06 Ekim 2015, İstanbul
Ref: KC/BE/MB/15‐85
KONU : Banka ve Kredi Kartı İşlemlerinde Kullanılan Bilgi Sistemlerinin Yönetimi Hakkında Tebliğ Taslağı Hakkında TÜBİSAD Bilişim Sanayicileri Derneği Görüşü
BANKACILIK DÜZENLEME VE DENETLEME KURUMU’NA
Sayın Kurumunuz tarafından hazırlanan Banka ve Kredi Kartı İşlemlerinde Kullanılan Bilgi Sistemlerinin Yönetimi Hakkında Tebliğ Taslağı’na (“Tebliğ”) ilişkin Derneğimizin görüşlerini ekte ilgilerinize arz ediyoruz.
Saygılarımızla,
Burak Ertaş
Yeni Medya ve e‐Ticaret Komisyonu Başkanı
Kemal CILIZ
TÜBİSAD Bilişim Sanayicileri Derneği Başkanı
EKLER :
Ek‐1 Değişiklik Önerileri ve Madde Gerekçeleri
Ek‐1 Değişiklik Önerileri ve Gerekçeler
Taslak Maddesi Değişiklik Önerisi Gerekçe
Madde 4 – ü) Kuruluş: Kart kuruluşları, dış hizmet sağlayıcıları ile CNP ödeme kabul eden üye işyerlerini,
Madde 4 – ü) Kuruluş: Kart kuruluşları, dış hizmet sağlayıcıları, ödeme ve elektronik para kuruluşları ile CNP ödeme kabul eden üye işyerlerini,
Tebliğ içerisinde kuruluşlar için ortaya konulan hak ve yükümlülüklerin ödeme ve elektronik para kuruluşları için de uygulanabilir olması sebebiyle kuruluş tanımının önerildiği şekilde değiştirilmesi gerektiği düşünülmektedir.
Madde 4 – hh) Tekrar eden ödemeler: Taksitli
kredi kartı işlemlerinden farklı olarak, ödenecek toplam tutarın kredi kartının kullanılabilir limitini azaltmadığı, kart hamili ile yapılmış bir sözleşmeye istinaden tekrar eder şekilde satın alınan mal veya hizmetlere ilişkin ödemeleri,
Madde 4 – hh) Tekrar eden ödemeler: Taksitli kredi kartı işlemlerinden farklı olarak, ödenecek toplam tutarın kredi kartının kullanılabilir limitini azaltmadığı, otomatik fatura ödemeleri dışında kalan, kart hamili ile yapılmış bir sözleşmeye istinaden tekrar eder şekilde satın alınan mal veya hizmetlere ilişkin ödemeleri,
Mevcut uygulamada fatura ödemeleri de otomatik olarak ve kredi kartına bağlanarak gerçekleştirilebilmektedir. Tebliğ ile tekrar eden ödemeler için getirilmek istenen koşullar ve hukuki koruma kanaatimizce otomatik fatura ödemelerini kapsamayacağı için, uygulamaya açıklık getirmek adına tanım maddesinde değişiklik yapılması gerektiği düşünülmektedir.
Söz konusu değişiklik yapılmadığı takdirde otomatik ödeme talimatı yapısı ile kurulmuş olan tahsilat riski yönetim mekanizmaları devre dışı
kalabilecek ve tahsilatlarını otomatik tahsilat yöntemi ile gerçekleştiren firmalar çok ciddi zarar uğrayabilecektir.
MADDE 8 ‐ (4) CNP ödeme kabul eden üye
işyerleri bu maddenin ikinci ve üçüncü fıkralarına tabi değildir.
MADDE 8 ‐ (4) CNP ödeme kabul eden ve hassas kart verisi saklamayan üye işyerleri bu maddenin ikinci ve üçüncü fıkralarına tabi değildir.
Değişiklik önerilerimizin kabul edilmesi halinde kart verisi saklayan üye işyerlerinin maddede belirtilen güvenlik önlemlerini almaları gerekeceği için 8. Maddede de bu yönde bir değişikliğin yapılması gerektiği düşünülmektedir.
Madde 9 – (3) CNP işlemlerde kullanılacak
dinamik kimlik doğrulamada, kimlik doğrulama amacıyla kullanılan veri kümesi her bir kullanım için tekillik arz eder, bir kez kimlik doğrulama gerçekleştirilen veri kümesi ile ikinci bir kimlik doğrulama gerçekleştirilemez. Dinamik kimlik doğrulama kapsamında, kimlik doğrulamayı üye işyeriyle ve işlem tutarıyla ilişkilendiren kimlik doğrulama mekanizması kullanılır.
Madde 9 – (3) CNP işlemlerde kullanılacak dinamik kimlik doğrulamada, kimlik doğrulama amacıyla kullanılan veri kümesi her bir kullanım için tekillik arz eder, bir kez kimlik doğrulama gerçekleştirilen veri kümesi ile ikinci bir kimlik doğrulama gerçekleştirilemez. Dinamik kimlik doğrulama kapsamında, kimlik doğrulamayı üye işyeriyle ve işlem tutarıyla ilişkilendiren kimlik doğrulama mekanizması kullanılır. CNP işlemlerde dinamik kimlik doğrulamanın
Bilindiği üzere elektronik ticaret kapsamında gerçekleştirilen işlemlerde ödemeler Tebliğ ile getirilen tanımlar doğrultusunda “CNP işlemler”
ile gerçekleştirilmektedir. Elektronik ticaret kapsamında gerçekleştirilen işlemlerin birçoğu düşük bedelli işlemler olup, dinamik kimlik doğrulamanın bu işlemler için kullanılması halinde tüketiciler dinamik kimlik doğrulama süreçlerini tamamlamak yerine mal/hizmet temininden vazgeçebilecek veya muadil
kullanılması kart hamilinin tercihine bağlı olup, üye işyerleri tercihe bağlı dinamik kimlik doğrulamanın gerçekleştirilebilmesi için gerekli mekanizmayı oluşturur.
mal/hizmeti dinamik kimlik doğrulama yükümlülüğü olmayan yurtdışı sağlayıcılardan temin edebileceklerdir. Tebliğ ile getirilen dinamik kimlik doğrulama yükümlülüğünün tüm işlemlere uygulanması tüketicinin korunmasından ziyade mal/hizmet teminini zorlaştıracak, ortaya çıkabilecek riske nazaran aşırı bir güvenlik önleminin zorunlu tutulması sonucunu doğuracak ve yurtiçindeki sağlayıcıların yurtdışındaki sağlayıcılara karşı rekabet edemez duruma gelmesine sebebiyet verebilecektir. Bu sebeplerle dinamik kimlik doğrulama mekanizmasının tüketiciye sunulmasının zorunla hale getirilmesi, işlemin tüketicinin talebi halinde dinamik kimlik doğrulama ile gerçekleştirilmesinin sağlanması yönünde değişikliğin yapılması gerektiği düşünülmektedir.
Madde 9 – (5) Tekrar eden ödemeler için
uygulanacak dinamik kimlik doğrulama
Madde 9 – (5) Tekrar eden ödemeler için uygulanacak dinamik kimlik doğrulama
Tekrar eden ödemelerde kullanıcıdan ek kimlik doğrulama talep edilmesi ve kullanıcının söz
mekanizması, ilk işlem esnasında, ödenen tutarın değişmesi durumunda ve uzun süreli işlemlerde asgari olarak yılda bir kez; kimlik doğrulama amacıyla kullanılan veri kümesinin her bir kullanım için tekillik arz ettiği, bir kez kimlik doğrulama gerçekleştirilen veri kümesi ile ikinci bir kimlik doğrulamanın gerçekleştirilemediği kimlik doğrulamayı ve ödemenin ne sıklıkla gerçekleşeceği, kaç kez tekrar edeceği ve her bir tekrarda ödenecek tutar hususlarında kart hamilinin SMS, eposta gibi bir yöntemle bilgilendirilmesini içerir. Bunlar haricindeki tekrarlarda kart hamilinin kimliğinin doğrulanması zorunlu değildir. Bilgilendirme, sözleşme aşamasında belirlenen şekilde işleme ilişkin tutarın kart hamilinin hesabına işlenmesi öncesinde veya işlenmesinin hemen ardından gerçekleştirilir.
mekanizması, ilk işlem esnasında, ödenen tutarın değişmesi durumunda ve uzun süreli işlemlerde asgari olarak yılda bir kez; kimlik doğrulama amacıyla kullanılan veri kümesinin her bir kullanım için tekillik arz ettiği, bir kez kimlik doğrulama gerçekleştirilen veri kümesi ile ikinci bir kimlik doğrulamanın gerçekleştirilemediği kimlik doğrulamayı ve ödemenin ne sıklıkla gerçekleşeceği, kaç kez tekrar edeceği ve her bir tekrarda ödenecek tutar hususlarında kart hamilinin SMS, eposta gibi bir yöntemle bilgilendirilir. mesini içerir. Bunlar haricindeki tekrarlarda kart hamilinin kimliğinin doğrulanması zorunlu değildir. Bilgilendirme, sözleşme aşamasında belirlenen şekilde işleme ilişkin tutarın kart hamilinin hesabına işlenmesi öncesinde veya işlenmesinin hemen ardından gerçekleştirilir.
konusu doğrulamayı yapmayı ihmal etmesi halinde sunulan hizmet sonlanacak ve kullanıcının ciddi mağduriyeti ortaya çıkacaktır. Bunun yerine kullanıcının mağduriyetinin engellenmesi için bilgilendirme yönteminin seçilmesinin daha uygun bir önlem olacağı düşünülmektedir.
MADDE 10 – (1) Hassas kart verisi tutan, işleyen MADDE 10 – (1) Hassas kart verisi tutan, işleyen Tebliğ ile kart verilerinin sadece üye işyeri
veya ileten gerçek ve tüzel kişiler ile münferit sistemler, hassas kart verisinin güvenliğine ilişkin
uygun kontrolleri işletir.
c) Kart numarasının ilk 6 ve son 4 hanesi haricinde kalan kısmı, şifrelenmiş olsa dahi kart kuruluşları ve bu kuruluşlara hizmet veren dış hizmet sağlayıcılar haricinde hiçbir gerçek veya tüzel kişi tarafından tutulamaz
veya ileten gerçek ve tüzel kişiler ile münferit sistemler, hassas kart verisinin güvenliğine ilişkin
uygun kontrolleri işletir.
c) Kart numarasının ilk 6 ve son 4 hanesi haricinde kalan kısmı, şifrelenmiş olsa dahi kart kuruluşları, ve bu kuruluşlardan birine hizmet veren dış hizmet sağlayıcılar, ödeme ve elektronik para kuruluşları ve üye işyerleri haricinde hiçbir gerçek veya tüzel kişi tarafından tutulamaz
anlaşması yapan kuruluşlar ile bunların dış hizmet sağlayıcıları tarafından tutulabileceği belirtilmiştir.
Bilindiği üzere dış hizmet sağlayıcılar ile üye işyeri anlaşması yapan kuruluşlar arasında sözleşme ilişkisi tesis edilmekte ve üye işyeri anlaşması yapan kuruluşun Tebliğ ile belirlenen yükümlülüklerin dış hizmet sağlayıcı tarafından uygulanabilmesini sağlamak için elindeki tek hukuki enstrüman bu sözleşme olmaktadır. Üye işyeri anlaşması yapan kuruluşlar benzer bir sözleşmeyi üye işyeri ile de yapabilecekleri için hukuki açıdan dış hizmet sağlayıcıyı üye işyerinden daha güvenli bir yere getirebilecek bir yapı bulunmamaktadır. Bunun yanı sıra üye işyerleri kart hamillerinden kart bilgilerinin saklanması ve kullanılması ile ilgili olarak doğrudan rıza alabilmekte ve işlemlerini buna göre gerçekleştirebilmektedirler. Bu sebeplerle kart bilgilerinin üye işyerleri tarafından da tutulabilmesi ve maddede bu yönde değişikliğe gidilmesi
gerektiği düşünülmektedir.
MADDE 11 – (1) Yurtiçinde kurulu bir üye işyeri
anlaşması yapan kuruluş aracılığıyla gerçekleşen işlemlerde, kart hamilinin kimliğinin doğrulanması için dinamik kimlik doğrulama haricinde bir mekanizma kullanılmış ise, kart çıkaran kuruluşlar bu işlemleri onaylamaz ve işleme ilişkin tutarı kart hamilinin hesabına işlemez. Yurtdışında gerçekleştirilen işlemlerde ve yurtdışına gerçekleşen ödemelerde altyapının teknik özelliklerinin uygun olduğu kartlı işlemlerde, kart hamilinin kimliğinin doğrulanması için dinamik kimlik doğrulama kullanılmasına yönelik kart üzerinde gerekli kısıtlama yapılır ve kart çıkaran kuruluş bünyesinde gerekli izleme faaliyetleri gerçekleştirilir. Çevrimdışı temassız işlemler ve telefon üzerinden gerçekleştirilen ödemeler bu hükmün kapsamı dışındadır.
MADDE 11 – (1) Yurtiçinde kurulu bir üye işyeri anlaşması yapan kuruluş aracılığıyla gerçekleşen işlemlerde, kart hamilinin kimliğinin doğrulanması için bu Tebliğ ile belirlenen yöntemler dinamik kimlik doğrulama haricinde bir mekanizma kullanılmış ise, kart çıkaran kuruluşlar bu işlemleri onaylamaz ve işleme ilişkin tutarı kart hamilinin hesabına işlemez.
Yurtdışında gerçekleştirilen işlemlerde ve yurtdışına gerçekleşen ödemelerde altyapının teknik özelliklerinin uygun olduğu kartlı işlemlerde, kart hamilinin kimliğinin doğrulanması için dinamik kimlik doğrulama kullanılmasına yönelik kart üzerinde gerekli kısıtlama yapılır ve kart çıkaran kuruluş bünyesinde gerekli izleme faaliyetleri gerçekleştirilir. Çevrimdışı temassız işlemler ve telefon üzerinden gerçekleştirilen ödemeler bu
Madde 9 ile ilgili olarak getirilen öneriler kapsamında uyumluluğun sağlanması için bu maddede de değişiklik yapılması gerekmektedir.
hükmün kapsamı dışındadır.
MADDE 12 – (7) Kart çıkaran kuruluş, kartlarını CNP ödemelere ve yurtdışında kullanıma kapalı olarak müşterilerine sunar. Kartın CNP ödemelerde ve yurtdışında kullanılabilir olması ancak müşterinin bilgilendirilmesi ve açık onayının alınması halinde mümkün olur.
Kartlarda gerçekleşecek yenileme işlemi için bu hüküm aranmaz.
MADDE 12 – (7) Kart çıkaran kuruluş, kartlarını CNP ödemelere ve yurtdışında kullanıma kapalı olarak müşterilerine sunar. Kartın CNP ödemelerde ve yurtdışında kullanılabilir olması ancak müşterinin bilgilendirilmesi ve açık onayının alınması halinde mümkün olur.
Kartlarda gerçekleşecek yenileme işlemi için bu hüküm aranmaz.
Bilindiği üzere elektronik ticaret uygulamalarında gerçekleştirilen ödemelerin çok büyük bir kısmı kredi kartları ile gerçekleştirilmekte olup, elektronik ticarette kredi kartlarının kullanımını zorlaştıracak her türlü uygulama elektronik ticaret uygulamalarına ciddi zarar vermektedir. Bu kapsamda kredi kartını temin ederken CNP işlemler için onay vermeyi unutmuş bir kullanıcının kartını elektronik ticaret uygulamalarında kullanması imkansız hale gelebilecek ve bu durum müşteri memnuniyetsizliğine yol açacaktır. Tebliğ ile CNP işlemler için de ciddi güvenlik süreçlerinin zorunlu tutulmuş olması kanaatimizce CNP işlemlere ilişkin güvenlik risklerini minimuma indirmiş olup ayrıca kullanıcıdan rıza talep edilmesi uygulamada bahsedilen sorunlara yol açabilecektir.
MADDE 15 – (1) Üye işyeri anlaşması yapan kuruluş, üye işyerleri ile yaptığı sözleşmelerde, sunulan ödeme hizmetlerinin taşıdığı riskler çerçevesinde; a) Üye işyerlerinin kart ve kart hamili ile ilgili bilgilerin gizliliğinin sağlanması için uygulaması gereken asgari güvenlik kontrollerine, b) Üye işyerlerinin, hassas kart verisini, hiçbir nedenle saklamayacağına, kopyalamayacağına, açıklamayacağına ve üye işyeri anlaşması yapan kuruluş ile bu kuruluşun yetkilendirdiği dış hizmet sağlayıcıları dışında herhangi bir yere göndermeyeceğine, c) Üye işyerinin, kart hamili bilgisini ancak kart hamilinin rızası alınması neticesinde paylaşabileceğine,
MADDE 15 – (1) Üye işyeri anlaşması yapan kuruluş, üye işyerleri ile yaptığı sözleşmelerde, sunulan ödeme hizmetlerinin taşıdığı riskler çerçevesinde; a) Üye işyerlerinin kart ve kart hamili ile ilgili bilgilerin gizliliğinin sağlanması için uygulaması gereken asgari güvenlik kontrollerine, b) Üye işyerlerinin, hassas kart verisini, hiçbir nedenle saklamayacağına, kopyalamayacağına, açıklamayacağına ve üye işyeri anlaşması yapan kuruluş ile bu kuruluşun yetkilendirdiği dış hizmet sağlayıcıları dışında herhangi bir yere göndermeyeceğine, c) Üye işyerinin, kart hamili bilgisini ancak kart hamilinin rızası alınması neticesinde paylaşabileceğine ve saklayabileceğine,
Madde 10 ile ilgili olarak getirilen öneriler kapsamında üye işyerlerinin de kart bilgilerini saklayabilmesi halinde, uyumluluğun sağlanması için bu maddede de değişiklik yapılması gerekmektedir.
MADDE 16 – (1) Üye işyeri anlaşması yapan kuruluş, kart hamilinin kimliğinin dinamik kimlik doğrulama ile doğrulanarak işlem yapılmasına ilişkin altyapı sunar. Üye işyeri anlaşması yapan
MADDE 16 – (1) Üye işyeri anlaşması yapan kuruluş, kart hamilinin kimliğinin dinamik kimlik doğrulama ile doğrulanarak işlem yapılmasına ilişkin altyapı sunar. Üye işyeri anlaşması yapan
Madde 9 ile ilgili olarak getirilen öneriler kapsamında uyumluluğun sağlanması için bu maddede de değişiklik yapılması gerekmektedir.
kuruluş, sunduğu altyapı üzerinde, yurt içinde kurulu bir kart çıkaran kuruluş tarafından çıkarılmış bir kart ile gerçekleştirilen tüm işlemlerde, kart hamilinin kimliğinin dinamik kimlik doğrulama ile doğrulanmasının sağlanmasına yönelik kısıtlamalar yapar.
Çevrimdışı temassız işlemler ve telefon üzerinden gerçekleştirilen ödemeler bu hükmün kapsamı dışındadır.
kuruluş, sunduğu altyapı üzerinde, yurt içinde kurulu bir kart çıkaran kuruluş tarafından çıkarılmış bir kart ile gerçekleştirilen ve Tebliğin 9.
Maddesinde dinamik kimlik doğrulama yapılması zorunlu tutulan tüm işlemlerde, kart hamilinin kimliğinin dinamik kimlik doğrulama ile doğrulanmasının sağlanmasına yönelik kısıtlamalar yapar. Çevrimdışı temassız işlemler ve telefon üzerinden gerçekleştirilen ödemeler bu hükmün kapsamı dışındadır.
Üye işyeri adına hassas kart verisinin saklanması ve kullanılması MADDE 18 – (1) Üye işyeri adına, kart hamilinin talebi halinde, bu Tebliğ hükümlerine uygun olarak, sadece üye işyeri anlaşması yapan kuruluş veya üye işyeri anlaşması yapan kuruluşun dış hizmet sağlayıcısı nezdinde kart verisi saklanabilir. Üye işyeri, kart hamilinin talebini, kanıtlanabilir bir şekilde, yazılı veya elektronik olarak alır ve inkâr edilemezliği
Üye işyeri adına hassas kart verisinin saklanması ve kullanılması MADDE 18 – (1) Üye işyeri adına, Kart hamilinin talebi halinde, bu Tebliğ hükümlerine uygun olarak, sadece üye işyeri anlaşması yapan kuruluş, veya üye işyeri anlaşması yapan kuruluşun dış hizmet sağlayıcısı veya üye işyeri nezdinde kart verisi saklanabilir.
Üye işyeri, kart hamilinin talebini, kanıtlanabilir bir şekilde, yazılı veya elektronik olarak alır ve
Madde 10 ile ilgili olarak getirilen öneriler kapsamında üye işyerlerinin de kart bilgilerini saklayabilmesi halinde, uyumluluğun sağlanması için bu maddede de değişiklik yapılması gerekmektedir.
sağlar. (2) Kart verisini saklayan kuruluş, adına kart verisi saklanan üye işyeri tarafından saklanmak üzere, kart numarasını, kart hamilini ve üye işyerini temsil eden, belirli bir ömrü olan, herhangi bir işlemden geçirilerek hassas kart verisine ulaşılması mümkün olmayan ve ele geçirilmesi halinde kart hamili adına sahte işlem yapılamayacak referans kodu üretir. Referans kodunun adına kart verisi saklanan üye işyerine özgü olması ve sadece bu üye işyeri tarafından kart verisini saklayan kuruluşa iletilmesi halinde kart verisinin kullanılabilmesi sağlanır. Kart verisini saklayan kuruluş, referans kodu oluşturulması öncesinde ve referans kodu ile kart verisinin kullanımı sırasında üye iş yerinin kimliğini doğrular ve erişim kontrolleri tesis eder.
(3) Üye işyeri adına kart verisi saklandığı durumlarda, saklanan hassas kart verisi hiçbir biçimde üye işyerine iletilmez. Saklanan kart verileri, yasalarla açıkça yetkili kılınan merciler
inkâr edilemezliği sağlar. (2) Kart verisinin üye işyeri adına saklanması halinde kart verisini saklayan kuruluş, adına kart verisi saklanan üye işyeri tarafından saklanmak üzere, kart numarasını, kart hamilini ve üye işyerini temsil eden, belirli bir ömrü olan, herhangi bir işlemden geçirilerek hassas kart verisine ulaşılması mümkün olmayan ve ele geçirilmesi halinde kart hamili adına sahte işlem yapılamayacak referans kodu üretir. Referans kodunun adına kart verisi saklanan üye işyerine özgü olması ve sadece bu üye işyeri tarafından kart verisini saklayan kuruluşa iletilmesi halinde kart verisinin kullanılabilmesi sağlanır. Kart verisini saklayan kuruluş, referans kodu oluşturulması öncesinde ve referans kodu ile kart verisinin kullanımı sırasında üye iş yerinin kimliğini doğrular ve erişim kontrolleri tesis eder. (3) Üye işyeri adına kart verisi saklandığı durumlarda, saklanan hassas kart verisi hiçbir biçimde üye işyerine iletilmez.
dışındaki taraflarla paylaşılmaz. (4) Üye işyeri adına saklanan hassas kart verisi iki yıl boyunca ödeme amaçlı kullanılmazsa iki yıllık sürenin dolduğu tarihi takip eden ayın ilk gününde silinir.
Saklanan kart verileri, yasalarla açıkça yetkili kılınan merciler dışındaki taraflarla paylaşılmaz.
(4) Üye işyeri adına Saklanan hassas kart verisi iki yıl boyunca ödeme amaçlı kullanılmazsa iki yıllık sürenin dolduğu tarihi takip eden ayın ilk gününde silinir.
MADDE 19 – (3) CNP işlemlerde, kart verisinin üye işyeri sistemlerine kadar güvenli akışının sağlanmasından ve üye işyerinde hassas kart verisi tutulmadan üye işyeri anlaşması yapan kuruluşa ait olan bir cihaza veya sisteme verilerin aktarılmasından üye işyeri sorumludur. Posta, e‐
posta, SMS gibi güvenli şifreleme içermeyen iletişim kanalları üzerinden gerçekleşecek ödemelerde hassas kart verisi kullanılamaz.
Telefon üzerinden gerçekleşecek işlemlerde hassas kart verisinin gerekmesi halinde, bu veri bir otomatik yanıt sistemine kart hamili tarafından tuşlanır ve güvenli şifreleme ile
MADDE 19 – (3) CNP işlemlerde, kart verisinin üye işyeri sistemlerine kadar güvenli akışının sağlanmasından ve üye işyerinde hassas kart verisi tutulmadan üye işyeri anlaşması yapan kuruluşa ait olan bir cihaza veya sisteme verilerin aktarılmasından üye işyeri sorumludur. Posta, e‐
posta, SMS gibi güvenli şifreleme içermeyen iletişim kanalları üzerinden gerçekleşecek ödemelerde hassas kart verisi kullanılamaz.
Telefon üzerinden gerçekleşecek işlemlerde hassas kart verisinin gerekmesi halinde, bu veri bir otomatik yanıt sistemine kart hamili tarafından tuşlanır ve güvenli şifreleme ile
Madde 10 ile ilgili olarak getirilen öneriler kapsamında üye işyerlerinin de kart bilgilerini saklayabilmesi halinde, uyumluluğun sağlanması için bu maddede de değişiklik yapılması gerekmektedir.
şifrelenmesinin ardından veri sistemsel olarak doğrudan üye işyeri anlaşması yapan kuruluşa aktarılır. (4) Tekrar eden ödemeler için üye işyeri ilk işlem öncesinde, üye işyeri anlaşması yapan kuruluşa tutar bilgisi, ödemenin ne sıklıkla gerçekleşeceği ve ne kadar tekrar edeceği bilgilerini iletir. Sonrasında üye işyeri herhangi bir hassas kart verisi saklamaz ve ödemenin tekrarı için herhangi bir iletimde bulunmaz
şifrelenmesinin ardından veri sistemsel olarak doğrudan üye işyeri anlaşması yapan kuruluşa aktarılır. (4) Tekrar eden ödemeler için üye işyeri ilk işlem öncesinde, üye işyeri anlaşması yapan kuruluşa tutar bilgisi, ödemenin ne sıklıkla gerçekleşeceği ve ne kadar tekrar edeceği bilgilerini iletir. Sonrasında üye işyeri herhangi bir hassas kart verisi saklamaz ve ödemenin tekrarı için herhangi bir iletimde bulunmaz
MADDE 20 – (1) Üye işyeri, şifrelenmiş bile olsa hiçbir biçimde hassas kart verisi saklayamaz, hassas kart verisini kâğıt üzerinde veya elektronik ortamda tutan veya işleyen bir sistem kuramaz.
Hassas kart verisinin, üye işyeri anlaşması yapan kuruluşa veya üye işyeri anlaşması yapan kuruluşa hizmet sunan dış hizmet sağlayıcıya iletilmek üzere, kişilerin kart verilerine müdahalesine müsaade etmeyen bir sistem tarafından güvenli şifreleme ile şifrelenmesi, bu
MADDE 20 – (1) Üye işyeri, şifrelenmiş bile olsa hiçbir biçimde hassas kart verisi saklayamaz, hassas kart verisini kâğıt üzerinde veya elektronik ortamda tutan veya işleyen bir sistem kuramaz.
Hassas kart verisinin, üye işyeri anlaşması yapan kuruluşa veya üye işyeri anlaşması yapan kuruluşa hizmet sunan dış hizmet sağlayıcıya iletilmek üzere, kişilerin kart verilerine müdahalesine müsaade etmeyen bir sistem tarafından güvenli şifreleme ile şifrelenmesi, bu
Madde 10 ile ilgili olarak getirilen öneriler kapsamında üye işyerlerinin de kart bilgilerini saklayabilmesi halinde, uyumluluğun sağlanması için bu maddede de değişiklik yapılması gerekmektedir.
maddenin uygulanmasında verinin işlenmesi kapsamında değerlendirilmez. (2) Üye işyeri, işi gereği kart verisine ihtiyaç duyması halinde, hassas kart verisi haricinde kalan kart verisinden ihtiyaç duyulan minimum veri setine karşılık gelen bölümünü, bu veri setinin yetkisiz kişilerce ele geçirilmesi durumunda gizlilik ihlâline veya haksız menfaat sağlanmasına sebebiyet verilmemesi hususları da göz önünde bulundurulmak kaydıyla, ancak anlaşması bulunan tüm üye işyeri anlaşması yapan kuruluşlar ile yapılacak sözleşmeler çerçevesinde saklayabilir ve işleyebilir. Bunun haricinde üye işyeri herhangi bir kart verisini saklayamaz ve işleyemez. CP işlemler için veri aktarımı, POI’nin dış bağlantı ara yüzleri üzerinden, üye işyeri anlaşması yapan kuruluş ile üye işyeri arasında belirlenecek formatta ve şekilde yapılır. (3) Üye işyeri, sadece gerçekleşmekte olan ödemenin tamamlanması, teslimat, değiştirme ve iade gibi
maddenin uygulanmasında verinin işlenmesi kapsamında değerlendirilmez. (2) Üye işyeri, işi gereği kart verisine ihtiyaç duyması halinde, hassas kart verisi haricinde kalan kart verisinden ihtiyaç duyulan minimum veri setine karşılık gelen bölümünü, bu veri setinin yetkisiz kişilerce ele geçirilmesi durumunda gizlilik ihlâline veya haksız menfaat sağlanmasına sebebiyet verilmemesi hususları da göz önünde bulundurulmak kaydıyla, ancak anlaşması bulunan tüm üye işyeri anlaşması yapan kuruluşlar ile yapılacak sözleşmeler çerçevesinde saklayabilir ve işleyebilir. Bunun haricinde üye işyeri herhangi bir kart verisini saklayamaz ve işleyemez. CP işlemler için veri aktarımı, POI’nin dış bağlantı ara yüzleri üzerinden, üye işyeri anlaşması yapan kuruluş ile üye işyeri arasında belirlenecek formatta ve şekilde yapılır. (3) Üye işyeri, sadece gerçekleşmekte olan ödemenin tamamlanması, teslimat, değiştirme ve iade gibi
işlemler için kart hamili bilgisi talep edebilir.
Bunun haricinde, kart hamilinden bilgi talep edemez ve kart hamili bilgisi saklayamaz. Kart hamili, kişisel bilgilerinin toplanmasını veya paylaşılmasını mal veya hizmet alımının bir koşulu olarak kabul etmeye zorlanamaz. Üye işyeri tarafından kart hamiline, mal veya hizmet satışından bağımsız olarak kişisel bilgilerinin kullanılmasına izin verme seçeneği sunulabilir. Bu hususta, kart hamiliyle üye işyeri arasında kişisel bilgilerin toplanması hususunda yapılacak sözleşme satış sözleşmesiyle birleştirilemez
işlemler için kart hamili bilgisi talep edebilir.
Bunun haricinde, kart hamilinden bilgi talep edemez ve kart hamili bilgisi saklayamaz. Kart hamili, kişisel bilgilerinin toplanmasını veya paylaşılmasını mal veya hizmet alımının bir koşulu olarak kabul etmeye zorlanamaz. Üye işyeri tarafından kart hamiline, mal veya hizmet satışından bağımsız olarak kişisel bilgilerinin kullanılmasına izin verme seçeneği sunulabilir. Bu hususta, kart hamiliyle üye işyeri arasında kişisel bilgilerin toplanması hususunda yapılacak sözleşme satış sözleşmesiyle birleştirilemez
GEÇİCİ MADDE 1 – (2) Kart çıkaran kuruluşlar, kart hamillerinin mevcut kartlarının bu Tebliğin 12 nci maddesinin yedinci fıkrasında yer verilen hükümlere uyumluluğunu sağlamak üzere, Tebliğ yürürlük tarihinden itibaren, son bir yıl içerisinde en az bir kez CNP ödemelerde kullanılmış kartların CNP ödemelerde kullanımına, son iki yıl
GEÇİCİ MADDE 1 – (2) Kart çıkaran kuruluşlar, kart hamillerinin mevcut kartlarının bu Tebliğin 12 nci maddesinin yedinci fıkrasında yer verilen hükümlere uyumluluğunu sağlamak üzere, Tebliğ yürürlük tarihinden itibaren, son bir yıl içerisinde en az bir kez CNP ödemelerde kullanılmış kartların CNP ödemelerde kullanımına, son iki yıl
Bilindiği üzere kart kullanımı, elektronik ticarette en çok tercih edilen yöntemlerden biridir. Kart kullanımına ilişkin olarak geri dönük bu şekilde bir talep bulunulması, pek çok kartı kullanılamaz hale getirecektir. Kartların kullanıma açılması için gereken en süreçler ise tüm kullanıcılar tarafından yerine getirilemeyecek, kart kullanımlarındaki bu
içerisinde en az bir kez yurtdışında kullanılmış kartların da yurtdışında kullanımına ilişkin kart hamili onayı alınmış sayılır. Kart çıkaran kuruluş, bu kapsama girmeyen kartları CNP ödemelerde ve/veya yurtdışında kullanıma kapatır ve kart hamillerini bilgilendirir.
içerisinde en az bir kez yurtdışında kullanılmış kartların da yurtdışında kullanımına ilişkin kart hamili onayı alınmış sayılır. Kart çıkaran kuruluş, bu kapsama girmeyen kartları CNP ödemelerde ve/veya yurtdışında kullanıma kapatır ve kart hamillerini bilgilendirir.
düşüş ise elektronik ticaretin gelişimine önemli zararlar verecektir.
