II. BÖLÜM
6493 SAYILI KANUN GEREĞİ ÖDEME KURULUŞLARININ ALMALARI GEREKEN FAALİYET İZNİ AŞAMALARI NELERDİR?
Türkiye Cumhuriyet Merkez Bankası’nın mevzuatı kapsamında faaliyet göstermesi planlanan ödeme kuruluşlarının önünde kanun, yönetmelik ve tebliğ kapsamındaki koşulları sağlayarak faaliyet izni başvurusunda bulunması ve iki yıllık periyotlarla gerçekleştirilecek bilgi sistemleri bağımsız denetimi aşamaları bulunmaktadır. Faaliyet izni başvuru sürecini kısaca özetleyecek olursak, faaliyet iznine hazırlık, Bağımsız Denetim Kuruluşları tarafından gerçekleştirilecek Yerinde İnceleme Raporu ve Bilgi Sistemleri Denetimi Raporu, faaliyet izni başvurusu, lisans alınması ve periyodik denetimler olarak sıralayabiliriz. Genel hatlarıyla bakıldığı zaman başvuru kriterlerini ise; sermaye yapısı, organizasyon yapısı, iş ve faaliyet planı, iç kontrol ve risk yönetimi birimleri, bilgi sistemleri ve raporlama, görev ve sorumluluk tanımları, iş sürekliliği, bilgi gizliliği ve güvenliği olarak sıralayabiliriz.
A. BAŞVURU BELGELERİ NELERDİR?
Türkiye Cumhuriyet Merkez Bankası’nın mevzuatı kapsamında faaliyet göstermesi planlanan ödeme kuruluşunun öncelikli olarak iş modelinin Banka’ya yazılı olarak sunması ve Banka’dan bu firma için mevzuat kapsamında olduğuyla ilgili teyit alınması önerilmektedir. Bu adım başvurunun başlangıcı ve faaliyet izni hazırlıkları için önkoşul olarak görülmektedir. ‘’Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Kuruluşları ve Elektronik Para Kuruluşları Hakkında Yönetmelik Ekleri’’ni inceleyecek olursak EK-1 de bulunan 17 maddelik ‘’Faaliyet İzni Başvurularında Kuruma Sunulacak Raporun İçeriği’’ ile ilgili yapılacak detaylı hazırlık, sunumlar, bilgi ve belgeler kuruluşun hedeflediği faaliyet programı ve iş modelini açıklamak için yol gösterici olacaktır. Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Kuruluşları ve Elektronik Para Kuruluşları Hakkında Yönetmelik madde 8. Uyarınca ödeme hizmetleri alanında faaliyette bulunmak veya elektronik para ihraç etmek üzere Türkiye Cumhuriyet Merkez Bankası’na yapılacak faaliyet izni başvurularında, başvuru dilekçelerine ek olarak Beyanname (EK-2, EK-3) Taahhütname (EK-4, EK-5, EK-8) Adli Sicil Belgeleri (Ek-6) TMSF Belgeleri (EK-7) ve Yönetim Kurulu ile Genel Müdürün Özgeçmişleri (EK-9) dilekçe ve formatları eklerde verilen bilgilere ek olarak; bağımsız denetimden geçmiş son finansal tablolar, şirketin ana sözleşmesinin yayınlandığı Ticaret Sicil Gazetesinin örneği, şartları Yönetmelik’te belirlenen ortaklar için YMMM onaylı bilanço ve onay tabloları, varsa ortakları temsile yetkili kişi veya kişilere verilmiş vekaletnameler, yabancı uyruklu kişilere ilişkin kimlik belgesi ve pasaportlar (varsa) talep edilmektedir. Bu kapsamda hazırlanması gereken taahhütname, beyanname ve belgelere ek olarak, EK-1 ile faaliyet izni başvurularında Banka’ya sunulacak raporun içeriği ve formatı belirlenmiştir. Yönetmelik uyarınca raporun genel hatları; şirket sermayesinin her türlü muvazaadan ari olarak nakden ödenip ödenmediği, yönetmeliğin 23. maddesinde tanımlanan başlangıç sermaye tutarı, öngörülen faaliyetleri gerçekleştirebilecek uygun hizmet birimleri, şikayet ve itirazlarla ilgili birimler, iç kontrol, risk yönetimi, muhasebe, bilgi sistemleri ve raporlama sistemlerinin tesis edilip edilmediği, bu birimler için yeterli personel kadrosunun oluşturulup oluşturulmadığı ve personelin görev tanımları ile yetki ve sorumluluklarının belirlenip belirlenmediği, yürütülecek faaliyetlerin sürekliliğine ve bilgilerin güvenliği ile gizliliğine dair gerekli tedbirlerin alınıp alınmadığına dair değerlendirmelerden oluşmaktadır.
B. FAALİYET BAŞVURUSU SIRASINDA HANGİ RAPORLARA İHTİYAÇ DUYULMAKTADIR?
Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Kuruluşları ve Elektronik Para Kuruluşları Hakkında Yönetmelik’in 8. maddesinin 1.fıkrasının ilgili bentleri uyarınca;
1. Finansal Tablolara İlişkin Bağımsız Denetim Raporu
Şirketin bağımsız denetimden geçmiş en son finansal tabloları, finansal tabloların düzenlenmesinden sonra sermaye artırımı gerçekleştirilmiş olması durumunda sermayenin nakden ve her türlü muvazaadan ari olarak ödenmiş olduğuna ilişkin 1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanununa göre ruhsat almış Yeminli Mali Müşavirlerce onaylı rapor,
2. Sermaye Tespit Raporu
Doğrudan veya dolaylı olarak yüzde on ve üzeri paya sahip gerçek kişi ortaklar ile kontrolü elinde bulunduran gerçek kişilerin mali durumları hakkında 3568 sayılı Kanuna göre ruhsat almış yeminli mali müşavirlerce düzenlenecek rapor,
3. Yerinde İnceleme ve Bilgi Sistemleri Denetimi Raporu
Şirketin sermayesinin her türlü muvazaadan ari olarak nakden ödenip ödenmediği, Yönetmeliğin 23 üncü maddesinin birinci fıkrasında tanımlanan başlangıç sermayesinin tutarı ve öngörülen faaliyetleri gerçekleştirebilecek uygun hizmet birimleri, şikâyet ve itirazlarla ilgili birimler ile bu Yönetmeliğe uygun iç kontrol, risk yönetimi, muhasebe, bilgi sistemleri ve raporlama sistemlerinin kurulup kurulmadığı, bu birimler için yeterli personel kadrosunun oluşturulup oluşturulmadığı ve personelin görev tanımları ile yetki ve sorumlulukların belirlenip belirlenmediği, yürütülecek faaliyetlerin sürekliliğine ve bilgilerin güvenliği ile gizliliğine dair gerekli tedbirlerin alınıp alınmadığı hususlarına ilişkin olarak Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumu tarafından yetkilendirilmiş bağımsız denetim kuruluşlarından Kurum tarafından yayınlanan Bankalarda Bilgi Sistemleri Denetimi Yapmaya Yetkili Bağımsız Denetim Kuruluşları listesinde yer alan bağımsız denetim kuruluşlarınca yapılacak yerinde inceleme neticesinde hazırlanan rapordur.
Bu rapor ve rapor kapsamında yapılacak denetim iki aşamadan meydana gelmektedir. Öncelikle yerinde inceleme raporunu ele alacak olursak; güncel personel listesi, çalışanlara ait özgeçmişler, tebliğ ve yönetmelik kapsamında politika ve prosedürler, ilgili politika ve prosedürlerin onaylandığına dair Yönetim Kurulu Kararları, şirket organizasyon şeması, görev tanımları ve görev tanımlarının onaylandığına dair Yönetim Kurulu Kararı, şirket iş akışları ve iş akışlarının onaylandığına dair Yönetim Kurulu Kararı, şirket esas sözleşmesinin yayınlandığı Ticaret Sicil Gazetesi ve esas sözleşmenin onaylandığına dair Yönetim Kurulu Kararı, 6493 sayılı kanunun 12. Maddesinin başvurulacak bentlerini içeren Türkiye Cumhuriyet Merkez Bankası’na başvuru yapılmasına ilişkin Yönetim Kurulu Kararı, şirket nezdinde birimlerin kurulmasına ve kurulan birimlere atama yapılmasına ilişkin Yönetim Kurulu Kararı, Genel Müdür atanmasına dair Yönetim Kurulu Kararı, şirket personeline bilgi güvenliği eğitimi verildiğine dair katılım tutanakları, çalışanların imzalamış olduğu bilgi güvenliği taahhütnamesi, risk envanterlerinin üst yönetime sunulduğuna dair kanıt, kullanılan bilgi sistemlerine ilişkin olarak tesis edilmiş görevler ayrılığı matrisi, denetim izlerini toplama, yönetme ve gözden geçirmeye yönelik prosedür, bilgi sistemlerine ilişkin kanun kapsamında dış hizmet alınması halinde, dış hizmet sağlayıcı tarafından tutulan denetim izlerinin kuruluşun standartlarına uygunluğunu ve bu denetim izlerinin kuruluş tarafından erişilebilir olmasını sağlamak amacıyla ilgili sözleşmeye eklenmiş sözleşme maddeleri, iptal, iade ve chargeback prosedürleri, iş sürekliliği planı, bilgi sistemleri süreklilik planı, acil durum eylem planı, bilgi sistemleri süreklilik planının üst yönetim tarafından onaylandığına dair kanıt, bilgi sistemleri süreklilik planına girdi yapması beklenen bilgi sistemleri varlıklarına ilişkin olarak belirlenmiş olan RTO("servislerin tekrar erişime açılabilmesin") ve RPO ("kabul edilebilir kesinti süreleri") bilgilerinin belirtildiği doküman, ikincil merkez süreklilik planlarının test edildiğine ve sonuçların üst yönetime raporlandığına dair kanıt dokümanı, bilgi sistemleri kapsamında alınan dış hizmetlerine ilişkin liste, bilgi sistemleri kapsamında alınan dış hizmetlere dair gerçekleştirilmiş olması beklenen risk değerlendirme çalışmaları, bilgi sistemleri kapsamında alınan dış hizmetlere dair gerçekleştirilmiş olması beklenen performans değerlendirme çalışmaları, bilgi sistemleri kapsamında alınan dış hizmetlere ilişkin gerçekleştirilmiş olan sözleşmeler, kuruluş bilgi sistemlerine erişebilen dış hizmet sağlayıcılarına ilişkin gerçekleştirilmiş olan ek risk değerlendirmeleri ve belirlenen ek kontroller, varsa kuruluş tarafından bulut bilişim kapsamında alınan hizmet listesi, kuruluş tarafından sunulan hizmetlerden yararlanacak kullanıcılar, hizmetlere ilişkin şartlar, riskler ve istisnaî durumlarla ilgili olarak açık bir şekilde bilgilendirdiğine dair kanıt dokümanı, şikayet yönetimi prosedürü, kullanıcılara bildirim yapılacak kanallar listesi, kullanıcı kayıt olma işlemlerinde ya da yüz yüze yapılan işlemlerde kullanıcıya sunulan sözleşme, MASAK kapsamında şüpheli işlemlere dair kuruluş tarafından tesis edilmiş prosedür, suç gelirlerinin aklanması, terörün finansmanı, kumar ve dolandırıcılık işlemlerinin önlenmesine dair hazırlanmış prosedür, şüpheli işlem senaryo listesi, üye işyeri ve temsilci listeleri, üye işyeri ve temsilciler için hazırlanan taslak sözleşme örnekleri, temsilcilere verilecek olan bilgi güvenliği eğitimlerinde kullanılacak olan dokümanlar vb. denetim sırasında kuruluştan hazır bulundurulması istenilmektedir.
Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ uyarınca kuruluşların bilgi sistemleri yönetiminde esas alacağı temel ilkeler;
*Bilgi sistemlerini risk yönetimi
*Bilgi güvenliği yönetim süreci
*Güvenlik olay yönetimi
*Veri gizliliği, güvenliği ve yetkilendirme
*Denetim izlerinin oluşturulması
*Kimlik doğrulama
*Bilgi sistemleri süreklilik planı
*Bilgi sistemlerine ilişkin dış hizmet alım sürecinin yönetimi
*Kullanıcıların bilgilendirilmesi
*Kullanıcı bilgilerinin gizliliği
*İşlemlerin takibi
*Üye işyerleri, temsilciler ve hizmet noktaları
*Bilgi sistemlerine ilişkin sınırlamalardır.
Bu bağlamda; ilgili tebliğin temel ilkelerine uyumun değerlendirilmesinin denetimini amaçlayan bilgi sistemleri denetimi raporunda ise; muhasebe uygulaması üzerinde test, başvurulan kanun maddeleri kapsamında uygulama süreç testleri, koruma hesabına gün sonunda kalan fonlarının aktarılması testi, network topolojisi, katmanlı güvenlik mimarisinin oluşturulmuş olmasına ilişkin test, sızma testi raporu, sistem güncelliği ve yama yönetimine ilişkin test, bilgi güvenliği olay bildirim sürecine ilişkin test, hem fiziksel hem de mantıksal olarak kullanılan uygulamalara ilişkin üretim, test ve geliştirme ortamlarının birbirlerinden ayrıldığına ilişkin denetim kanıtları, kuruluş üretim ortamı yetkili kullanıcı ilişkin ekran görüntüsü, kuruluş test ortamı yetkili kullanıcı ilişkin ekran görüntüsü, kuruluş geliştirme ortamı yetkili kullanıcı ilişkin ekran görüntüsü, ana uygulamaya dair uygulama yetkili kullanıcı listesi ekran görüntüsü, ana uygulamaya bağlı veritabanına dair yetkili kullanıcı listesi ekran görüntüsü, ana uygulama ve uygulamaya bağlı veritabanı üzerinde koştuğu sunucuya dair yetkili kullanıcı listesi ekran görüntüsü, ana uygulamaya istinaden kullanıcı yaratma ve yetkilendirme işlemlerine ilişkin test, denetim izlerinin toplanması ve yönetilmesi için kullanılan uygulama ve uygulamaya bağlı sunucuya dair yetkili kullanıcı listesi ekran görüntüsü, network altyapı güvenliğini sağlamak için kullanılan uygulamalara dair (Firewall, IPS, antivirüs vb.) yetkili kullanıcı ekran görüntüleri, network altyapı güvenliğini sağlamak için kullanılan uygulamalara dair (Firewall, IPS, antivirüs vb.) test, dış ağdan iç ağa erişimlerin kontrollü olarak gerçekleştirilmesine ilişkin olarak tesis edilen ağ yapısına ilişkin olarak test, internet aracılığıyla sunulan hizmetlerde kullanıcı işlemlerinin gerçekleştirildiği sayfanın Kuruluş' a ait olduğuna dair denetim kanıtı (SSL sertifikası), hassas ödeme verilerinin veritabanı ve veritabanı gibi saklandığı alanlarda şifreli olarak saklandığına dair denetim kanıtı, hassas ödeme verilerin ve kişisel bilgilerin internet ya da farklı ağlar üzerinden iletilirken şifreli bir şekilde iletildiğine dair test, hassas ödeme verilerinin şifrelenmesinde kullanılan şifreleme tekniği/algoritmasına ilişkin ekran görüntüsü, kullanılan bilgi sistemlerine ilişkin olarak gerçekleştirilen yetkisiz erişim teşebbüslerinin kaydedilmesine dair test, ana uygulama üzerinden gerçekleştirilen işlemlere ilişkin tutulan denetim izleri, ana uygulamaya bağlı veritabanı aktivitelerine ilişkin tutulan denetim izleri, sistemlerin üzerinde bulunduğu sunucu(Active Directory) aktivitelerine ilişkin tutulan denetim izleri, sistemlerin altyapı güvenliğini sağlamak için kullanılan uygulamalara (Firewall vb.) ilişkin tutulan denetim izleri, toplanan denetim izlerinin yedeklerinin alındığına ve ikincil merkezde felaket sonrası kullanıma hazır olarak tutulduğuna dair denetim kanıtı, tutulan denetim izlerinin bütünlüğünün sağlandığına ilişkin denetim kanıtı, denetim izi uygulaması üzerinde test, kullanılan ana uygulama üzerinde gerçekleştirilen kullanıcı bilgi sorgulama işlemlerine dair denetim izlerinin tutulduğuna dair denetim kanıtı, kimlik doğrulama bilgisinin oturumun başından sonuna kadar doğru olmasını garanti ettiğine dair test (paralel session, session hijack çalışmaları), kuruluş personeli tarafından kullanılan ana uygulamaya dair kimlik bilgilerinin veri tabanında şifreli olarak saklandığına dair ekran görüntüsü, müşteriler tarafından kullanılan ana uygulamaya dair kimlik bilgilerinin veri tabanında şifreli olarak saklandığına dair ekran görüntüsü, ilgili kimlik doğrulama verilerinin aktarıldığı durumlarda şifreli olarak ilgili bilgilerin aktarıldığına dair test, kimlik doğrulama bilgilerine ilişkin gerçekleştirilen erişimlere dair denetim izlerinin tutulduğuna dair denetim kanıtı, iki faktörlü kimlik doğrulama işlemlerinde kullanılan OTP sürecine dair test, kullanıcı telefon numara ve adres bilgilerinin güncellenmesine ilişkin test, kullanıcı kayıt olma(on boarding) sürecine ilişkin test, kuruluş personeli tarafından kullanılan ana uygulamaya dair şifre parametreleri ekran görüntüsü, müşteriler tarafından kullanılan ana uygulamaya dair şifre parametreleri ekran görüntüsü, kuruluş ana uygulamasına bağlı veritabanına dair şifre parametresine ilişkin ekran görüntüsü, kuruluş Active Directory ortamına dair şifre parametresine ilişkin ekran görüntüsü, iki faktörlü kimlik doğrulama işlemlerinde kullanılan OTP gibi tek kullanımlık şifrelerin şifreli olarak iletildiğine dair denetim kanıtı, kuruluş personeli tarafından kullanılan ana uygulamaya ilişkin kimlik doğrulama testi, müşterilere sunulan uygulamaya ilişkin kimlik doğrulama testi, ikincil sistemlerin tesis edildiğine ve kullanıma hazır bulundurulduğuna dair test, şikayet oluşturma, takip etmek ve raporlama amacıyla kullanılan uygulamaya dair test, kullanıcı işlemleri sonucu oluşması beklenen dekontlara dair test, kuruluşun internet sitesinde, kuruluşun ticaret unvanı, genel müdürlük adresi ve kuruluş ile TCMB' nin iletişim bilgilerine yer verildiğine dair denetim kanıtı, şüpheli işlemleri tespit etmek için kullanılan uygulama üzerinde test, seçilen senaryoların etkin olarak kullanılan sistemlerde tesis edildiğine dair test vb. doküman, test, uygulama, ekran görüntüsü, sertifika ve denetim kanıtları bilgi sistemleri denetimi sırasında kuruluş tarafından hazır bulundurulması istenilmektedir.
II. BÖLÜM
6493 SAYILI KANUN GEREĞİ ÖDEME KURULUŞLARININ ALMALARI GEREKEN FAALİYET İZNİ AŞAMALARI NELERDİR?
Türkiye Cumhuriyet Merkez Bankası’nın mevzuatı kapsamında faaliyet göstermesi planlanan ödeme kuruluşlarının önünde kanun, yönetmelik ve tebliğ kapsamındaki koşulları sağlayarak faaliyet izni başvurusunda bulunması ve iki yıllık periyotlarla gerçekleştirilecek bilgi sistemleri bağımsız denetimi aşamaları bulunmaktadır. Faaliyet izni başvuru sürecini kısaca özetleyecek olursak, faaliyet iznine hazırlık, Bağımsız Denetim Kuruluşları tarafından gerçekleştirilecek Yerinde İnceleme Raporu ve Bilgi Sistemleri Denetimi Raporu, faaliyet izni başvurusu, lisans alınması ve periyodik denetimler olarak sıralayabiliriz. Genel hatlarıyla bakıldığı zaman başvuru kriterlerini ise; sermaye yapısı, organizasyon yapısı, iş ve faaliyet planı, iç kontrol ve risk yönetimi birimleri, bilgi sistemleri ve raporlama, görev ve sorumluluk tanımları, iş sürekliliği, bilgi gizliliği ve güvenliği olarak sıralayabiliriz.
A. BAŞVURU BELGELERİ NELERDİR?
Türkiye Cumhuriyet Merkez Bankası’nın mevzuatı kapsamında faaliyet göstermesi planlanan ödeme kuruluşunun öncelikli olarak iş modelinin Banka’ya yazılı olarak sunması ve Banka’dan bu firma için mevzuat kapsamında olduğuyla ilgili teyit alınması önerilmektedir. Bu adım başvurunun başlangıcı ve faaliyet izni hazırlıkları için önkoşul olarak görülmektedir. ‘’Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Kuruluşları ve Elektronik Para Kuruluşları Hakkında Yönetmelik Ekleri’’ni inceleyecek olursak EK-1 de bulunan 17 maddelik ‘’Faaliyet İzni Başvurularında Kuruma Sunulacak Raporun İçeriği’’ ile ilgili yapılacak detaylı hazırlık, sunumlar, bilgi ve belgeler kuruluşun hedeflediği faaliyet programı ve iş modelini açıklamak için yol gösterici olacaktır. Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Kuruluşları ve Elektronik Para Kuruluşları Hakkında Yönetmelik madde 8. Uyarınca ödeme hizmetleri alanında faaliyette bulunmak veya elektronik para ihraç etmek üzere Türkiye Cumhuriyet Merkez Bankası’na yapılacak faaliyet izni başvurularında, başvuru dilekçelerine ek olarak Beyanname (EK-2, EK-3) Taahhütname (EK-4, EK-5, EK-8) Adli Sicil Belgeleri (Ek-6) TMSF Belgeleri (EK-7) ve Yönetim Kurulu ile Genel Müdürün Özgeçmişleri (EK-9) dilekçe ve formatları eklerde verilen bilgilere ek olarak; bağımsız denetimden geçmiş son finansal tablolar, şirketin ana sözleşmesinin yayınlandığı Ticaret Sicil Gazetesinin örneği, şartları Yönetmelik’te belirlenen ortaklar için YMMM onaylı bilanço ve onay tabloları, varsa ortakları temsile yetkili kişi veya kişilere verilmiş vekaletnameler, yabancı uyruklu kişilere ilişkin kimlik belgesi ve pasaportlar (varsa) talep edilmektedir. Bu kapsamda hazırlanması gereken taahhütname, beyanname ve belgelere ek olarak, EK-1 ile faaliyet izni başvurularında Banka’ya sunulacak raporun içeriği ve formatı belirlenmiştir. Yönetmelik uyarınca raporun genel hatları; şirket sermayesinin her türlü muvazaadan ari olarak nakden ödenip ödenmediği, yönetmeliğin 23. maddesinde tanımlanan başlangıç sermaye tutarı, öngörülen faaliyetleri gerçekleştirebilecek uygun hizmet birimleri, şikayet ve itirazlarla ilgili birimler, iç kontrol, risk yönetimi, muhasebe, bilgi sistemleri ve raporlama sistemlerinin tesis edilip edilmediği, bu birimler için yeterli personel kadrosunun oluşturulup oluşturulmadığı ve personelin görev tanımları ile yetki ve sorumluluklarının belirlenip belirlenmediği, yürütülecek faaliyetlerin sürekliliğine ve bilgilerin güvenliği ile gizliliğine dair gerekli tedbirlerin alınıp alınmadığına dair değerlendirmelerden oluşmaktadır.
B. FAALİYET BAŞVURUSU SIRASINDA HANGİ RAPORLARA İHTİYAÇ DUYULMAKTADIR?
Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Kuruluşları ve Elektronik Para Kuruluşları Hakkında Yönetmelik’in 8. maddesinin 1.fıkrasının ilgili bentleri uyarınca;
1. Finansal Tablolara İlişkin Bağımsız Denetim Raporu
Şirketin bağımsız denetimden geçmiş en son finansal tabloları, finansal tabloların düzenlenmesinden sonra sermaye artırımı gerçekleştirilmiş olması durumunda sermayenin nakden ve her türlü muvazaadan ari olarak ödenmiş olduğuna ilişkin 1/6/1989 tarihli ve 3568 sayılı Serbest Muhasebeci Mali Müşavirlik ve Yeminli Mali Müşavirlik Kanununa göre ruhsat almış Yeminli Mali Müşavirlerce onaylı rapor,
2. Sermaye Tespit Raporu
Doğrudan veya dolaylı olarak yüzde on ve üzeri paya sahip gerçek kişi ortaklar ile kontrolü elinde bulunduran gerçek kişilerin mali durumları hakkında 3568 sayılı Kanuna göre ruhsat almış yeminli mali müşavirlerce düzenlenecek rapor,
3. Yerinde İnceleme ve Bilgi Sistemleri Denetimi Raporu
Şirketin sermayesinin her türlü muvazaadan ari olarak nakden ödenip ödenmediği, Yönetmeliğin 23 üncü maddesinin birinci fıkrasında tanımlanan başlangıç sermayesinin tutarı ve öngörülen faaliyetleri gerçekleştirebilecek uygun hizmet birimleri, şikâyet ve itirazlarla ilgili birimler ile bu Yönetmeliğe uygun iç kontrol, risk yönetimi, muhasebe, bilgi sistemleri ve raporlama sistemlerinin kurulup kurulmadığı, bu birimler için yeterli personel kadrosunun oluşturulup oluşturulmadığı ve personelin görev tanımları ile yetki ve sorumlulukların belirlenip belirlenmediği, yürütülecek faaliyetlerin sürekliliğine ve bilgilerin güvenliği ile gizliliğine dair gerekli tedbirlerin alınıp alınmadığı hususlarına ilişkin olarak Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumu tarafından yetkilendirilmiş bağımsız denetim kuruluşlarından Kurum tarafından yayınlanan Bankalarda Bilgi Sistemleri Denetimi Yapmaya Yetkili Bağımsız Denetim Kuruluşları listesinde yer alan bağımsız denetim kuruluşlarınca yapılacak yerinde inceleme neticesinde hazırlanan rapordur.
Bu rapor ve rapor kapsamında yapılacak denetim iki aşamadan meydana gelmektedir. Öncelikle yerinde inceleme raporunu ele alacak olursak; güncel personel listesi, çalışanlara ait özgeçmişler, tebliğ ve yönetmelik kapsamında politika ve prosedürler, ilgili politika ve prosedürlerin onaylandığına dair Yönetim Kurulu Kararları, şirket organizasyon şeması, görev tanımları ve görev tanımlarının onaylandığına dair Yönetim Kurulu Kararı, şirket iş akışları ve iş akışlarının onaylandığına dair Yönetim Kurulu Kararı, şirket esas sözleşmesinin yayınlandığı Ticaret Sicil Gazetesi ve esas sözleşmenin onaylandığına dair Yönetim Kurulu Kararı, 6493 sayılı kanunun 12. Maddesinin başvurulacak bentlerini içeren Türkiye Cumhuriyet Merkez Bankası’na başvuru yapılmasına ilişkin Yönetim Kurulu Kararı, şirket nezdinde birimlerin kurulmasına ve kurulan birimlere atama yapılmasına ilişkin Yönetim Kurulu Kararı, Genel Müdür atanmasına dair Yönetim Kurulu Kararı, şirket personeline bilgi güvenliği eğitimi verildiğine dair katılım tutanakları, çalışanların imzalamış olduğu bilgi güvenliği taahhütnamesi, risk envanterlerinin üst yönetime sunulduğuna dair kanıt, kullanılan bilgi sistemlerine ilişkin olarak tesis edilmiş görevler ayrılığı matrisi, denetim izlerini toplama, yönetme ve gözden geçirmeye yönelik prosedür, bilgi sistemlerine ilişkin kanun kapsamında dış hizmet alınması halinde, dış hizmet sağlayıcı tarafından tutulan denetim izlerinin kuruluşun standartlarına uygunluğunu ve bu denetim izlerinin kuruluş tarafından erişilebilir olmasını sağlamak amacıyla ilgili sözleşmeye eklenmiş sözleşme maddeleri, iptal, iade ve chargeback prosedürleri, iş sürekliliği planı, bilgi sistemleri süreklilik planı, acil durum eylem planı, bilgi sistemleri süreklilik planının üst yönetim tarafından onaylandığına dair kanıt, bilgi sistemleri süreklilik planına girdi yapması beklenen bilgi sistemleri varlıklarına ilişkin olarak belirlenmiş olan RTO("servislerin tekrar erişime açılabilmesin") ve RPO ("kabul edilebilir kesinti süreleri") bilgilerinin belirtildiği doküman, ikincil merkez süreklilik planlarının test edildiğine ve sonuçların üst yönetime raporlandığına dair kanıt dokümanı, bilgi sistemleri kapsamında alınan dış hizmetlerine ilişkin liste, bilgi sistemleri kapsamında alınan dış hizmetlere dair gerçekleştirilmiş olması beklenen risk değerlendirme çalışmaları, bilgi sistemleri kapsamında alınan dış hizmetlere dair gerçekleştirilmiş olması beklenen performans değerlendirme çalışmaları, bilgi sistemleri kapsamında alınan dış hizmetlere ilişkin gerçekleştirilmiş olan sözleşmeler, kuruluş bilgi sistemlerine erişebilen dış hizmet sağlayıcılarına ilişkin gerçekleştirilmiş olan ek risk değerlendirmeleri ve belirlenen ek kontroller, varsa kuruluş tarafından bulut bilişim kapsamında alınan hizmet listesi, kuruluş tarafından sunulan hizmetlerden yararlanacak kullanıcılar, hizmetlere ilişkin şartlar, riskler ve istisnaî durumlarla ilgili olarak açık bir şekilde bilgilendirdiğine dair kanıt dokümanı, şikayet yönetimi prosedürü, kullanıcılara bildirim yapılacak kanallar listesi, kullanıcı kayıt olma işlemlerinde ya da yüz yüze yapılan işlemlerde kullanıcıya sunulan sözleşme, MASAK kapsamında şüpheli işlemlere dair kuruluş tarafından tesis edilmiş prosedür, suç gelirlerinin aklanması, terörün finansmanı, kumar ve dolandırıcılık işlemlerinin önlenmesine dair hazırlanmış prosedür, şüpheli işlem senaryo listesi, üye işyeri ve temsilci listeleri, üye işyeri ve temsilciler için hazırlanan taslak sözleşme örnekleri, temsilcilere verilecek olan bilgi güvenliği eğitimlerinde kullanılacak olan dokümanlar vb. denetim sırasında kuruluştan hazır bulundurulması istenilmektedir.
Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ uyarınca kuruluşların bilgi sistemleri yönetiminde esas alacağı temel ilkeler;
*Bilgi sistemlerini risk yönetimi
*Bilgi güvenliği yönetim süreci
*Güvenlik olay yönetimi
*Veri gizliliği, güvenliği ve yetkilendirme
*Denetim izlerinin oluşturulması
*Kimlik doğrulama
*Bilgi sistemleri süreklilik planı
*Bilgi sistemlerine ilişkin dış hizmet alım sürecinin yönetimi
*Kullanıcıların bilgilendirilmesi
*Kullanıcı bilgilerinin gizliliği
*İşlemlerin takibi
*Üye işyerleri, temsilciler ve hizmet noktaları
*Bilgi sistemlerine ilişkin sınırlamalardır.
Bu bağlamda; ilgili tebliğin temel ilkelerine uyumun değerlendirilmesinin denetimini amaçlayan bilgi sistemleri denetimi raporunda ise; muhasebe uygulaması üzerinde test, başvurulan kanun maddeleri kapsamında uygulama süreç testleri, koruma hesabına gün sonunda kalan fonlarının aktarılması testi, network topolojisi, katmanlı güvenlik mimarisinin oluşturulmuş olmasına ilişkin test, sızma testi raporu, sistem güncelliği ve yama yönetimine ilişkin test, bilgi güvenliği olay bildirim sürecine ilişkin test, hem fiziksel hem de mantıksal olarak kullanılan uygulamalara ilişkin üretim, test ve geliştirme ortamlarının birbirlerinden ayrıldığına ilişkin denetim kanıtları, kuruluş üretim ortamı yetkili kullanıcı ilişkin ekran görüntüsü, kuruluş test ortamı yetkili kullanıcı ilişkin ekran görüntüsü, kuruluş geliştirme ortamı yetkili kullanıcı ilişkin ekran görüntüsü, ana uygulamaya dair uygulama yetkili kullanıcı listesi ekran görüntüsü, ana uygulamaya bağlı veritabanına dair yetkili kullanıcı listesi ekran görüntüsü, ana uygulama ve uygulamaya bağlı veritabanı üzerinde koştuğu sunucuya dair yetkili kullanıcı listesi ekran görüntüsü, ana uygulamaya istinaden kullanıcı yaratma ve yetkilendirme işlemlerine ilişkin test, denetim izlerinin toplanması ve yönetilmesi için kullanılan uygulama ve uygulamaya bağlı sunucuya dair yetkili kullanıcı listesi ekran görüntüsü, network altyapı güvenliğini sağlamak için kullanılan uygulamalara dair (Firewall, IPS, antivirüs vb.) yetkili kullanıcı ekran görüntüleri, network altyapı güvenliğini sağlamak için kullanılan uygulamalara dair (Firewall, IPS, antivirüs vb.) test, dış ağdan iç ağa erişimlerin kontrollü olarak gerçekleştirilmesine ilişkin olarak tesis edilen ağ yapısına ilişkin olarak test, internet aracılığıyla sunulan hizmetlerde kullanıcı işlemlerinin gerçekleştirildiği sayfanın Kuruluş' a ait olduğuna dair denetim kanıtı (SSL sertifikası), hassas ödeme verilerinin veritabanı ve veritabanı gibi saklandığı alanlarda şifreli olarak saklandığına dair denetim kanıtı, hassas ödeme verilerin ve kişisel bilgilerin internet ya da farklı ağlar üzerinden iletilirken şifreli bir şekilde iletildiğine dair test, hassas ödeme verilerinin şifrelenmesinde kullanılan şifreleme tekniği/algoritmasına ilişkin ekran görüntüsü, kullanılan bilgi sistemlerine ilişkin olarak gerçekleştirilen yetkisiz erişim teşebbüslerinin kaydedilmesine dair test, ana uygulama üzerinden gerçekleştirilen işlemlere ilişkin tutulan denetim izleri, ana uygulamaya bağlı veritabanı aktivitelerine ilişkin tutulan denetim izleri, sistemlerin üzerinde bulunduğu sunucu(Active Directory) aktivitelerine ilişkin tutulan denetim izleri, sistemlerin altyapı güvenliğini sağlamak için kullanılan uygulamalara (Firewall vb.) ilişkin tutulan denetim izleri, toplanan denetim izlerinin yedeklerinin alındığına ve ikincil merkezde felaket sonrası kullanıma hazır olarak tutulduğuna dair denetim kanıtı, tutulan denetim izlerinin bütünlüğünün sağlandığına ilişkin denetim kanıtı, denetim izi uygulaması üzerinde test, kullanılan ana uygulama üzerinde gerçekleştirilen kullanıcı bilgi sorgulama işlemlerine dair denetim izlerinin tutulduğuna dair denetim kanıtı, kimlik doğrulama bilgisinin oturumun başından sonuna kadar doğru olmasını garanti ettiğine dair test (paralel session, session hijack çalışmaları), kuruluş personeli tarafından kullanılan ana uygulamaya dair kimlik bilgilerinin veri tabanında şifreli olarak saklandığına dair ekran görüntüsü, müşteriler tarafından kullanılan ana uygulamaya dair kimlik bilgilerinin veri tabanında şifreli olarak saklandığına dair ekran görüntüsü, ilgili kimlik doğrulama verilerinin aktarıldığı durumlarda şifreli olarak ilgili bilgilerin aktarıldığına dair test, kimlik doğrulama bilgilerine ilişkin gerçekleştirilen erişimlere dair denetim izlerinin tutulduğuna dair denetim kanıtı, iki faktörlü kimlik doğrulama işlemlerinde kullanılan OTP sürecine dair test, kullanıcı telefon numara ve adres bilgilerinin güncellenmesine ilişkin test, kullanıcı kayıt olma(on boarding) sürecine ilişkin test, kuruluş personeli tarafından kullanılan ana uygulamaya dair şifre parametreleri ekran görüntüsü, müşteriler tarafından kullanılan ana uygulamaya dair şifre parametreleri ekran görüntüsü, kuruluş ana uygulamasına bağlı veritabanına dair şifre parametresine ilişkin ekran görüntüsü, kuruluş Active Directory ortamına dair şifre parametresine ilişkin ekran görüntüsü, iki faktörlü kimlik doğrulama işlemlerinde kullanılan OTP gibi tek kullanımlık şifrelerin şifreli olarak iletildiğine dair denetim kanıtı, kuruluş personeli tarafından kullanılan ana uygulamaya ilişkin kimlik doğrulama testi, müşterilere sunulan uygulamaya ilişkin kimlik doğrulama testi, ikincil sistemlerin tesis edildiğine ve kullanıma hazır bulundurulduğuna dair test, şikayet oluşturma, takip etmek ve raporlama amacıyla kullanılan uygulamaya dair test, kullanıcı işlemleri sonucu oluşması beklenen dekontlara dair test, kuruluşun internet sitesinde, kuruluşun ticaret unvanı, genel müdürlük adresi ve kuruluş ile TCMB' nin iletişim bilgilerine yer verildiğine dair denetim kanıtı, şüpheli işlemleri tespit etmek için kullanılan uygulama üzerinde test, seçilen senaryoların etkin olarak kullanılan sistemlerde tesis edildiğine dair test vb. doküman, test, uygulama, ekran görüntüsü, sertifika ve denetim kanıtları bilgi sistemleri denetimi sırasında kuruluş tarafından hazır bulundurulması istenilmektedir.