Topluluk Bulut Hizmeti Sunan Dış Hizmet Sağlayıcılara İlişkin Süreçler
Temmuz 2022 tarihinde Türkiye Cumhuriyeti Merkez Bankası (TCMB) tarafından Ödeme ve Elektronik Para Kuruluşlarına Topluluk Bulutu Hizmeti Sunan Dış Hizmet Sağlayıcılara İlişkin Rehber (Rehber) yayınlandı. Rehber içerisinde topluluk bulutu hizmeti verecek dış hizmet sağlayıcıların uyması gereken kurallar ve TCMB tarafından verilecek uygunluk için izlenmesi gereken adımlar tanımlandı.
Topluluk Bulutu
1 Aralık 2021 tarih ve 31676 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri ile Ödeme Hizmeti Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğ’in (Tebliğ) 16’ncı maddesinin yedinci fıkrasında: Kuruluş’ların hassas müşteri verilerini, rekabete duyarlı verileri, kişisel verileri veya müşteriyle ilintilendirilebilir ve onu belirli ya da belirlenebilir kılan her türlü bilgiyi işleyecek, saklayacak ve iletecek şekilde bulut bilişim hizmetinin alınması, bu dış hizmetin ancak sadece kuruluşa tahsis edilmiş donanım ve yazılım kaynakları üzerinden sunulduğu özel bulut hizmet modeli ile alınması halinde mümkün olduğu belirtilmektedir. Ayrıca ilgili hizmetin Merkez Bankası tarafından uygun görülen dış hizmet sağlayıcılar tarafından sunulması durumunda, Kuruluş’un rehberde belirtilen kuruluşlarla sınırlı olmak kaydıyla, donanım ve yazılım kaynaklarının fiziksel olarak paylaşıldığı ancak mantıksal olarak her ödeme hizmeti sağlayıcısına özgü ayrı kaynağın atandığı topluluk bulutu hizmet modeli ile dış hizmet alabilir hükmü yer almaktadır.
Uygunluk Şartları, Uygunluk Başvurusu, Uygunluk Değerlendirme, Uygunluk Gözetimi
Yayınlanan Rehber içerisinde, topluluk bulutu hizmeti verecek dış hizmet sağlayıcıların TCMB’den uygunluk alabilmesi için yerine getirmeleri gereken şartlar ile başvuru, değerlendirme ve gözetim süreçlerine ilişkin alınması gereken aksiyonlar dört ana başlık altında detaylandırılmaktadır: Rehber içerisinde yer alan «Uygunluk Şartları» başlığındaki organizasyon, teknik, altyapı, ve denetim yükümlülüklerini yerine getiren dış hizmet sağlayıcıların, «Uygunluk Başvurusu» başlığı altında yer alan bilgi ve belgeler ile birlikte TCMB’ye yazılı olarak başvuru yapmaları beklenmektedir. İletilen bilgi ve belgelerin eksiksiz olması durumunda TCMB tarafından «Uygunluk Değerlendirme» başlığı altında yer alan değerlendirme süreci başlatılacaktır. TCMB tarafından topluluk bulut hizmeti vermesi uygun bulunan dış hizmet sağlayıcılara uygunluk verilmesinin ardından, hizmet sağlayıcının yerine getirmekle yükümlü olduğu hususlar ise «Uygunluk Gözetimi» başlığı altında detaylı olarak tanımlanmaktadır.
İstenen Sertifikalar ve CYBER4 Danışmanlığı
4. Aşağıda belirtilen ve geçerliliği devam eden sertifikalara sahip olması:
a. Birincil merkeze ait Kullanılabilirlik Sınıfı, Koruma Sınıfı ve Enerji Ayrıntı Seviyesi en az 3 olan TSE TS
EN 50600 veri merkezi operasyon belgesi bulunması, ikincil merkeze ait Kullanılabilirlik Sınıfı, Koruma
Sınıfı ve Enerji Ayrıntı Seviyesi en az 3 olan TSE TS EN 50600 veri merkezi operasyon belgesi yoksa bu
sertifikaları karşılayacak gereksinimleri sağlamış olması,
b. IAF üyesi bir akreditasyon kuruluşu tarafından akredite edilmiş olan belgelendirme kuruluşlarından
alınmış TS ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi sertifikası ve IQNET sertifikası,
c. IAF üyesi bir akreditasyon kuruluşu tarafından akredite edilmiş olan belgelendirme kuruluşlarından
alınmış TS EN ISO 22301 İş Sürekliliği Yönetimi sertifikası ve IQNET sertifikası,
d. IAF üyesi bir akreditasyon kuruluşu tarafından akredite edilmiş olan belgelendirme kuruluşlarından
alınmış TS ISO/IEC 20000-1 Bilgi Teknolojisi Hizmet Yönetim Sistemi sertifikası ve IQNET sertifikası,
e. IAF üyesi bir akreditasyon kuruluşu tarafından akredite edilmiş olan belgelendirme kuruluşlarından
alınmış TS ISO/IEC 27017 Bulut Hizmetlerinde Bilgi Güvenliği Yönetim Sistemi sertifikası,
f. IAF üyesi bir akreditasyon kuruluşu tarafından akredite edilmiş olan belgelendirme kuruluşlarından
alınmış TS ISO/IEC 27701 Kişisel Verilerin Yönetim Sistemi sertifikası ve IQNET sertifikası
5. Bilgi sistemlerinin, bilgi güvenliği gereklerinin yerine getirilmesi hususunda herhangi bir görevi
bulunmayan ve sızma testi konusunda ulusal veya uluslararası belgeye sahip gerçek veya tüzel kişiler
tarafından, gerçekleşebilecek iç ve dış tehditleri kapsayan senaryolar doğrultusunda ve Tebliğ eklerinden
“Ek-5: Bilgi Sistemleri Sızma Testleri Usul ve Esasları”na uygun olarak başvurunun yapıldığı tarih itibarıyla
geçmiş bir yıl içerisinde sızma testi gerçekleştirilmiş olması, tespit edilen öncelikli bulguların giderilmiş
olması,
Bu çerçevede Cyber4 olarak verdiğimiz hizmetler aşağıda yer almakta…
Mevcut Durum Analizi
Kuruluşunuzun Rehber’de tanımlanmış olan Uygunluk Şartları’nı sağlayıp, sağlamadığına ilişkin bir analiz yapılarak, eksikliklere ilişkin rapor ve yol haritası hazırlanması
İyileştirme Çalışmaları
Mevcut durum analiz çalışmaları sonucunda tespit edilen eksikliklerin giderilmesi sürecinde yönlendirme ve regülatif görüş sunulması. Eksikliklerin giderilmesiyle birlikte, oluşturulacak başvuru dosyasına ilişkin destek ve yönlendirme yapılması. Bilgi sistemlerinin sorunsuz şekilde işlemesini tehlikeye sokabilecek, üçüncü taraflara bağımlılıklar da dâhil olmak üzere, tüm risklerin tespit edilmesini, ölçülmesini, izlenmesini ve etkin bir şekilde yönetilmesini sağlamak amacıyla uygulanması gereken önlemlere ilişkin usul ve esaslar ile tesis edilmesi gereken kontrolleri içerir politika, prosedür ve süreç dokümanlarının yazılı olarak oluşturulması ve risk yönetim çerçevesinin hazırlanması.
Güvence Denetimi
Topluluk Bulutu Hizmeti süreçlerinin tasarımı ile donanım ve yazılım kaynaklarının fiziksel olarak paylaşıldığı ancak mantıksal olarak her ödeme hizmeti sağlayıcısına özgü ayrı kaynağın atandığı topluluk bulutu hizmeti kontrol noktalarının güvence denetiminin gerçekleştirilmesi ve güvence raporunun hazırlanması