9 Ocak 2016 CUMARTESİ

Resmî Gazete

Sayı : 29588

TEBLİĞ

Türkiye Cumhuriyet Merkez Bankasından:

ÖDEME VE MENKUL KIYMET MUTABAKAT SİSTEMLERİNDE

KULLANILAN BİLGİ SİSTEMLERİ HAKKINDA TEBLİĞ

(Sayı: 2015/7)

BİRİNCİ BÖLÜM

Amaç, Kapsam, Dayanak ve Tanımlar

Amaç

MADDE 1 – (1) Bu Tebliğin amacı, ödeme ve menkul kıymet mutabakat sistemlerine ilişkin faaliyetlerin yürütülmesinde kullanılan bilgi sistemleri ile ilgili usul ve esasları düzenlemektir.

Kapsam

MADDE 2 – (1) Bu Tebliğ, ödeme ve menkul kıymet mutabakat sistemlerine ilişkin faaliyetlerin yürütülmesinde kullanılan bilgi sistemleri ile ilgili olarak, bilgi sistemleri yönetimine ilişkin genel hükümlere, bilgi güvenliği yönetimine, güvenlik açıkları ve ihlallerine, denetim izlerine, kimlik doğrulama, erişim denetimi ve inkar edilemezliğe, bilgi sistemlerine ilişkin risk yönetimine, bilgi sistemleri işletimine, bilgi sistemleri süreklilik planına, bilgi sistemlerinde dış hizmet alımına ve diğer hususlara ilişkin usul ve esasları kapsar.

Dayanak

MADDE 3 – (1) Bu Tebliğ, 20/6/2013 tarihli ve 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanunun 4 üncü maddesinin üçüncü fıkrasına, 28/6/2014 tarih ve 29044 sayılı Resmî Gazete’de yayımlanan Ödeme ve Menkul Kıymet Mutabakat Sistemlerinin Faaliyetleri Hakkında Yönetmeliğin 24 üncü maddesinin dokuzuncu fıkrasına ve 30 uncu maddesinin birinci fıkrasına dayanılarak hazırlanmıştır.

Tanımlar

MADDE 4 – (1) Bu Tebliğde yer alan;

a) Banka: Türkiye Cumhuriyet Merkez Bankası Anonim Şirketini,

b) Bilgi sistemleri: Ödeme ve menkul kıymet mutabakat sistemlerine ilişkin faaliyetlerin yürütülmesi amacıyla sistem işleticilerinin bilgi ve verilerle ilgili olarak mevzuatla belirlenmiş sorumluluklarının yerine getirilmesini sağlayan donanım, yazılım, veri ve süreçlerden oluşan yapının tamamını,

c) Bilgi sistemleri süreklilik planı: Bilgi sistemlerinin kesintisiz işlemesini olumsuz etkileyebilecek, siber saldırıları da dikkate alan her türlü olağan dışı duruma ilişkin senaryolar ile bu senaryoların gerçekleşmesi halinde bilgi sistemlerinde yaşanabilecek kesintilerin makul bir süre içinde ve veri kaybı olmaksızın giderilmesine ilişkin hususları da içerecek planı,

ç) Bilgi sistemleri yönetimi: Ödeme ve menkul kıymet mutabakat sistemlerinin faaliyetlerinin kesintisiz, güvenli, etkin ve verimli bir şekilde yürütülmesi amacıyla uygun bilgi sistemlerinin tesis edilmesine, bilgi sistemleri kaynaklarının etkin ve verimli olarak kullanılmasına, bilgi güvenliği yönetimine, bilgi sistemlerine ilişkin risklerin yönetilmesine ve bilgi sistemlerinin sürekliliğinin sağlanmasına ilişkin faaliyetleri,

d) Değişiklik yönetimi: Önceden belirlenmiş prosedürlerin kullanımı yoluyla bilgi sistemleri ile ilgili tüm değişikliklerin etkin ve güvenli bir şekilde ve zamanında gerçekleştirilmesini sağlamayı ve bu değişikliklerden kaynaklanabilecek olayların sayısı ile bu olayların sunulan hizmetler üzerindeki etkisini asgari düzeye indirmeyi amaçlayan bilgi sistemleri hizmet yönetimi disiplinini,

e) Denetim izi: Bir finansal ya da operasyonel işlemin başlangıcından bitimine kadar adım adım takip edilmesini sağlayacak kayıtları,

f) Faaliyet Yönetmeliği: 28/6/2014 tarihli ve 29044 sayılı Resmî Gazete’de yayımlanan Ödeme ve Menkul Kıymet Mutabakat Sistemlerinin Faaliyetleri Hakkında Yönetmeliği,

g) Hizmet seviyesi: Hizmetlerin maliyeti ile söz konusu hizmetleri alanların gereksinim ve beklentilerinin göz önünde bulundurulması suretiyle, sistem işleticisi tarafından hizmetlerin içeriği ve kalitesine ilişkin yazılı olarak önceden belirlenen ve ilgili taraflarla paylaşılan seviyeyi,

ğ) Kapasite yönetimi: Bilgi sistemlerinin mevcut kapasite ve performansının izlenmesini, stres testleri de dahil olmak üzere test edilmesini, iş ihtiyaçları ve teknik gereksinimler ile iş sürekliliği hedefleri doğrultusunda gözden geçirilerek planlanmasını içeren faaliyetleri,

h) Katılımcı: Sisteme katılarak doğrudan transfer emri verme yetkisi bulunan ve sistem kurallarına uymakla yükümlü tüzel kişiyi,

ı) Menkul kıymet mutabakat sistemi: Üç veya daha fazla katılımcı arasındaki transfer emirlerinden kaynaklanan menkul kıymet aktarımlarının gerçekleştirilmesini sağlamak amacıyla yapılan takas ve mutabakat işlemleri için gerekli altyapıyı sunan ve ortak kuralları olan yapıyı,

i) Olay: Bilgi sistemlerinin işleyişinde planlanmamış bir kesintiye ya da güvenlik ihlalleri dahil hizmet kalitesinde düşüşe neden olan her türlü gelişmeyi,

j) Ödeme sistemi: Üç veya daha fazla katılımcı arasındaki transfer emirlerinden kaynaklanan fon aktarımlarının gerçekleştirilmesini sağlamak amacıyla yapılan takas ve mutabakat işlemleri için gerekli altyapıyı sunan ve ortak kuralları olan yapıyı,

k) Proje yönetimi: Önceden belirlenmiş metodolojilerin kullanımı yoluyla bilgi sistemleri projelerinin, öngörülen zaman planına, bütçeye ve kalite düzeyine uygun olarak tamamlanmasını temin edecek şekilde planlanmasını, organizasyonunu ve yürütülmesini sağlayan süreci,

l) Sızma testi: Bilgi sistemlerindeki varsa güvenlik açıklarını, istismar edilmeden önce tespit etmek ve düzeltmek amacıyla gerçekleştirilen atakları içeren faaliyetleri,

m) Sistem: Ödeme sistemi ve menkul kıymet mutabakat sistemini,

n) Sistem işleticisi: Sistemin günlük işleyişinden sorumlu olan ve sistem işletimi için gerekli olan faaliyet iznine sahip tüzel kişiyi,

o) Sorun: Bir veya daha fazla olayın kök nedenini,

ö) Stres testi: Bilgi sistemleri kapasitesinin, en yoğun yük durumundan daha yoğun durumlar karşısında yeterliliğinin ölçüldüğü testi,

p) Yönetimden sorumlu kişi: Faaliyet Yönetmeliğinin 10 uncu maddesinde tanımlanan, sistem işleticisinin yönetiminden sorumlu kişileri,

r) Zafiyet taraması: Bilgi sistemleri bileşenlerindeki varsa güvenlik açıklarının önceden tespit edilmesine, tanımlanmasına ve sınıflandırılmasına yönelik olarak genellikle otomatik araçlarla gerçekleştirilen analizi,

ifade eder.

İKİNCİ BÖLÜM

Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler

Bilgi sistemleri yönetimine ilişkin genel hükümler

MADDE 5 – (1) Sistem işleticisi, bilgi sistemlerine ilişkin faaliyetlerini yürütürken işleyişinden sorumlu olduğu sistemin kesintisiz, güvenli, etkin ve verimli bir şekilde çalışması amacını öncelikli olarak gözetir.

(2) Sistem işleticisi, bilgi sistemlerini sistemin faaliyet konusu ile uyumlu şekilde tesis eder ve teknolojik gelişmeleri de dikkate alarak günceller.

(3) Sistem işleticisi, bilgi sistemleri yönetimine ilişkin politikaları sisteme ilişkin ana strateji ve hedefleri ile uyumlu şekilde yazılı olarak oluşturur, düzenli olarak gözden geçirir ve gerekli durumlarda günceller.

(4) Sistem işleticisi, sistemin yönetimini bilgi sistemleri yönetimini de kapsayacak şekilde, bütüncül bir yaklaşım içerisinde ve kurumsal yönetim uygulamaları çerçevesinde gerçekleştirir ve bilgi sistemleri yönetimine ilişkin unsurları organizasyon yapısı içerisinde uygun yere yerleştirir.

(5) Sistem işleticisi, bilgi sistemleri yönetimine ilişkin görev, yetki ve sorumlulukları açıkça belirler ve bilgi sistemleri yönetimi için gerekli her türlü kaynağı sağlar.

(6) Bilgi sistemleri yönetiminin bu Tebliğde yer alan hükümlere uygun şekilde yürütülmesinden sistem işleticisinin yönetim kurulu sorumludur.

Bilgi güvenliği yönetimi

MADDE 6 – (1) Sistem işleticisi, sisteme ilişkin her türlü bilgi varlığının gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamak amacıyla kural, ilke ve politikaları içeren bilgi güvenliği yönetim çerçevesi oluşturur.

(2) Sistem işleticisi, birinci fıkra kapsamında oluşturduğu bilgi güvenliği yönetim çerçevesine uygun bir bilgi güvenliği yönetim sistemi oluşturur.

(3) Sistem işleticisi, bilgi güvenliği yönetim sisteminin oluşturulmasına, yönetilmesine, belirli aralıklarla gözden geçirilmesine ve gerekli hallerde güncellenmesine ilişkin görev, yetki ve sorumlulukları açıkça belirler.

(4) Bilgi güvenliği yönetim sistemi kapsamında her kademedeki personelin bilgi güvenliğine ilişkin görev, yetki ve sorumlulukları açıkça belirlenir.

(5) Sistem işleticisi, sistem içerisindeki tüm bilgi varlıklarını önem seviyesini ve yasal yükümlülükleri de dikkate alarak gizlilik düzeyine göre sınıflandırır, her bir sınıftaki bilgi varlıklarına ilişkin erişim hakları ile saklama, iletme ve imha etme prosedürlerini açıkça belirler, sınıflandırma ve bununla ilgili yükümlülükler konusunda tüm personeli bilgilendirir.

(6) Bilgi güvenliği yönetim sisteminde, personelin işe başlaması, görev ve pozisyon değiştirmesi ve işten ayrılması da dahil olmak üzere personele ilişkin tüm hususlar bilgi güvenliğini etkileyen yönleriyle değerlendirilir ve gerekli tedbirler alınır.

(7) Sistem işleticisi, bilgi güvenliği yönetim sistemi kapsamında sistem ile ilgili kendi nezdindeki her türlü donanım ile altyapının ve bunlarla ilgili fiziksel çevrenin güvenliğini sağlar. Sistem işleticisi, sistem ile ilgili kendi nezdinde bulunmayan donanım ile alt yapının ve bunlarla ilgili fiziksel çevrenin güvenliğinin sağlanması için gerekli özeni gösterir.

(8) Sistem işleticisi, iç ve dış ağlar arasında sistem ile ilgili gerçekleşen her türlü iletişim sürecinin ve ana faaliyetlere ilişkin operasyonel işlemlerin, güvenlik kontrolleri ve araçları kullanılarak gerçekleşecek şekilde tasarlanmasını sağlar.

(9) Sistem işleticisi, yeni bir sistem kurması, mevcut sistem içerisinde yapısal bir değişikliğe gitmesi veya mevcut bilgi sistemlerine ilişkin geliştirme, bakım ve onarım çalışmaları yürütmesi durumunda bilgi güvenliğine gereken özeni göstermekle yükümlüdür.

(10) Bilgi güvenliği yönetim sistemine ilişkin görev, yetki ve sorumluluk verilmiş olan sistem işleticisinin yönetiminden sorumlu kişiler, bilgi güvenliği yönetim sisteminin bilgi güvenliği konusundaki mevzuata, standartlara ve birinci fıkra kapsamında oluşturulan bilgi güvenliği yönetim çerçevesine uyum durumunu sürekli olarak izler, uyumun sağlanması için gerekli tedbirleri alır ve uyum durumunu sistem işleticisinin yönetim kuruluna düzenli olarak raporlar.

(11) Sistem işleticisi, personelin bilgi güvenliği hususlarında farkındalığını arttıracak gerekli faaliyetleri yürütür.

Güvenlik açıkları ve ihlalleri

MADDE 7 – (1) Sistem işleticisi bilgi güvenliği yönetim çerçevesi ile uyumlu bir şekilde, bilgi sistemlerine yönelik olası güvenlik ihlallerinin araştırılmasını, güvenlik ihlallerinin önlenmesi için alınması gereken uygun tedbirlerin belirlenmesini, güvenlik ihlalinin gerçekleşmesi halinde ihlalin tespit edilerek zamanında müdahale edilebilmesi için gerekli tedbirlerin alınmasını, gerçekleşen güvenlik ihlallerinin ve tespit edilen güvenlik açıklarının değerlendirilerek kayıt altına alınmasını sağlar.

(2) Sistem işleticisi, sahip olduğu ve sistemle ilişkili olan tüm sunucular ile iletişim ağını ilk işletime alınmadan önce ve sonrasında düzenli aralıklarla yılda en az altı defa zafiyet taramasından geçirir. Zafiyet taramasında tespit edilen öncelikli bulguların mümkün olan en kısa süre içerisinde giderilmesi ve bu bulgular giderilinceye kadar uygun koruyucu tedbirlerin alınması sağlanır. Öncelikli olmayan bulguların makul bir süre içerisinde giderilmesi için zaman planlaması yapılır.

(3) Sistem işleticisi, gerçekleşebilecek iç ve dış tehditleri kapsayan senaryolar doğrultusunda yılda en az bir defa sızma testi gerçekleştirilmesini sağlar ve sızma testinin sonuçlarını Bankaya raporlar.

(4) Sistem işleticisi, olası ve gerçekleşmiş güvenlik ihlallerinin değerlendirilmesi ile zafiyet taraması ve sızma testleri sonucunda tespit ettiği güvenlik açıklarının giderilmesine yönelik olarak uygun tedbirleri alır ve aldığı tedbirlerin etkinlik durumunu kontrol eder.

(5) Sistem işleticisi, gerçekleşen güvenlik ihlallerini ve tespit edilen kritik güvenlik açıklarını, bunların giderilmesine yönelik alınan tedbirleri ve sonuçlarını içeren raporu yılda en az bir defa Bankaya sunar.

(6) Sistem işleticisi, gerçekleşen güvenlik ihlalleriyle ilgili delilleri en az on yıl süreyle güvenli bir şekilde muhafaza eder.

Denetim izi kayıt sistemi

MADDE 8 – (1) Sistem işleticisi, bilgi sistemlerine her türlü yetkili veya yetkisiz erişimin ve bilgi sistemlerinde sistem faaliyetleri ile ilgili gerçekleşen işlemlerin takibine imkan verecek denetim izi kayıt sistemi oluşturur.

(2) Denetim izi kayıt sisteminde tutulacak kayıtlar asgari olarak, erişimin veya işlemin niteliğine göre işlemin türü, işlemin ayırt edici tanımlayıcısı, işlem tutarı, işlem tarihi, işlem saati, kullanıcı kimlik bilgisi, erişimin veya işlemin gerçekleştiği uygulama bilgisini içerir.

(3) Denetim izleri, ayrıntılı incelemeye ve taramaya imkan verecek, denetime hazır ve güvenli bir şekilde en az on yıl süreyle saklanır.

(4) Bilgi sistemleri konusunda sistem işleticisi tarafından dış hizmet alınması halinde, dış hizmet sağlayıcısının denetim izi kayıt sisteminin bu madde hükümlerine uygunluğundan sistem işleticisi sorumludur.

Kimlik doğrulama, erişim denetimi ve inkar edilemezlik

MADDE 9 – (1) Sistem işleticisi, bilgi sistemlerinde gerçekleştirilen işlemlerde kullanılmak üzere yeterli ve etkin bir kimlik doğrulama sistemi kurar.

(2) Sistem işleticisi, kimlik doğrulama sisteminin bilgi sistemlerinin hangi alt bileşenleri için geçerli olacağını ve kimlik doğrulama sisteminde hangi alt bileşen için hangi kimlik doğrulama tekniklerinin kullanılacağını açıkça belirler.

(3) Sistem işleticisi, personelin sistem içerisinde kullanılan ağlara, alt sistemlere, uygulamalara, verilere ve fiziksel ortamlara erişimine ilişkin yetki ve sınırlandırmaları, personelin görev, yetki ve sorumlulukları kapsamında işin gerektirdiği bilgiye erişimine imkan verecek şekilde açıkça belirler ve yetkisiz erişimleri engellemek üzere gerekli tedbirleri alır.

(4) Sistem işleticisi, kimlik doğrulama için kullanılan verilerin güvenliği ile şifreli olarak aktarılması ve tutulması için gerekli altyapının oluşturulmasını sağlar.

(5) Sistem işleticisi, bilgi sistemlerinin kullanımında oturum güvenliğini sağlayacak tedbirleri alır.

(6) Sistem işleticisi, bilgi sistemlerinde sistem faaliyetleri ile ilgili gerçekleştirilen işlemler için inkar edilemezliği sağlayacak teknolojik ve hukuki altyapıyı oluşturur.

Bilgi sistemlerine ilişkin risk yönetimi

MADDE 10 – (1) Sistem işleticisi, sistemin sorunsuz şekilde işlemesini tehlikeye sokabilecek tüm risklerin tespit edilmesini, ölçülmesini, izlenmesini ve etkin bir şekilde yönetilmesini sağlamak amacıyla tesis edeceği risk yönetim çerçevesini oluştururken, bilgi sistemlerine ilişkin riskleri göz önünde bulundurur.

(2) Birinci fıkra uyarınca bilgi sistemlerine ilişkin riskler değerlendirilirken, sistemin ana faaliyetleri ile diğer faaliyetleri, sisteme doğrudan veya dolaylı olarak bağlanan katılımcıların veya diğer kuruluşların faaliyetleri, varsa dış hizmet sağlayıcıların faaliyetleri, üçüncü taraflara olan bağımlılıklar ve sistemin diğer sistemlerle olan bağlantıları da göz önünde bulundurulur.

(3) Sistem işleticisi, yılda en az bir defa bilgi sistemlerine ilişkin kapsamlı bir risk değerlendirmesi yapar ve değerlendirme sonuçlarını içerir raporu Bankaya sunar.

Bilgi sistemleri işletimi

MADDE 11 – (1) Sistem işleticisi, tanımlanan hizmet seviyeleri çerçevesinde bilgi sistemlerinin işleyişinin güvenilirliğine, dayanıklılığına ve sürekliliğine ilişkin hedefleri açıkça belirler ve bu hedefler doğrultusunda bilgi sistemlerinin işletiminin etkin ve verimli yapılabilmesi amacıyla gerekli tedbirleri alır.

(2) Sistem işleticisi birinci fıkra kapsamında belirlediği hedeflere uyum düzeyini yılda en az bir defa olmak üzere düzenli aralıklarla ölçer ve sonuçlarını Bankaya raporlar.

(3) Sistem işleticisi, bilgi sistemlerini tanımlanan hizmet seviyeleri için yeterli kapasiteye sahip olacak şekilde tesis eder, kapasitenin ölçeklenebilir olmasını öncelikli olarak gözetir ve bilgi sistemlerine yönelik kapasite yönetimi yapar.

(4) Sistem işleticisi, bilgi varlıklarının envanterinin ve konfigürasyon bilgisinin oluşturulmasını, güvenli bir şekilde saklanmasını, güncellenmesini ve raporlanmasını sağlar.

(5) Sistem işleticisi, önceden belirlenmiş prosedürler çerçevesinde olayların zamanında tespit edilmesini, kayıt altına alınmasını, raporlanmasını, analiz edilmesini, çözülmesini ve olay hakkında ilgili tüm paydaşların zamanında bilgilendirilmesini sağlayacak şekilde olay yönetimi yapar.

(6) Sistem işleticisi, her önemli olaydan sonra olayın ayrıntılı olarak incelenmesini, kök neden analizinin yapılmasını, etkilerinin belirlenmesini ve olaya ilişkin sorunun takibini ve raporlamasını içerecek şekilde sorun yönetimi yapar.

(7) Sistem işleticisi, bilgi sistemleri ile ilgili yapılacak her türlü değişikliği, belirlemiş olduğu değişiklik yönetimi prosedürlerine uygun olarak gerçekleştirir.

(8) Sistem işleticisi, kurum içi geliştirme veya dış alım yoluyla bilgi sistemlerinde gerçekleştirilecek her türlü projeyi, belirlemiş olduğu proje yönetimi prosedürlerine uygun olarak yürütür.

Bilgi sistemleri süreklilik planı

MADDE 12 – (1) Sistem işleticisi, Faaliyet Yönetmeliğinin 25 inci maddesinin beşinci fıkrası uyarınca oluşturulan iş sürekliliği planının bir parçası olarak bilgi sistemleri süreklilik planı hazırlar.

(2) Bilgi sistemleri süreklilik planı;

a) İş sürekliliği planı ile uyumlu olacak şekilde belirlenecek bilgi sistemleri süreklilik hedeflerini ve bu hedeflere ulaşmayı sağlamak üzere oluşturulacak yedekleme ve hatadan kurtarma prosedürleri ile kullanılacak kaynakları,

b) Planın hayata geçmesine neden olan olayın kaynağını, yarattığı hasarı, potansiyel boyutunu ve etkisini, etkilediği tarafları tespit etmeye ve tespitlerin ilgili yönetim birimlerine ulaştırılmasını sağlamaya yönelik süreçleri,

c) Planın hayata geçirilmesine ilişkin karar alma süreciyle ilgili kriter ve prosedürler ile plan devreye girdiğinde rol alacak kişi veya grupların görev, yetki ve sorumluluklarını,

ç) İlgili paydaşlar ile iletişim yöntemini,

d) Plan kapsamında verilen kararların ve hayata geçirilen eylemlerin kayıt altına alınma yöntemini

içerir.

(3) Sistem işleticisi, bilgi sistemleri süreklilik planının etkinliğini yılda en az bir defa test eder. Sistem işleticisi, bu testleri katılımcıları, bilgi sistemlerine bağlantısı bulunan diğer sistemleri ve üçüncü taraf hizmet sağlayıcıları da dahil edecek şekilde planlar.

Bilgi sistemlerine ilişkin dış hizmet alımı

MADDE 13 – (1) Sistem işleticisi, bilgi sistemlerine ilişkin dış hizmet alımı gerçekleştirebilir. Dış hizmet alınması sistem işleticisinin bilgi sistemleri yönetimi kapsamındaki sorumluluklarını ortadan kaldırmaz.

(2) Sistem işleticisi, dış hizmet alımı nedeniyle ortaya çıkabilecek riskleri değerlendirir ve gerekli tedbirleri alır.

(3) Dış hizmet alım sözleşmesi asgari olarak;

a) Hizmetin kapsamına ve belirlenen hizmet seviyelerine ilişkin hususları,

b) Hizmetin sona ermesine ilişkin şartları ve hizmetin sona ermesi durumunda dış hizmet sağlayıcısının dış hizmet sunarken elde ettiği bilgi, belge ve kayıtları imha etmesine ilişkin hükümleri,

c) Sistem işleticisi ile dış hizmet sağlayıcısının hak ve yükümlülüklerini,

ç) Dış hizmet sağlayıcısının hizmete ilişkin kullandığı kaynakların ve süreçlerin sistem işleticisinin güvenlik politikalarına uygun olmasını sağlayacak hükümleri,

d) Sözleşmeye konu unsurların sahipliğine ve fikri mülkiyet haklarına ilişkin hususları,

e) Dış hizmet alımı yoluyla gerçekleştirilen işlemlere ilişkin bilgi, belge ve kayıtların mülkiyetinin sistem işleticisine ait olduğuna ve sistem işleticisine ait bilgi, belge ve kayıtların gizliliğine ilişkin hükümleri,

f) Sözleşme hükümlerinin, dış hizmet sağlayıcısının varsa alt yüklenicileri ile olan sözleşmelerinde de bağlayıcı olmasına dair hükümleri,

g) Sistem işleticisinin, sistem işleticisi olma vasfı nedeniyle tabi olduğu mevzuat ve Banka talimatları uyarınca bilgi sistemlerinde gerçekleştirilmesi gereken değişikliklerin alınan hizmet kapsamında dış hizmet sağlayıcısı tarafından yerine getirilmesini sağlayacak hükümleri,

ğ) Dış hizmet sağlayıcısı yoluyla gerçekleştirilen faaliyetlerin de Banka tarafından sistem işleticisine yönelik yürütülecek gözetim faaliyeti kapsamında yer aldığına ve dış hizmet sağlayıcısından talep edilen her türlü bilgi, belge ve kaydı zamanında ve doğru olarak vermek ve bunlara erişim için gerekli olan her türlü imkanı sağlamak zorunda olduğuna dair hükümleri,

h) Sözleşme hükümlerinin herhangi bir nedenle ihlali durumunda izlenecek prosedürlere ilişkin hükümleri,

içerir.

(4) Sistem işleticisinin verilerin işlenmesi ve saklanması için dış hizmet alması durumunda, bu hizmet sadece sistem işleticisine tahsis edilmiş donanımlar üzerinden sunulur.

(5) Sistem işleticisi, dış hizmet alımlarında kendi bilgileri ve katılımcılarının bilgilerinin güvenliğini sağlayacak gerekli tedbirleri alır ve dış hizmet sağlayıcısına sadece işin gerektirdiği bilgiye erişim imkanı sağlayacak şekilde erişim yetkisi verir.

ÜÇÜNCÜ BÖLÜM

Çeşitli ve Son Hükümler

Uygulama esasları

MADDE 14 – (1) Banka, bu Tebliğ hükümlerini yorumlamaya, bu Tebliğde yer almayan ya da açıklık bulunmayan konularda genel hükümleri de göz önünde bulundurarak karar vermeye, uygulamayı düzenlemek ve yönlendirmek için genelge ve talimat yayımlamaya yetkilidir.

Geçiş hükmü

GEÇİCİ MADDE 1 – (1) Sistem işleticileri, sistemlerini bu Tebliğin yayımından itibaren bir yıl içinde bu Tebliğ ile uyumlu hâle getirmek zorundadır.

Yürürlük

MADDE 15 – (1) Bu Tebliğ yayımı tarihinde yürürlüğe girer.

Yürütme

MADDE 16 – (1) Bu Tebliğ hükümlerini Türkiye Cumhuriyet Merkez Bankası Başkanı yürütür.