyor. Ayrıca söz konusu tebliğin 19’uncu maddesinin (4) numaralı fıkrasıyla, tekrar eden ödemeler için üye işyerlerine ilk işlem öncesinde, üye işyeri anlaşması yapan kuruluşa (banka) tutar bilgisi, ödemenin ne sıklıkla gerçekleşeceği ve ne kadar tekrar edeceği bilgilerini iletme yükümlülüğü getiriliyor. İşlem sonrasında üye işyeri herhangi bir hassas kart verisi saklayamayacağı için de ödemenin tekrarı için herhangi bir iletimde bulunmasına gerek olmadığı belirtiliyor.
Tekrar eden ödemelerin taksitli ödemelerden farkına gelince… Taksitli ödemede ödenecek toplam tutar kart limitini kapatıyor. Tekrar eden ödemelerde ise her bir ödeme anında kart limiti kapatılıyor. Bu çerçevede, tekrar eden ödemenin gerçekleşebilmesi için kart limitinin müsait olması şartı var. Spor salonu ve gazete abonelikleri gibi tekrar eden ödemelerde, kimlik doğrulama ilk işlem esnasında gerçekleştirilmek zorunda olacak ve yapılacak ödemenin tutarı, sayısı ve ödeme süresi belirtilecek. Tutarın değişmesi durumda ve her durumda ilk ödemeden itibaren bir yıl geçtikten sonra kimlik doğrulamanın tekrar yapılması zorunluluğu söz konusu.
Dinamik kimlik doğrulamanın düzenlendiği 9’uncu madde, kartlı işlem seçeneklerinin düzenlendiği 12’nci madde ve sorumlulukların düzenlendiği 26’ncı maddenin; güvenlik kaygısıyla CNP işlemini tercih etmeyen müşterilerin bu kaygısını gidereceği ve bu kapsamda sektöre olumlu etki yapacağı düşünülüyor.
Kimler, hangi koşulda hassas kart verisi saklayabilecek?
Hassas kart verisini tutabilecek kuruluşları belirleyen taslak tebliğin 10, 18 ve 20’nci maddeleri üye işyerleri açısından önemli düzenlemeler içeriyor. 10’uncu maddenin 1’nci fıkrasının (c) bendi uyarınca, hassas ödeme verisi şifrelenmiş olsa dahi sadece kart kuruluşları (bankalar) ve bu kuruluşlara hizmet veren dış hizmet sağlayıcıları (bankalara destek hizmeti veren kuruluşlar) tarafından tutulabiliyor.
Taslak tebliğin “Üye işyeri adına hassas kart verisinin saklanması ve kullanılması” başlıklı 18’inci maddesi, üye işyeri adına, kart hamilinin talebi halinde, tebliğ hükümlerine uygun olarak, sadece üye işyeri anlaşması yapan kuruluşun (banka) veya üye işyeri anlaşması yapan kuruluşun dış hizmet sağlayıcısı (bankalara destek hizmeti veren kuruluş) nezdinde kart verisi saklanabileceğini düzenleme altına alıyor. Taslak tebliğin 20’nci maddesinde de üye işyerinin, şifrelenmiş bile olsa hiçbir biçimde hassas kart verisi saklayamayacağı düzenlenmiş durumda.
Bu çerçevede artık üye işyerleri hassas kart verisini kendileri tutamayacak. Ancak müşterilerin rızası kapsamında, dış hizmet alımı yoluyla bir banka aracılığıyla tutabilecekler. Banka bu bilgileri kendi nezdinde veya bu konularda destek hizmeti aldığı kuruluşlar nezdinde tutabilecek. Üye işyerlerinin bir bankayla anlaşması yeterli bulunuyor. Yani her bir bankayla ayrı bir anlaşma yapma zorunluluğu yok.
Kart verisini bu şekilde üye işyeri adına saklayan banka, üye işyeri için ve bu üye işyerine özgü bir referans kodu (token) üretecek. Üye işyeri de bu referans kodunu bankaya iletmek suretiyle kart verisinin kullanımını sağlayabilecek. Bir müşterinin kart verisini temsil amacıyla iki farklı üye işyeri için üretilen referans kodların farklı olmasıyla, referans kodların sızması halinde dahi kart hamillerinin finansal kayba uğramasının engellenmesi amaçlanıyor.
Taslak tebliğin 20’nci maddesinin (5) numaralı fıkrası, hassas kart verisi saklamaya ilişkin önemli bir istisna getiriyor. 6493 sayılı “Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun” kapsamında elektronik para veya ödeme kuruluşu olan üye işyerleri, hassas kart verisi saklayabilecek. Bu çerçevede, taslak tebliğin 20’nci maddesinin (1) numaralı fıkrası bu kuruluşlar bakımından uygulanmayacak. Bu şekilde hassas kart verisi saklayan ödeme ve elektronik para kuruluşlarının PCI DSS kriterleriyle uyumlu olması ve bu durumu ispatlaması gerekiyor.
Üye işyerinin alabileceği kişisel bilgiler neler?
Taslak tebliğin 20’nci maddesinin (3) numaralı fıkrası uyarınca üye işyeri, sadece gerçekleşmekte olan ödemenin tamamlanması, teslimat, değiştirme ve iade gibi işlemler için kart hamili bilgisi talep edebiliyor. Bunun haricinde, üye işyerleri kart hamilinden bilgi talep edemiyor ve kart hamili bilgisi saklayamıyor. Söz konusu fıkra, mal ve hizmet alımı esnasında kart hamilinden kişisel bilgilerin talep edilmesinin ve bu bilgilerin paylaşılmasına muvafakat edilmesinin istenmesini yasaklıyor.
Üye işyerleri, ancak alım-satım ilişkisinden bağımsız olarak kart hamilinden kişisel bilgilerin toplanması ve paylaşılmasına izin vermesini talep edebiliyor. Bunun yanında, kart hamilinin kimliğini belirlemekte kullanılamayacak olan anonim bilgilerin talep edilmesinde herhangi bir sınırlama yok. Örneğin kart hamilinin sadece doğum tarihinin alınması tek başına kart hamilinin kimliğinin belirlenmesine yeterli olmayacağından, üye işyeri tarafından talep edilip elde tutulabiliyor. Telefon numarasıyla birlikte doğum tarihi talep edilmesi ve saklanması ise sıralanan haller dışında mümkün görünmüyor.
Kartlar CNP ödemelere ve yurtdışı kullanıma kapalı gelecek!
Taslak tebliğin 12’nci maddesinin (7) numaralı fıkrasıyla bankaların kartlarını CNP ödemelere ve yurtdışında kullanıma kapalı olarak müşterilerine sunması yükümlülüğü getiriliyor. Kartın CNP ödemelerde ve yurtdışında kullanılabilir olması, ancak müşterinin bilgilendirilmesi ve açık onayının alınması halinde mümkün olabiliyor. Bu yükümlülüğün internet ve telefon üzerinden yapılan işlemlere etkisinin olacağı düşünülmüyor.
Üye işyerine “dinamik kimlik doğrulama” kalkanı
Taslak tebliğin 26’ncı maddesinin (5) numaralı fıkrası uyarınca, kart hamilinin bilgisi haricinde gerçekleşen işlemlerde, kart hamilinin kimliği dinamik kimlik doğrulamayla doğrulanmışsa ve üye işyerinin herhangi bir ihmali, menfaat elde etmek amacıyla kötü niyetli hareket ettiği veya mevzuat uyumsuzluğunun bulunduğu ispat edilemezse, işleme ilişkin üye işyeri sorumlu tutulamıyor. Burada da dinamik kimlik doğrulamanın üye işyerleri açısından koruyucu özelliği öne çıkıyor.
Suiistimal yapan üye işyerleri rakiplere bildirilecek, sistemden çıkarılabilecek
Son olarak taslak tebliğin “Üye işyerleriyle sözleşmeler” başlıklı 15’nci maddesinin (1) numaralı fıkrasında yer alan şu hükme de dikkat çekmek istiyoruz:
“Üye işyeri anlaşması yapan kuruluş, üye işyerleri ile yaptığı sözleşmelerde, sunulan ödeme hizmetlerinin taşıdığı riskler çerçevesinde; ….e) Üye işyerinin suiistimal işlem yaptığını tespit etmesi halinde, üye işyeri anlaşması yapan kuruluşun bu durumu diğer üye işyeri anlaşması yapan kuruluşlar ile paylaşacağına, f) Üye işyeri kaynaklı suiistimal işlem şüphesi ya da tespiti halinde, işyeri hesaplarına üye işyeri anlaşması yapan kuruluş tarafından ihtiyaç duyulacak sürelerde bloke konabileceğine, ….ilişkin olarak uyulması gereken hükümlere ve aksi durumlarda uygulanacak para cezaları ve gerekmesi halinde sistemden çıkarma hallerine yer verir.”