Şubesiz Dijital Bankacılık

Teknolojik gelişmeler, Covid-19'un da etkisiyle birlikte bankacılığı dijital kanallara daha hızlı yönlendiren bir bankacılık anlayışı ortaya çıktı. Giderek yeni ürünler ise mobil öncelikli (mobile-first) olarak geliştiriliyor. Şu anda ve ilerleyen zamanlarda bireysel bankacılığın tamamının, kurumsal bankacılığın ise ürünlerinin çoğu dijitalleşecek.

Ekonomi Reform paketi ile açıklanan 5411 nolu Bankacılık Kanunu ile birlikte yapılacak değişiklik ile birlikte Dijital (Şubesiz) Bankacılık Lisansına (31 Aralık 2021) izin verilecek ve bu alanda faaliyet göstermek isteyen yerli ve yabancı FinTech’lerin bu lisansı almasına imkan sağlanacak. Dijital bankaların fiziksel şube açması mümkün olmayacak ve müşteri şikayetleri için en az bir fiziksel ofis kurmaları gerekiyor.

Tabii bu lisansın bazı ön koşulları ve şartları var:

-BDDK’nın belirlediği, dijital banka lisansı için gerekli olan sermaye tutarını 1 Milyar TL olması gerekiyor.

-Müşteri maaşının en fazla 4 katı kadar kredi verebilecek.

-Mevduat toplayacak, sadece bireysele ve KOBİ'ye hizmet verecek.

-Krediye aşırı düşük, mevduata aşırı yüksek faiz veremeyecekler.

Daha fazla bilgi isterseniz, BDDK’nın aşağıdaki yönetmelik taslağına bakabilirsiniz:

https://www.bddk.org.tr/Mevzuat/DokumanGetir/1050

Şubesiz Dijital Bankacılık

Simetrik ve Asimetrik Şifreleme Hakkında…

Ödeme sistemleri dünyasında bilgilerin bir yerden bir yere aktarılması, bilgilerin saklanması ve otorizasyon adımlarının güvenliği açısından key’ler ve kullanımları önemlidir.

Şifreleme, mesajınızı veya verilerinizi yalnızca yetkili kişilerin erişebileceği şekilde gizlemenizi sağlayan bir yöntem veya mekanizmadır. Genel de şifreleme de iki metot kullanılır; Simetrik şifreleme ve Asimetrik şifreleme.

Simetrik Şifreleme: Verilerinizin veya mesajınızın hem şifrelenmesi hem de şifresinin çözülmesi için aynı anahtarı kullanırsınız.  Güvenli bir mesaj gönderirken, birbirinizle değiş tokuş edebileceğiniz mesajları şifrelemek ve deşifre etmek için ikinizin de aynı anahtara sahip olması gerekir.

Amaçlarına göre bazı simetrik key’ler kullanılır: Aşağıdaki key’leri başka bir yazımda fırsat bulabilirsem daha detaylı anlatacağım. Şimdilik sadece key adlarını veriyorum.

Key Management Key’leri (HSM’de Kullanılan Key’ler):

-LMK (Local Master Key)

-ZMK (Zone Master Key)

-TMK (Terminal Master Key)

Otorizasyon ve Issuer Scriptlerde Kullanılan Key’ler:

- MDK-AC: Authentication Cryptogram Key

-MDK-MAC: Message Authentication Code Key

-MDK-ENC: Enchiperment Key

-MDK-IDN: ICC Dynamic Number Key

-MDK-CVC3:Card Verification Code 3 Key

-MDK-dCVV:Diyamic Card Verification Value Key

Personalizasyon ve PIN Management’da Kullanılan Key’ler:

-KEK: Key Encryption Key

-PEK: Pin Encryption Key

-TPK: Terminal Pin Key

-ZPK: Zone Pin Key

Transaction’da Kullanılan Key’ler:

-Auth: Authentication Key

-SMI: Secure Message Integrity Key

-SMC: Secure Message Confidentiality Key

Magstripe’da Kullanılan Key’ler:

-CVV1/CVC1: Card Verification Value/Code 1 Key

-CVV2/CVC2: Card Verification Value/Code 2 Key

-iCVV: ICC Card Verification Value Key

-PVK: Pin Verification Key

Asimetrik Şifreleme: Simetrik şifrelemenin tam tersidir. Çünkü bir anahtar değil, bir çift anahtar kullanır: Private (özel) ve Public (genel) anahtar.

Neden iki anahtara ihtiyacınız var?

Birini Public key adı verilen verilerinizi şifrelemek için, diğerini ise Private key  adı verilen şifreli mesajın şifresini çözmek için kullanırsınız. 

Private key  size aittir ve genel anahtarınızla şifrelenmiş herhangi bir mesajın şifresini çözebilen tek anahtar olduğu için gizli tutulmalıdır. Public key, geneldir bu nedenle, halka açık olması ve internet üzerinden iletilebilmesi nedeniyle ekstra bir güvenlik gerekmez.

Data detaylı bilgi için aşağıdaki sitelere bakabilirsiniz.:

https://cpl.thalesgroup.com/faq/key-secrets-management/what-symmetric-key

https://cpl.thalesgroup.com/faq/key-secrets-management/what-asymmetric-key-or-asymmetric-key-cryptography

Simetrik ve Asimetrik Şifreleme Hakkında…

P-Ticaret Hakkında…

Yakın zamanda trend olan, olacak bir ticaret türü. Peki P-Ticaret ne demek? Ünlü dizi, film dizi ve film karakterlerine ilişkin eşyalar satılıyor.

Genellikle, popüler kültür ürünlerinin satışına yönelik olduğu için P-ticaret adı verilmiş. Hem filmi/diziyi sat hem de ürününü sat :) Bunu ilk başlatanlardan biri Netflix oldu.

Aşağıdaki sitede bir çok dizi/film için koleksiyon  çıktı. Şimdilik, The Witcher ve Lupin dizilerinin ürünlerini gördüm ama diğerleri de gelir…

https://www.netflix.shop/

P-Ticaret Hakkında…

Credential on File (CoF) Hakkında...

CoF (Credentials On File), Türkçe tabiriyle “Saklanan Kart Verisi” denir. Kart hamilinin; kart verilerinin (Kart numarası ve Kartın Son Kullanım Tarihi) saklanması, işlem anında işyerine onay verdiği ve işyerinin saklanan bu kart verisini kullanarak gerçekleştirdiği yüz yüze olmayan işlemlere denir. Bir çok noktada CoF (Credentials On File) verisi kullanılıyor.

Bu işlemler takas dosyasında TCR0 62-163 alanında, Switch’te (online) ise DE22 alanı 1. alt alanda ”10” değeri ile ayrıştırılır. DE48.PDS86 alanında “C” değeri ile gönderilerek ayrıştırılmasını beklemektedir.

Credential on File indicator’ü aşağıdaki işlemlerde tanımlanmalıdır:

-Recurring ödemeler

-Installment ödemeler

-E-Commerce

-Mail Order/Telephone Order (MO/TO)

Ayrıca BDDK, banka ve kurumların bilgi güvenliği ve verilen saklanması konusunda devamlı uyarı mevzuatları yayınlamaktadır. Aşağıdaki linkleri inceleyebilirsiniz:

https://usa.visa.com/visa-everywhere/innovation/credential-on-file-payments.html

https://www.bddk.org.tr/Mevzuat/DokumanGetir/843

https://www.resmigazete.gov.tr/eskiler/2020/03/20200315-10.htm

Credential on File (CoF) Hakkında...

İstanbul Üniversitesi Academia Yayınlarım...

Aşağıdaki linkden ulaşabilirsiniz:

https://istanbul.academia.edu/ErcumentYenikaya

İstanbul Üniversitesi Academia Yayınlarım...

PSD2 (Ödeme Hizmetleri Direktifi 2)

İlk Ödeme Hizmetleri Direktifi (PSD1-Payment Services Directive ) 2007 yılında kabul edildi. Bu mevzuat, AB’de tek bir ödeme pazarı için AB genelinde daha güvenli ve daha yenilikçi ödeme hizmetleri oluşturmak için yasal temeli sağlamak amaçlı yürürlüğe konulmuştur.

PSD2 nedir, PSD1’e ek olarak gelen yenilikler:

PSD2, temel olarak Avrupa Birliği içinde çıkartılan her kanunun 5 yıl sonra gözden geçirilmesi kuralının bir sonucu olarak ortaya çıkmıştır.

Avrupa Parlamentosu tarafından 8 Ekim 2015 tarihinde kabul edilen PSD2, 2007 ‘de yürürlüğe girmiş PSD1’in daha geliştirilmiş ve kapsama alanı arttırılmış yeni bir versiyonudur.

Bu yeni versiyon 23 Aralık 2015 ‘te Avrupa Birliği Resmi Gazetesinde yayınlanarak 12 Ocak 2016 itibariyle yürürlüğe girmiş ancak üye ülkelere yasal düzenlemelerini PSD2’ye göre adapte etmeleri için iki yıllık bir süre tanınmıştır.

Ayrıca PSD2’deki tüm konuların açıklık kazanarak tam olarak yürürlüğe girebilmesi için Avrupa Bankacılık Kurulu’nun (European Banking Authority), PSD2’de düzenlenen konulara ilişkin teknik standartları (Regulatory Technical Standards) belirlemesi gerekiyor.

Sürecin tüm detayları ile Avrupa Birliği ülkelerinde yasalaşması ve yürürlüğe girmesi yaklaşık olarak 2019 yılı ortalarını bulacak gibi görünmektedir.

PSD2’nin getirdiği yenilikler:

-Ödeme hizmetlerine ilişkin çerçevenin Avrupa dışına genişletilmesi yani bir ayağı Avrupa dışında olan ödeme işlemlerinin de kapsama dahil edilmesi,

-Hesap Bilgileri Hizmet Sağlayıcıları kavramının getirilmesi (Account Information Service Providers), namıdiğer Financial Data Aggregators,

-Ödeme Başlatma Hizmet Sağlayıcıları kavramının getirilmesi (Payment Initiation Service Providers)

-Ödeme işlemleri ve finansal hesaplara erişimde Güçlendirilmiş Güvenlik ve Tanımlama kriterlerinin getirilmesi.

Daha detaylı bilgi için aşağıdaki linklere bakabilirsiniz:

https://ec.europa.eu/info/business-economy-euro/banking-and-finance/consumer-finance-and-payments/payment-services_en 

https://www.europeanpaymentscouncil.eu/

https://ec.europa.eu/info/law/payment-services-psd-2-directive-eu-2015-2366_en/

PSD2 (Ödeme Hizmetleri Direktifi 2)

Son BDDK Düzenlemeleri

Beyaz Eşya  / TV / Altın Düzenlemeleri:

-Mobilya ve beyaz eşya alımında kredi kartına taksit 12 aydan 9 aya indi. 

-TV alımında fiyatı 5 bin TL ve üzerinde olanlar için taksit 4 ay oldu.

-Altın alımında kredi kartına taksit sayısı 6 aydan 3 aya indi.

-Basılı ve külçe altın hariç, kuyum harcamalarında en fazla 3 ay süreyle taksit yapılabilecek. Daha önce söz konusu harcamalarda taksit süresi 6 ay olarak belirlenmişti.

Taşıt Kredisi Düzenlemeleri:

-Fiyatı 120 bin TL ve altında olan taşıt alımında kredi vadesi 60 aydan 48 aya indi.

-Son fatura değeri 300 bin TL üzerinde olup, 750 bin TL’yi aşmayan taşıt alımlarında kredi süresi 36 aydan 24 aya indi.

-Son fatura değeri 750 bin TL’den fazla olup, 1 milyon 500 bin TL’yi aşmayanlarda 24 aydan 12 aya indirildi.

Bireysel Kredi Kartları - İhtiyaç Kredilerine İlişkin Risk Ağırlıkları:

-1-6 ay arasındaki taksit ya da nakit çekimlerde yüzde 75 olan risk  ağırlığı yüzde 100’e

-6 ay üzerinde olanlar yüzde 150’ye yükseltildi. İhtiyaç kredilerinde 1-12 ay vadeli kredilerde yüzde 75’ten yüzde 100’e,

-1 yıl ve üzeri vadede de yüzde 75’ten yüzde 150’ye yükseltildi.

Bankacılık Düzenleme ve Denetleme Kurulu Kararı: https://www.bddk.org.tr/Mevzuat/DokumanGetir/1038

Son BDDK Düzenlemeleri

POS CPOC Standardı/SoftPOS Terimleri Hakkında

CPOC yani PCI Contactless Payments on Commercial off-the-Shelf, PCI Güvenlik Standartları Konseyi (PCI SSC) tarafından 2019 yılında çıkarıldı.

NFC kullanan ticari bir yazılımın COTS (Commercial of the shelf) mobil cihaz  kullanarak temassız ödemeleri kabul etmesini sağlayan çözümler için yayınlanan yeni bir veri güvenliği standardıdır. SoftPOS bir COTS cihaz üzerine gerekli yazılımın kurulmasıyla, cihazın temassız işlem kabul eder duruma geliyor.

COTS (CPOS) contactless payments detayları için aşağıdaki dokümanı kontrol inceleyebilirsiniz:

https://www.pcisecuritystandards.org/documents/Contactless_Payments_on_COTS-Security_and_Test_Requirements-v1.0.pdf

Yeni Nesil Mobil POS Ödeme Terminolojileri:

1.SoftPOS : Software only POS, yani cep telefonu tablet gibi cihazların ek bir donanım ihtiyacı duymadan yazılımsal güncellemeler ile temassız işlem yapabilir hale gelmesidir. Bu yapı android işletim sistemine sahip cihazlar üzerinde kurulabiliyor ve cihazın temassız işlemi algılayabilmesi için NFC özelliğinin bulunması gerekiyor. Daha geniş bir anlamda  SPOC (Software based PIN on COTS)‘u karşılayacak şekilde de kullanılabiliyor.

“SoftPos” ayrıca Türkiye’de PayCore tarafından patentlenmiş durumda.

https://portal.turkpatent.gov.tr/anonim/arastirma/patent/detayli

2.Tap on Phone : Genellikle Mastercard tarafından kullanılan bir terminoloji. Soft POS ile aynı anlamda kullanılıyor.

3.Tap To Phone : Visa tarafından kullanılıyor. Tap On Phone ile aynı anlamda kullanılıyor.

4.Tap To Pay : Visa tarafından kullanılıyor. Tap to Phone ile aynı anlamda kullanılıyor.

5.CPOC (PCI terminolojisi): Contactless Payments on COTS

6.COTS (Commercial of the shelf): Bir kişiye veya kuruma için geliştirilmemiş, genel ihtiyaçlara için tasarlanmış ve standart halde satışa sunulan ürünler COTS olarak adlandırılır. SoftPOS bir COTS cihaz üzerine gerekli yazılımın kurulmasıyla cihazın temassız işlem yapılır hale gelmesidir.

7.SPOC (Software based PIN on COTS): Yani COTS cihazlar üzerinden ekran aracılığı ile şifre girişine imkan tanınması. PCI standardında bir SPoC çözümü SCRP (Secure Card Reader-PIN) bir PIN CVM uygulaması işyerinin COTS cihazı ve Back-end Monitoring/Attestation sistemlerinden oluşur.

8. PIN On Glass: Her ne kadar SPOC ile aynı anlamda kullanılsa da farklı anlamları ifade ediyorlar. SPOC için minimum komponentler  PIN on glass PCI PIN Transaction Security (PTS) onayı bulunan gerçekten ödeme amaçlı üretilmiş ve şifreyi ekran üzerinden (Cam ekran-glass) alan terminaller için kullanılmaktadır.

9. Pin On Mobile : SPOC ile aynı anlamda kullanılıyor

10. PIN on COTS : SPOC ile aynı anlamda kullanılıyor

Daha çok bilgi için aşağıdaki linke de bakabilirsiniz:

https://blog.pcisecuritystandards.org/new-pci-software-pin-entry-on-cots-standard

SoftPOS veri güvenliğini ayrı bir yazıda bahsedeceğim…

POS CPOC Standardı/SoftPOS Terimleri Hakkında

SQL Server Performans Düşüşü ve Nedenleri

SQL Server’ın en büyük problemlerinden biri performansdır. SQL Server performans problemlerinde CPU ve Memory yükseltilir veya çalışılır.  Bazı durumlarda performans problemlerine yol açar:

- İstatistik Hataları: Datanın, kullanımda en çok ihtiyaç duyulan index’lerdir. İndex’lerin de etkili bir şekilde kullanılmasında da statisticslerin doğru yapılandırılması çok önemlidir.

Statistics bakımları zamanında doğru bir şekilde yapılmadığı takdirde, query optimizer doğru düzgün çalışamayacak ve sorgularda performans sorunları yaşanacaktır. Statistics’lerin Out-of-date diye tabir edilen, tarihi geçmiş olmaması önemlidir.

- Hatalı Sorgular: Sorgunun mutlaka yeni veya mevcut index’leri kullanması gerekir.. Maliyet yani cost değerlerine dikkat edilmeden çalıştıırılan SQL sorguları, optimizer’ın uygun indeksleri seçmesini engeller. SQL kodlarının/sorgularının DBA Admin tarafından incelemesi ve denetlenmesi gerekmektedir.

Deadlock’lar ve Blocking’ler: Birden fazla aynı anda çalışan prosesler, aynı veri kaynağında değişiklik yapamazlar.

Bir satırdaki veriyi, aynı anda güncellemek istediğiniz de, SQL Server buna izin vermeyecektir. Veri bütünlüğünü sağlamak için blocking mekanizmasını devreye girer. Bu mekanizma veri sağlığı için gayet başarılı bir kurgudur. Fakat blockinglerin sürekli ve sık sık yaşanması, SQL Server’da yavaşlıklara neden olacaktır. Sürekli yaşanan blockingler, bir sorun olduğunun göstergesidir.

Blockingler ile ilişkili fakat farklı bir sorun ise deadlock’lardır. Deadlock’lar, ortak bir kaynağa erişmeye çalışan iki prosesin birbirini kilitlemesi ile başlayan, ardından query engine’nin en az maliyetli olan prosesi kill etmesiyle son bulan bir operasyondur. Bu kill edilen prosese deadlock victim denir.  Bir sorgunun çalışma zamanı, blocking ve deadlocklardan olumsuz bir şekilde etkilenir.

Hatalı Transact Yazımı:  Cursor kullanımları ve gereksiz döngüler , subquerylerde ve joinlerdeki döngüyü gözden kaçırmanıza neden olabilir. Cursor yerine while operatörünü kullanmak ve sorgularınızı while döngüsü ile optimize etmek daha iyi olur.

Sıkça yapılan SELECT * kullanımları da gereksiz IO tüketimlerine sebep olacaktır, * alanların isimleri yazılmalıdır. ORDER BY,  SQL Server üzerinde sorting yani sıralama yapmak yerine bu işlemi yazılım tarafında yapmak, hem SQL Server performansına fayda sağlayacaktır, hem de dataların yazılıma daha hızlı gelebilir.

SQL Server Performans Düşüşü ve Nedenleri

Karekod Ödemeleri BKM İstatistiği

Mobil Temassız ve Karekodla yapılan işlemlere aşağıdaki adreslerden ulaşabilirsiniz:

https://bkm.com.tr/mobil-temassiz-karekodla-yapilan-odeme-islemleri/

https://bkm.com.tr/mobil-temassiz-karekodla-yapilan-odeme-islemleri/?xls=1

Karekod Ödemeleri BKM İstatistiği

Yeni Visa Logosu

Yeni logo Visa'nın yeni stratejisiyle uyumlu gözüküyor. Şirketin duyurduğu gibi, işlemleri ve ödemeleri herkes için, her yerde ve her gün kolaylaştırmaya odaklanacak. Bu nedenle, yeni markanın daha kapsayıcı olması bekleniyor.

Logo, markanın görsel kimliğini değiştirmeyecek olsa da, Visa'nın çeşitli platformlarda tutarlı bir temsil sağlarken yeni amacını daha kolay ifade etmesine olanak tanıyacak.

Şirket, hazırladığı bir reklam filmi ve yenilediği logoları ile insanların ilgisini çekerek, daha iyi tanınacağına inanıyor.

Yeni tanıtım videosunu aşağıdaki linkden izleyeyebilirsiniz:

https://www.youtube.com/watch?v=s3H2As_nelY&t=2s

Yeni Visa Logosu

FAST mi EFT mi?

4 Ağustos 2021 tarihinde 2FAST 2000 TL’ye yükseltilmesine karar verildi.

Kolay Adresleme Sistemine kayıt olan 11,3 milyon kullanıcı sayısının daha da artması ve EFT işlem adet ve hacimlerinin azalması beklenmektedir.

Peki EFT ile FAST sisteminin farkları nelerdir?

EFT	FAST
Hesaplar arasında para transferleri saniyeler içerisinde gerçekleşse de bankaların parayı alıcının hesabında kullanılır bir duruma getirmesi için bir süre taahhüdü bulunmuyor. Bu nedenle ödemelerin hesaplara yansıması daha uzun sürmektedir.	Ödemelerin hesaba 2 saniye içinde geçmesi beklenmektedir. 25 saniye içinde hesaba geçmeyen transferler geçersiz sayılmaktadır.
Sadece mesai saatleri içerisinde çalışmaktadır.	7/24 çalışmaktadır.
İşlem sonrasında Alıcı ve Gönderene bildirim yapılması zorunluluğu yoktur.	İşlem sonrasında Alıcı ve Gönderene bildirim yapılması zorunluluğu bulunmaktadır.

FAST mi EFT mi?