Tebliğler - Sayı: 39081

– (1) Bu Tebliğin amacı, ödeme kuruluşları ve el

Bu Tebliğin amacı, ödeme kuruluşları ve el

– (1) Bu Tebliğ, 20/6/2013 tarihli ve 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve El

Bu Tebliğ, 20/6/2013 tarihli ve 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve El

– (1) Bu Tebliğde yer alan; a) Açık rıza: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 3 üncü

Bu Tebliğde yer alan; a) Açık rıza: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 3 üncü

Açık rıza: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 3 üncü

– (1) Kuruluş, bilgi sistemlerine ilişkin faaliyetlerini yürütürken işleyişinden sorumlu olduğu hizmetin kesintisiz, güvenli, etkin ve verimli bir ş

Kuruluş, bilgi sistemlerine ilişkin faaliyetlerini yürütürken işleyişinden sorumlu olduğu hizmetin kesintisiz, güvenli, etkin ve verimli bir ş

– (1) Kuruluş, bilgi sistemlerinin sorunsuz ş

Kuruluş, bilgi sistemlerinin sorunsuz ş

– (1) Kuruluş, tanımlanan hizmet seviyeleri çerçevesinde bilgi sistemlerinin işleyişinin güvenilirliğine, dayanıklılığına ve sür

Kuruluş, tanımlanan hizmet seviyeleri çerçevesinde bilgi sistemlerinin işleyişinin güvenilirliğine, dayanıklılığına ve sür

– (1) Kuruluş, önceden belirlenmiş prosedürler çerçevesinde müşteri şikâyetlerini de kapsayacak ş

Kuruluş, önceden belirlenmiş prosedürler çerçevesinde müşteri şikâyetlerini de kapsayacak ş

– (1) Kuruluş, genel kabul görmüş ilgili uluslararası standartları ve en iyi uygulama örn

Kuruluş, genel kabul görmüş ilgili uluslararası standartları ve en iyi uygulama örn

– (1) Kuruluş, faaliyetlerinin yürütülmesi sırasında edindiği ve bilgi sistemleri aracılığıyla işlediği, ilettiği veya sakladığı hassas müşteri verileri ve müşteri bilgilerinin gizliliğini ve güvenliğini sağlamaya ve kuruluş dışına sızmasını önlemeye yönelik politika ve prosedürleri yazılı olarak oluşturur ve bu amaçla ger

Kuruluş, faaliyetlerinin yürütülmesi sırasında edindiği ve bilgi sistemleri aracılığıyla işlediği, ilettiği veya sakladığı hassas müşteri verileri ve müşteri bilgilerinin gizliliğini ve güvenliğini sağlamaya ve kuruluş dışına sızmasını önlemeye yönelik politika ve prosedürleri yazılı olarak oluşturur ve bu amaçla ger

– (1) Kuruluş, bilgi sistemlerinde gerç

Kuruluş, bilgi sistemlerinde gerç

– (1) Kuruluş, personelin sisteme dâhil olan ağlara, alt sistemlere, uygulamalara, verilere ve fiziksel ortamlara erişimine ilişkin yetki ve sınırlandırmaları, personelin görev, yetki, sorumluluk ve ayrıcalıkları kapsamında işin ger

Kuruluş, personelin sisteme dâhil olan ağlara, alt sistemlere, uygulamalara, verilere ve fiziksel ortamlara erişimine ilişkin yetki ve sınırlandırmaları, personelin görev, yetki, sorumluluk ve ayrıcalıkları kapsamında işin ger

– (1) Kuruluş, bilgi güvenliği yönetim çerçevesi ile uyumlu bir ş

Kuruluş, bilgi güvenliği yönetim çerçevesi ile uyumlu bir ş

– (1) Kuruluş, müşteri bilgileri ve bilgi sistemlerine gerç

Kuruluş, müşteri bilgileri ve bilgi sistemlerine gerç

– (1) Kuruluş, Yönetmeliğin 30 uncu

Kuruluş, Yönetmeliğin 30 uncu

– (1) Kuruluş, faaliyetlerinin kesintisiz devam etmesini sağlamak amacıyla ikincil merkez ve sistemleri kurmak ve bunları dönemsel olarak test etm

Kuruluş, faaliyetlerinin kesintisiz devam etmesini sağlamak amacıyla ikincil merkez ve sistemleri kurmak ve bunları dönemsel olarak test etm

– (1) Kuruluş, bu

Kuruluş, bu

– (1) Kuruluş tarafından sunulan hizmetlerden yararlanacak müşteriler; hizmetlere ilişkin şartlar, riskler ve istisnaî durumlarla ilgili olarak açık bir ş

Kuruluş tarafından sunulan hizmetlerden yararlanacak müşteriler; hizmetlere ilişkin şartlar, riskler ve istisnaî durumlarla ilgili olarak açık bir ş

– (1) Kuruluş internet sitesinin kimliğinin doğrulanması ve 23 üncü

Kuruluş internet sitesinin kimliğinin doğrulanması ve 23 üncü

– (1) Kuruluş, saht

Kuruluş, saht

– (1) Kuruluş, işyerleri ve temsilciler ile yapacağı sözleşmelerde; a) Hassas müşteri verilerinin gizliliğinin ve güvenliğinin sağlanması hususunda ger

Kuruluş, işyerleri ve temsilciler ile yapacağı sözleşmelerde; a) Hassas müşteri verilerinin gizliliğinin ve güvenliğinin sağlanması hususunda ger

Hassas müşteri verilerinin gizliliğinin ve güvenliğinin sağlanması hususunda ger

– (1) Kuruluşların birincil ve ikincil sistemleri ile veri yed

Kuruluşların birincil ve ikincil sistemleri ile veri yed

– (Değişik:RG-7/10/2023-32332) (1) Kuruluş, uzaktan iletişim aracı ile yürütülec

Kuruluş, uzaktan iletişim aracı ile yürütülec

– (1) HHS, Yönetmeliğin 4 üncü

HHS, Yönetmeliğin 4 üncü

– (1) HHS, Yönetmeliğin 59 uncu

HHS, Yönetmeliğin 59 uncu

– (1) Veri paylaşım servisinin tarafları, müşteri ile olan bağlantılar da dâhil olmak üzere, uçtan uca güvenli iletişim kurar ve tüm işlemlerin takip edilebilirliğini garanti eder. (2) Müşterinin HBHS ve ÖBHS üzerinden HHS ile kurduğu oturumlar kimlik doğrulamaya dayanır. (3) Her oturum biricik oturum numarası ve zaman damgası içerir. (4) Oturumdaki işlemler işlem numarası, zaman damgası ve ilgili tüm işlem verilerini içerec

Veri paylaşım servisinin tarafları, müşteri ile olan bağlantılar da dâhil olmak üzere, uçtan uca güvenli iletişim kurar ve tüm işlemlerin takip edilebilirliğini garanti eder.

Müşterinin HBHS ve ÖBHS üzerinden HHS ile kurduğu oturumlar kimlik doğrulamaya dayanır.

Her oturum biricik oturum numarası ve zaman damgası içerir.

Oturumdaki işlemler işlem numarası, zaman damgası ve ilgili tüm işlem verilerini içerec

– (1) Hesap bilgisi hizmetinde, müşterinin onayının alınması esnasında HHS tarafından müşteriye 10 uncu

Hesap bilgisi hizmetinde, müşterinin onayının alınması esnasında HHS tarafından müşteriye 10 uncu

– (1) HHS, sunduğu veri paylaşım servislerinin kesintiye uğraması durumunda alacağı önlemleri içerec

HHS, sunduğu veri paylaşım servislerinin kesintiye uğraması durumunda alacağı önlemleri içerec

– (1) Bilgi sistemleri bağımsız denetimi; kuruluşun bu Tebliğ hükümlerine uyum durumunun tespit edilmesi amacıyla, bilgi sistemleri yönetimi kapsamında yer alan süreç, faaliyet, yazılım, donanım gibi bilgi sistemi unsurları ile bu sistem ve süreçler dâhilinde tesis edilen iç kontrollerin bağımsız denetim kuruluşları tarafından değerlendirilmesi sonucunda, söz konusu iç kontrollerin etkinliği, yeterliliği ve uyumluluğu hakkında görüş oluşturulması ve sonuçların rapora bağlanması aşamalarından oluşan süreçtir. (2) Birinci fıkra uyarınca kuruluşun bilgi sistemlerine ilişkin yürütülec

Bilgi sistemleri bağımsız denetimi; kuruluşun bu Tebliğ hükümlerine uyum durumunun tespit edilmesi amacıyla, bilgi sistemleri yönetimi kapsamında yer alan süreç, faaliyet, yazılım, donanım gibi bilgi sistemi unsurları ile bu sistem ve süreçler dâhilinde tesis edilen iç kontrollerin bağımsız denetim kuruluşları tarafından değerlendirilmesi sonucunda, söz konusu iç kontrollerin etkinliği, yeterliliği ve uyumluluğu hakkında görüş oluşturulması ve sonuçların rapora bağlanması aşamalarından oluşan süreçtir.

Birinci fıkra uyarınca kuruluşun bilgi sistemlerine ilişkin yürütülec

– (1) Kuruluş, bu Tebliğ hükümlerinin gereği olarak tesis ettiği iç kontroller hakkında denetim dönemi itibarıyla güvence veren ve yönetim kurulu ve genel müdür tarafından onaylanmış yönetim beyanını her denetim döneminde hazırlamakla yükümlüdür. (2) Bağımsız denetim kuruluşu, denetim görüşünü oluştururken yönetim beyanını ve bu beyana mesnet teşkil eden çalışmaları inceler. Bağımsız denetim kuruluşu, bu inceleme sonucunda beyanda

Kuruluş, bu Tebliğ hükümlerinin gereği olarak tesis ettiği iç kontroller hakkında denetim dönemi itibarıyla güvence veren ve yönetim kurulu ve genel müdür tarafından onaylanmış yönetim beyanını her denetim döneminde hazırlamakla yükümlüdür.

Bağımsız denetim kuruluşu, denetim görüşünü oluştururken yönetim beyanını ve bu beyana mesnet teşkil eden çalışmaları inceler. Bağımsız denetim kuruluşu, bu inceleme sonucunda beyanda

– (1) Bağımsız denetim kuruluşu tarafından kuruluşta gerç

Bağımsız denetim kuruluşu tarafından kuruluşta gerç

– (1) Posta ve Telgraf Teşkilatı Anonim Şirketi sunduğu ödeme hizmetleri ve el

Posta ve Telgraf Teşkilatı Anonim Şirketi sunduğu ödeme hizmetleri ve el

– (1) 27/6/2014 tarihli ve 29043 sayılı Resmî Gazete’de yayımlanan Ödeme Kuruluşları ve El

27/6/2014 tarihli ve 29043 sayılı Resmî Gazete’de yayımlanan Ödeme Kuruluşları ve El

– (1) Bu Tebliğin yürürlüğe girdiği tarih itibarıyla faaliyette bulunan kuruluşlar, bu Tebliğ ile getirilen ve bu Tebliğin 32 nci

Bu Tebliğin yürürlüğe girdiği tarih itibarıyla faaliyette bulunan kuruluşlar, bu Tebliğ ile getirilen ve bu Tebliğin 32 nci

– (1) Bu Tebliğ yayımı tarihinde yürürlüğe girer.

Bu Tebliğ yayımı tarihinde yürürlüğe girer.

– (1) Bu Tebliğ hükümlerini Türkiye Cumhuriyet Merkez Bankası Başkanı yürütür.

Bu Tebliğ hükümlerini Türkiye Cumhuriyet Merkez Bankası Başkanı yürütür.

– (1) Bu Tebliğin yürürlüğe girdiği tarih itibarıyla faaliyette bulunan kuruluşlar, bu Tebliğ ile getirilen ve bu Tebliğin 32 nci

ten kaldırılan tebliğ MADDE 32 – (1) 27/6/2014 tarihli ve 29043 sayılı Resmî Gazete’de yayımlanan Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ yürürlükten kaldırılmıştır. Geçiş hükümleri GEÇİCİ MADDE 1 – (1) Bu Tebliğin yürürlüğe girdiği tarih itibarıyla faaliyette bulunan kuruluşlar, bu Tebliğ ile getirilen ve bu Tebliğin 32 nci maddesi uyarınca yürürlükten kaldırılan Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğde daha önce yer almayan hükümlere, (Değişik ibare:RG-27/6/2023-32234) 30/9/2023 tarihine kadar uyumlu hale gelmekle yükümlüdür. (2) Bu Tebliğin yürürlüğe girdiği tarih itibarıyla nezdinde ödeme hesabı bulunduran ve Banka Ödeme Sistemlerinde 2020 yılı içerisinde gerçekleştirilen hesaba ödeme işlemleri açısından, toplam adedine göre ilk on katılımcı arasında yer alan ödeme hizmeti sağlayıcıları, bu Tebliğin 24 üncü maddesinin birinci fıkrası kapsamında yerine getirmesi gereken yükümlülükleri (Değişik ibare:RG-27/6/2023-32234) 30/9/2023 tarihine kadar yerine getirir. Banka, bu süreyi, her defasında altı ayı aşmamak üzere iki kez uzatmaya yetkilidir. (Değişik üçüncü ve dördüncü cümle:RG-28/3/2025-32855) Bu hükmün yürürlüğe girdiği tarih itibarıyla nezdinde ödeme hesabı bulunduran, Fonların Anlık ve Sürekli Transferi Sistemine katılımcı olan ödeme hizmeti sağlayıcıları, bu Tebliğin 24 üncü maddesinin birinci fıkrası kapsamında yerine getirmesi gereken yükümlülükleri 31/12/2025 tarihine kadar yerine getirir. Bu hükmün yürürlüğe girdiği tarih itibarıyla nezdinde ödeme hesabı bulunduran, Fonların Anlık ve Sürekli Transferi Sistemine katılımcı olmayan ve nezdinde bulunan ödeme hesapları için müşterilerine doğrudan çevrim içi erişim imkanı sağlayan kuruluşlardan 2024 takvim yılı ödeme hacmi bakımından ilk on arasında yer alanlar, bu Tebliğin 24 üncü maddesinin birinci fıkrası kapsamında yerine getirmesi gereken yükümlülükleri 31/12/2025 tarihine kadar, ilerleyen yıllarda ilk on arasında yer alacaklar ise içinde bulunulan yılın sonuna kadar yerine getirir. (Ek cümleler:RG-7/10/2023-32332) Nezdinde ödeme hesabı bulunduran ödeme hizmeti sağlayıcılarının, Kanunun geçici 3 üncü maddesinin üçüncü fıkrası uyarınca Bankaya faaliyet izni başvurusunda bulunmuş olup faaliyet izni değerlendirme süreci devam edenler ile Yönetmeliğin 4 üncü maddesinin birinci fıkrasının (f) ve (g) bentlerinde belirtilen ödeme hizmetlerini sunmak üzere Bankadan izin almış olan kuruluşlara bu Tebliğin 24 üncü maddesinin birinci fıkrası kapsamında teknik gereklilikleri belirlenmiş veri paylaşım servisleri ile ilgili sunduğu hizmetleri, standart olmayan servisleri kullanarak vermesi 30/6/2024 tarihine kadar bu fıkraya aykırılık olarak değerlendirilmez. (3) Bu Tebliğin 23 üncü maddesinin altıncı fıkrası kapsamında teknik gereklilikleri belirlenmiş veri paylaşım servisleri hizmetleri, (Değişik ibare:RG-27/6/2023-32234) 30/9/2023 tarihine kadar standart olmayan servisler kullanılarak da verilmeye devam edilebilir. Banka, bu süreyi, altı ayı aşmamak üzere uzatmaya yetkilidir. (Ek cümle:RG-7/10/2023-32332) Bu fıkranın uygulanmasında aşağıdaki bentlerde yer alan istisnalar saklıdır: a) (Ek:RG-7/10/2023-32332) Kanunun geçici 3 üncü maddesinin üçüncü fıkrası uyarınca Bankaya faaliyet izni başvurusunda bulunmuş olup faaliyet izni değerlendirme süreci devam edenler, bu Tebliğin 24 üncü maddesinin birinci fıkrası kapsamında teknik gereklilikleri belirlenmiş veri paylaşım servisleri hizmetlerini, 30/6/2024 tarihine kadar standart olmayan servisleri kullanarak verebilir. Banka, bu süreyi, altı ayı aşmamak üzere uzatmaya yetkilidir. b) (Ek:RG-7/10/2023-32332) 5411 sayılı Kanun kapsamındaki bankalar ile Yönetmeliğin 4 üncü maddesinin birinci fıkrasının (f) ve (g) bentlerinde belirtilen ödeme hizmetlerini sunmak üzere Bankadan izin almış olan kuruluşlar, Banka Ödeme Sistemlerinde 2020 yılı içerisinde gerçekleştirilen hesaba ödeme işlemleri açısından, toplam adedine göre ilk on katılımcı arasında yer almayan ödeme hizmeti sağlayıcıları nezdinde bulunan ödeme hesapları ile ilgili olarak bu Tebliğin 24 üncü maddesinin birinci fıkrası kapsamında teknik gereklilikleri belirlenmiş veri paylaşım servisleri hizmetlerini 30/6/2024 tarihine kadar standart olmayan servisleri kullanarak verebilir. Banka, bu süreyi, altı ayı aşmamak üzere uzatmaya yetkilidir. (4) Bu Tebliğin 23 üncü maddesinin altıncı fıkrası kapsamında teknik gereklilikleri belirlenmemiş veri paylaşım servisi hizmetleri, gereklilikler belirleninceye kadar standart olmayan servisler kullanılarak verilmeye devam edilir. Banka tarafından teknik ve operasyonel gerekliliklerin belirlenmesinin ardından bu hizmetler için de en geç bir yıl içerisinde uyum sağlanarak, hizmetler söz konusu gerekliliklere uygun olarak yürütülmeye başlanır. Banka, bu süreyi, altı ayı aşmamak üzere uzatmaya yetkilidir. (5) Banka tarafından bu Tebliğin 28 inci maddesinin altıncı fıkrası uyarınca gerekli düzenlemeler yapılıncaya kadar bu Tebliğ uyarınca gerçekleşecek bilgi sistemleri bağımsız denetimi çalışmaları, bu Tebliğin 28 inci maddesinin ikinci fıkrasındaki koşul hariç olmak üzere, (Değişik ibare:RG-7/10/2023-32332) BSİSBDHY ile belirlenen usul ve esaslar çerçevesinde gerçekleştirilir. (Değişik ibare:RG-7/10/2023-32332) BSİSBDHY ile belirlenen usul ve esaslar bu Tebliğ çerçevesinde uygulanırken (Değişik ibare:RG-7/10/2023-32332) BSİSBDHY’de geçen banka ve denetlenen ibareleri kuruluşu, bilgi sistemleri denetimi ibaresi bu Tebliğin 28 inci maddesinin birinci fıkrasında tanımlanan denetimi ifade eder. (6) (Ek:RG-7/10/2023-32332) Kanunun yürürlüğe girdiği tarih itibarıyla, Bankacılık Düzenleme ve Denetleme Kurumu tarafından para havalesi işleminin taraflarından birinin hizmet sağlayıcısının yurt dışında olduğu işlemlerin gerçekleştirilmesi, bunun dışında faaliyette bulunulmaması ve bu faaliyetlerin sadece temsilcilerin gişeleri aracılığıyla yürütülmesi başta olmak üzere çeşitli önkoşullara bağlı olarak Kanunun 12 nci maddesinin birinci fıkrasının (ç) bendinde belirtilen ödeme hizmetinin sunulmasına ilişkin sınırlı şekilde faaliyet izni verilmiş olan kuruluşlar, bu Tebliğin 21 inci maddesi hükümlerine, Bankacılık Düzenleme ve Denetleme Kurumu tarafından faaliyet izni verilirken ortaya konulan önkoşullara uyum sağlamaya devam etmek şartı ile, 30/6/2024 tarihine kadar uyum sağlamakla yükümlüdür. Banka, bu süreyi, her defasında altı ayı aşmamak üzere iki kez uzatmaya yetkilidir. Yürürlük MADDE 33 – (1) Bu Tebliğ yayımı tarihinde yürürlüğe girer.

kte olduğu faaliyetlerin konusu, hacmi, karmaşıklığı ve kapsamı ile uyumlu ve kişisel verilerin güvenliğine yönelik ger