İlgili rehberler: Bankacılık çözümü için /cozumler/bankacilik/ · Fintech çözümü için /cozumler/fintech/ · BDDK ceza rehberi için BDDK İdari Para Cezaları Rehberi · BDDK genel çerçeve için BDDK Nedir.

BDDK Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik, Türkiye'deki banka ve fintech sektörünün BT uyum çerçevesidir. Bir kredi kartı işleminin nasıl tarandığından, bir penetrasyon testinin ne sıklıkla yapılacağına, cloud provider seçimine ve siber güvenlik olayı müdahale süresine kadar pek çok teknik kararı yöneten kuralları içerir.

Bu rehber, bir BT yöneticisi, CISO, uyum sorumlusu veya kurumsal mimar için yönetmeliğin operasyonel boyutunu anlatır: siber güvenlik standartları, üçüncü taraf risk yönetimi, olay müdahale, dış kaynak kullanımı, iş sürekliliği. Yönetmelik düzenli güncellendiğinden bu rehber 2026 cari sürüm üzerinden hazırlanmıştır.


1. Yönetmelik Kapsamı ve Hukuki Çerçeve

BDDK Bilgi Sistemleri Yönetmeliği, 5411 sayılı Bankacılık Kanunu Madde 93 ve devamı hükümleri kapsamında çıkarılmıştır. Yönetmelik:

  • Bankalar (mevduat, katılım, kalkınma, yatırım)
  • Ödeme kuruluşları (PSP) ve elektronik para kuruluşları (EPK)
  • Finansman şirketleri (leasing, faktoring, finansman)
  • Lisanslı fintech (dijital bankalar, açık bankacılık API sağlayıcıları, robo-advisor platformları)

için bilgi teknolojileri yönetişimi, siber güvenlik, üçüncü taraf risk yönetimi, olay müdahale, iş sürekliliği ve elektronik bankacılık hizmetlerinin teknik standartlarını belirler.

Yönetmeliğin İlişkili Olduğu Diğer Düzenlemeler

  • MASAK mevzuatı — AML/CFT izleme sistemleri için ek teknik gereksinimler (MASAK STR Rehberi)
  • KVKK — kişisel veri güvenliği için Madde 12 paralel yükümlülükler
  • TCMB — ödeme sistemleri lisansı ve teknik standartları
  • SPK — yatırım hizmetleri verilen ürünlerde paralel BT gereklilikleri
  • EBA RTS / PSD2 (uluslararası faaliyet için) — açık bankacılık standartları paralelliği

2. BT Yönetişimi — Üst Çerçeve

Yönetmelik, BT'yi bir teknik konu değil kurumsal yönetişim meselesi olarak ele alır. Üst düzey bekleyişler:

2.1 Yönetim Kurulu Sorumluluğu

BT stratejisi, BT yatırım politikası ve BT risk iştahı Yönetim Kurulu seviyesinde onaylanır. Yönetim Kurulu en az yılda bir kez BT risk raporunu inceler.

2.2 CIO ve CISO Bağımsızlığı

  • CIO (Chief Information Officer): BT operasyonlarından sorumlu
  • CISO (Chief Information Security Officer): Bilgi güvenliğinden sorumlu, CIO'dan bağımsız raporlama hattı önerilir

İşletme ile güvenlik arasındaki çıkar çatışmasını azaltmak için CISO'nun Yönetim Kurulu'na veya İç Denetim'e doğrudan rapor verebilmesi standarttır.

2.3 BT Komitesi

Üst düzey BT kararları için kurumsal komite. Tipik üyeleri: CEO, COO, CIO, CISO, İç Denetim temsilcisi, Uyum Görevlisi. Aylık toplantı + olay bazlı çağrı.

2.4 Politika Hiyerarşisi

  • BT Yönetişimi Politikası (üst çerçeve)
  • Bilgi Güvenliği Politikası
  • Üçüncü Taraf Risk Yönetimi Politikası
  • Olay Müdahale Politikası
  • İş Sürekliliği Politikası
  • Veri Sınıflandırma Politikası
  • Kimlik ve Erişim Yönetimi (IAM) Politikası

Tüm politikalar yıllık gözden geçirme ve onay süreci ister.


3. Siber Güvenlik Standartları

3.1 Penetrasyon Testi

  • Asgari yıllık bir kez dış penetrasyon testi
  • Bağımsız üçüncü taraf tarafından yapılmalı
  • Test öncesi kapsam (scope) belgelenmeli — internet'e açık sistemler, mobil uygulamalar, açık bankacılık API'leri, çağrı merkezi sistemleri
  • Bulgular CVSS skorlaması ile sınıflandırılır (Critical / High / Medium / Low)
  • Critical ve High düzey bulgular için düzeltici aksiyon takvimi
  • Rapor ve düzeltici aksiyon kayıtları 5 yıl arşiv

3.2 Zafiyet Yönetimi (Vulnerability Management)

  • Aylık otomatik tarama
  • CVSS skorlamasına göre patch süreleri: Critical 7 gün, High 30 gün, Medium 90 gün
  • 0-day zafiyetler için acil müdahale prosedürü

3.3 Kimlik ve Erişim Yönetimi (IAM)

  • Çok faktörlü kimlik doğrulama (MFA) — kritik sistemler için zorunlu
  • En az ayrıcalık (least privilege) prensibi
  • Ayrıcalıklı erişim yönetimi (PAM) — admin hesaplar için ek katman
  • Çeyreklik erişim yetki gözden geçirmesi (access review)
  • Çalışan ayrıldığında erişim sonlandırma SLA: 24 saat

3.4 Şifreleme Standartları

  • Veri yolda: TLS 1.2+ (TLS 1.3 önerilir)
  • Veri durağan: AES-256
  • Kritik anahtarlar HSM (Hardware Security Module) içinde saklanır
  • Anahtar rotasyonu yıllık veya olay bazlı

3.5 Log Toplama ve İzleme

  • Tüm kritik sistemlerden log toplama
  • SIEM (Security Information and Event Management) altyapısı
  • Logların saklama süresi: en az 1 yıl, kritik loglar için 5-8 yıl
  • 7/24 SOC (Security Operations Center) — kendi içinde veya outsource

3.6 Veri Sınıflandırma

Verilerin hassasiyet sınıflarına ayrılması: Genel, İç Kullanım, Gizli, Kritik Gizli. Her sınıf için saklama, taşıma, paylaşım kuralları.


4. Üçüncü Taraf Risk Yönetimi

Modern banka ve fintech, BT yığınının önemli bir kısmını dış sağlayıcılardan (cloud, SaaS, dış kaynak BT) sağlar. Yönetmelik bu ilişkiyi sıkı düzenler.

4.1 Due Diligence — Sözleşme Öncesi

Sağlayıcı seçiminden önce değerlendirme:

  • Güvenlik sertifikaları: ISO 27001, SOC 2 Type II, PCI-DSS (uygulanabilirse)
  • Finansal sağlık: Sağlayıcının iflas/operasyonel risk değerlendirmesi
  • Operasyonel kabiliyet: Geçmiş olay kaydı, SLA performansı
  • Coğrafi varlık: Veri merkezleri, çalışan dağılımı, yerel mevzuata uyum
  • Üçüncü taraf zincirleri: Sağlayıcının kendi alt-sağlayıcıları (4. taraf risk)

4.2 Sözleşmesel Yükümlülükler

Kritik BT hizmet sözleşmeleri içermeli:

  • Veri erişimi: Verinin sahipliği, erişim hakkı, taşıma hakları
  • Denetim hakkı: Hem yükümlü kuruluşun hem BDDK'nın denetim erişimi
  • Olay bildirim süresi: Sağlayıcının yaşadığı olayları yükümlüye bildirme süresi (örn. 24 saat)
  • SLA: Uptime, response time, escalation
  • Çıkış (exit) planı: Sözleşme sonlandığında veri taşıma süreci ve süresi
  • Veri konumu: Verilerin hangi ülkede tutulduğu, transfer mekanizması
  • Subprocessor onayı: Sağlayıcı yeni alt-sağlayıcı eklerse önceden onay

4.3 Kritik Dış Kaynak ve BDDK Bildirimi

Bazı kritik dış kaynak ilişkileri (örn. core banking outsource, swift kanalı, kart sistemleri) BDDK'ya önceden bilgi verilmesini veya onay alınmasını gerektirebilir. Bu yükümlülük yönetmeliğin güncellenen sürümlerinde detaylandırılır.

4.4 Sürekli İzleme

  • Yıllık sözleşme review
  • Sağlayıcının güvenlik sertifika yenileme takibi
  • Olay raporları takibi
  • Performans KPI'larının periyodik ölçümü

4.5 4. Taraf Risk

Sağlayıcınızın sağlayıcısı (4. taraf) — örneğin SaaS sağlayıcınızın AWS kullanması — risk profilinizin parçasıdır. Sözleşmeye 4. taraf değişikliklerinin bildirim yükümlülüğü yazılması önerilir.


5. Olay Müdahalesi (Incident Response)

Bir siber güvenlik olayı yaşandığında yapılması gerekenler — saatler önemlidir.

5.1 Olay Sınıflandırması ve BDDK Bildirim Süreleri

Olay düzeyi Tipik örnek BDDK bildirim süresi
Kritik Müşteri verisi ihlali, kritik sistem kesintisi (>6 saat), aktif siber saldırı 6 saat
Önemli Sınırlı veri sızıntısı, kritik olmayan sistem kesintisi (1-6 saat), tespit edilmiş malware 24 saat
Orta Kısa süreli erişim kesintisi (<1 saat), tek kullanıcı etkili olay 72 saat

Veri ihlali aynı zamanda KVKK'ya 72 saat içinde bildirilmelidir (Madde 12).

5.2 Olay Müdahale Akışı

  1. Tespit — SOC, otomatik kural, kullanıcı raporu
  2. Sınıflandırma — Olay seviyesi belirleme
  3. Sınırlandırma (Containment) — Olayın yayılmasını durdurma (etkilenen sistemi izole etme, hesabı askıya alma)
  4. Kök neden analizi (Root Cause Analysis) — Olayın nasıl meydana geldiği
  5. Düzeltici aksiyon — Açığı kapatma, sistem geri yükleme
  6. Bildirim — BDDK, KVKK, MASAK (uygulanabilirse), müşteri (gerekirse)
  7. Hizmet eski haline getirme — Etkilenen müşteri/hizmet süreklilik
  8. Post-mortem — Süreç değerlendirme, politika güncelleme
  9. Dökümantasyon — Olay raporu, BDDK'ya sunulacak format

5.3 Olay Tatbikatı (Incident Exercise)

Yıllık en az bir kez gerçek senaryoya yakın tatbikat:

  • Tabletop exercise (masa başı tartışma)
  • Red team / blue team egzersizi
  • Tam ölçekli simülasyon (kritik sistemler)

Tatbikat sonuçları BCP/DR planlarının iyileştirilmesinde kullanılır.


6. İş Sürekliliği ve Felaket Kurtarma (BCP/DR)

6.1 Kritiklik Analizi

Tüm iş süreçleri sınıflandırılır:

  • Tier 1 — Kritik: 1 saat içinde geri dönüş (RTO), 5 dakika veri kaybı (RPO). Örnek: kart yetkilendirme, mevduat işlemleri.
  • Tier 2 — Yüksek: 4 saat RTO, 1 saat RPO. Örnek: internet bankacılığı, çağrı merkezi.
  • Tier 3 — Orta: 24 saat RTO, 4 saat RPO. Örnek: dahili raporlama, e-posta.
  • Tier 4 — Düşük: 72+ saat RTO. Örnek: marketing araçları, eğitim platformları.

6.2 Felaket Kurtarma Sitesi

  • Aktif-Aktif: İki site eş zamanlı çalışır, otomatik failover
  • Aktif-Pasif: Birincil site arıza yaparsa ikincil siteye geçiş (saatler/dakikalar)
  • Cold standby: İkincil siteyi olay sonrası ayağa kaldırma (saatler/günler)

Yönetmelik kritik sistemler için en az aktif-pasif mimari bekler.

6.3 Yedekleme Stratejisi

  • 3-2-1 kuralı: 3 kopya, 2 farklı medyum, 1 off-site
  • Günlük artımlı, haftalık tam yedekleme
  • Aylık restore tatbikatı
  • Yıllık tam felaket kurtarma tatbikatı

6.4 Müşteri İletişim Planı

Kesinti durumunda:

  • İlk 30 dakika: SMS/push bildirim
  • 1 saat: web sitesi banner + sosyal medya
  • 3 saat: e-posta detaylı bildirim
  • Sonrası: günlük güncellemeler ve post-mortem

7. Elektronik Bankacılık Hizmetleri

Yönetmelik elektronik bankacılık (internet bankacılığı, mobil bankacılık, ATM, çağrı merkezi, açık bankacılık API) için ek standartlar belirler.

7.1 Kimlik Doğrulama

  • Güçlü müşteri kimlik doğrulama (SCA) — bilgi (parola), sahip olunan (telefon), olunan (biyometrik) faktörlerden en az iki
  • Yüksek riskli işlemler için ek doğrulama (3DS, OTP, biyometrik)
  • Şüpheli aktivitelerde adaptif doğrulama

7.2 İşlem İzleme

  • Gerçek zamanlı dolandırıcılık tespit sistemi
  • Müşteri davranış profili (behavioral biometrics)
  • Anomali tespiti ve otomatik askıya alma

7.3 Müşteri Bilgilendirme

  • Her işlemden sonra anlık bildirim (SMS/push/e-posta)
  • Aylık hesap özeti
  • Anormallik durumunda hızlı müşteri kanal erişimi

7.4 Açık Bankacılık API (Open Banking)

  • PSD2 paralelliğinde TR uygulaması
  • Üçüncü taraf sağlayıcılara (AISP, PISP) güvenli erişim
  • API güvenliği: OAuth 2.0, mTLS, rate limiting

8. BDDK İç Denetim Hazırlığı

Yıllık BDDK denetimi için 6 haftalık hazırlık planı:

Hafta 1-2: Politika ve Doküman Tarama

  • Tüm BT politikaları güncel mi, son onay tarihi 12 ay içinde mi
  • Politika değişiklik tarihçesi belgelenmiş mi
  • Yönetim Kurulu onayları kayıt altında mı

Hafta 3-4: Kanıt Zinciri

  • Penetrasyon testi raporları + düzeltici aksiyon takibi
  • Zafiyet yönetimi metrikleri
  • Olay müdahale kayıtları (son 12 ay)
  • Eğitim katılım kayıtları
  • Üçüncü taraf sözleşme review kayıtları
  • BCP/DR tatbikat sonuçları

Hafta 5: İç Mock Denetim

  • İç denetim ekibi BDDK denetimini simüle eder
  • Bulgular toplanır, hızlı düzeltici aksiyon
  • Olası soru-cevap senaryoları hazırlanır

Hafta 6: Yönetim Sunumu

  • Yönetim Kurulu'na BT risk durumu raporu
  • BDDK denetiminde sunulacak yönetici özeti hazırlık
  • Denetim ekibi protokolü (kim, ne zaman, hangi belgeyi sunacak)

Denetim Sırasında

  • Denetçi sorularına spesifik, kanıta dayalı yanıt
  • Belirsizliklerde "yedi gün içinde belge ileteceğim" gibi taahhüt
  • Her belge ve görüşme kayıt altında

9. 2026 Cari Cezalar ve Risk

5411 sayılı Bankacılık Kanunu Madde 146-148 kapsamında BDDK idari para cezaları 2026 yeniden değerleme oranı (%25,49) ile güncellenmiştir. Bilgi sistemleri ihlalleri için tipik bantlar:

  • Yönetim/yönetişim eksikliği: Yüzbinlerce TL'den milyonlarca TL'ye
  • Veri güvenliği ihlali: Yüksek bantta, KVKK ile birleşince kümülatif
  • Sızma testi yapmama veya geç bildirim: Orta-yüksek bant
  • Üçüncü taraf risk yönetimi ihlali: Orta bant
  • Olay bildirim süresinin aşılması: Orta-yüksek bant
  • Tekrar eden ihlaller: Üst bant + lisans değerlendirmesi

En ağır yaptırım: faaliyet izninin kısıtlanması veya iptali (Madde 70-71). Bu yaptırım sistematik ve süregelen ihmal durumunda gündeme gelir.

Detaylı ceza tablosu için: BDDK İdari Para Cezaları Rehberi


10. Sıkça Sorulan Sorular

Küçük bir fintech için tam uygulama gerçekçi mi? Yönetmelik orantılılık (proportionality) prensibini benimser. Küçük bir ödeme kuruluşu, büyük bir mevduat bankası ile aynı detayda uyum yapmaz. Ancak temel gereksinimler (CISO, BT yönetişimi, penetrasyon testi, BCP/DR) ölçek bakılmaksızın geçerlidir. Pratik öneri: ilk 12 ayda temel çerçeveyi kurun, sonraki yıllarda iyileştirin.

Açık kaynak yazılım kullanmak yönetmeliğe aykırı mı? Hayır. Yönetmelik teknoloji-bağımsızdır. Açık kaynak kullanımı ek due diligence gerektirir: kütüphane güvenlik takibi (SCA — Software Composition Analysis), supply chain saldırı önleme (SBOM kullanımı), düzenli güncelleme. Ticari yazılım kullanımında olduğu gibi risk değerlendirilir.

Mobil uygulama testleri ne kapsar? Sızma testi mobil uygulamaları (iOS + Android) içermeli: binary analiz, reverse engineering direnci, API güvenliği, lokal veri depolama güvenliği, jailbreak/root tespiti, sertifika pinning. OWASP MASVS / MASTG referans alınabilir.

Bulut tabanlı bir KYC sağlayıcısı kullanıyorum, ek yükümlülük var mı? Evet. KYC sağlayıcısı kritik üçüncü tarafdır: due diligence, sözleşme (denetim hakkı + veri erişimi + olay bildirim süresi), sürekli izleme. KYC sağlayıcısının veri merkezi konumu ve veri transferi mekanizması KVKK Madde 9 yurt dışı transfer kuralları açısından incelenmelidir.

MASAK ve KVKK ile BDDK arasında çelişen kural var mı? Genelde tamamlayıcıdırlar. Çelişen yorum riski olan alanlar: müşteri verisi saklama süresi (BDDK 10 yıl, KVKK işleme amacı ile sınırlı), şube/temas noktası kayıtları, yurt dışı transfer kuralları. Çelişki durumunda en katı kural uygulanır. Hukuk müşaviri ile koordinasyon önerilir.


11. Operasyonel Yol Haritası

BDDK Bilgi Sistemleri Yönetmeliği uyumunu sürdürülebilir bir programa çevirmek için:

Aşama Süre Çıktı
Mevcut durum analizi 4-6 hafta Gap analizi, risk haritası
Politika güncellemeleri 6-12 hafta 7+ temel politika onayı
Teknik kontroller 12-24 hafta Pen test, IAM revizyon, log altyapısı
Üçüncü taraf review 8-12 hafta Sözleşme güncellemeleri, due diligence
BCP/DR tatbikat 4-8 hafta Tatbikat raporu, plan iyileştirme
BDDK denetim hazırlık 6 hafta Kanıt zinciri, mock denetim
Sürekli izleme Devamlı Aylık metrikler, çeyreklik gözden geçirme

Bankacılık Çözümü → · Fintech Çözümü → · BDDK Ceza Rehberi →