1 Aralık 2021 tarihinde ilk defa yayımlanan Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri ile Ödeme Hizmeti Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin tebliğde 7 Ekim tarihinde düzenleme yapıldı.
7 Ekim tarihli tebliğe alttaki linkten ulaşabilirsiniz:
https://www.resmigazete.gov.tr/eskiler/2023/10/20231007-12.htm
1 Aralık 2021 tarihli tebliğle 7 Ekim tarihli tebliğin karşılaştırması TÖDEB’in sitesinde alttaki linkte yer alan dokümanda detaylı olarak anlatılmış. Linki alta bırakıyorum:
https://todeb.org.tr/source/duyurular/2023_10/TODEB_07102023_Teblig_Degisiklik_Tablosu.pdf
Yukarıdaki bilgilere ek olarak fintechistanbul.org’da konu ile ilgili paylaşılan yazıyı altta ekliyorum:
Türkiye Cumhuriyet Merkez Bankası’nın (“TCMB”), Fintech alanında ikincil düzenlemeler olarak bilinen aşağıdaki iki düzenlemeye ilişkin kritik değişiklikler ve yenilikler içeren Değişiklik Yönetmeliği* ve Tebliği** (”Değişiklik Düzenlemesi”) 7 Ekim 2023 tarihli Resmi Gazetede yayımlanarak yürürlüğe girdi. Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmelik (“Yönetmelik”) Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri ile Ödeme Hizmeti Sağlayıcılarının Ödeme HizmetleriAlanındaki Veri Paylaşım Servislerine İlişkin Tebliğ (“Bilgi Sistemleri Tebliği”) TCMB’nin yaptığı değişiklikler ve yeni eklemeler dikkate alındığında yeni kuralların sadece lisanslı fintechleri değil; teknik hizmeti istisnası kapsamında lisanssız faaliyet gösteren şirketleri, dış hizmet sağlayıcıları ve hatta dolaylı yoldan kartlı sistem kuruluşlarını da etkilediği görülmektedir. Getirilen düzenleme ile birlikte kart saklama ve cüzdan tarafındaki belirli iş modellerinin lisans kapsamına alınması söz konusu olduğundan, bu ürünlere sahip şirketlerin doğru değerlendirme yaparak gerekli lisans süreçlerini işletmeleri önemli olacaktır. Değişiklik Düzenlemesi ile getirilen majör yenilik ve değişikliklerin ana başlıklarının aşağıdaki gibi özetlenmesi mümkündür. Dijital Cüzdan İş Modeli Tanımlanmış ve Lisansa Tabi Kılınmıştır TCMB’nin yeni düzenlemesi ile birlikte “Dijital Cüzdan” Türk mevzuatında ilk kez tanımlanmış ve bu hizmetin sunumunun -belirtilen istisnalar haricinde- sadece ödeme hizmeti sağlayıcılar (yani ödeme ve/ya elektronik para kuruluşları, bankalar veya PTT) tarafından sunulabileceği kuralı getirilmiştir. Bu nedenle, ana kural, tanım kapsamına dijital cüzdan hizmeti sunan şirketlerin lisans alması gerektiğidir. Bu kapsamda TCMB’nin dijital cüzdan tanımı aşağıdaki gibidir. “Müşterinin tanımladığı ödeme hesabına veya ödeme aracına ilişkin bilgilerin saklandığı, bir elektronik cihaz, çevrim içi hizmet veya uygulama olarak sunulan ve müşteriye, tanımladığı ödeme hesabı veya ödeme aracına ilişkin bilgileri kullanarak ödeme işlemi gerçekleştirme imkânı sağlayan ödeme aracı” TCMB, bu noktada “sadece hizmeti sunan ödeme hizmeti sağlayıcısı nezdindeki ödeme hesabı ve bu ödeme hizmeti sağlayıcısı tarafından çıkarılan ödeme aracının tanımlanabildiği ve saklanabildiği elektronik cihaz, çevrim içi hizmet veya uygulamaların” dijital cüzdan hizmeti olarak kabul edilmeyeceğini de hüküm altına almıştır. Söz konusu tanımın genişliği dikkate alındığında ilgili tanımın fon tutan dijital cüzdanlar (örn. Staged Wallet) yanında aynı zamanda -bugüne kadar teknik hizmeti sağlayıcı istisnasına dayanan- tokenizasyon tekniği ile salt kart saklama fonksiyonu gören (Pass-Through Wallet) dijital cüzdanları da kapsadığı değerlendirilmektedir. TCMB, ilgili tanım kapsamına giren dijital cüzdan hizmetini sunan kuruluşların asgari olarak “ödeme aracının ihracı” ile sınırlı şekilde; Müşteriye sunulan hizmetin kapsamının gerektirmesi halinde ilave olarak diğer ödeme hizmetlerine ilişkin de lisansa sahip olmasını aramaktadır. Yeni düzenleme ile birlikte aynı zamanda bu kuruluşların, Dijital cüzdanın işyerlerinde ödeme aracı olarak kullanılması ve bu tür işlemlerde ödeme işlemine ilişkin fonun dijital cüzdan hizmeti sunan kuruluş üzerinden aktarılması (“Örn. Staged Wallet”) durumunda da elektronik para, Dijital cüzdanın işyerlerinde gerçekleştirilecek ödeme işleminde dijital cüzdana tanımlanmış olan başka bir ödeme hizmeti sağlayıcısı nezdindeki ödeme hesabı veya başka bir ödeme hizmeti sağlayıcısının ihraç ettiği ödeme aracı doğrudan kullanılacak şekilde (“Örn. Pass-through Wallet”) geçerli olması durumunda Ödeme Emri Başlatma Hizmeti lisansına sahip olmasını gerektiği hüküm altına almıştır. Sektörel durum dikkate alındığında Staged Wallet türü iş modelini elektronik para lisansına sahip kuruluşların yürüttüğü bilinmektedir. Ancak TCMB’nin kritik ve dikkat çeken düzenlemesi sektörde Pass-Through Wallet olarak bilinen ve mevcut bir ödeme aracının tokenizasyonu üzerinden çalışan ve fon tutmayan modele ilişkindir. TCMB, bu iş modelinde ilgili cüzdanı sunan kuruluşun sunduğu hizmeti bir açık bankacılık hizmeti olan ödeme emri başlatma hizmeti olarak değerlendirmiştir. Yakın zamanda AB tarafından taslağı yayımlanan ve PSD2’nin yerine geçmesi beklenen Payment Services Regulation 3’den açık bir şekilde farklılaşan bu yorum, bildiğimiz kadarıyla açık bankacılık iş modeli ve kart tabanlı işlemleri birleştiren ilk örnektir. Bu noktada halihazırda lisanslı oyuncuların dikkat etmesi gereken konu ise, gerekli hukuki değerlendirmeleri yaparak ödeme emri başlatma hizmeti ve gerekli diğer hizmetler için lisans genişletme başvurusu yapmalarına gerek olup olmadığına karar vermeleridir. Yeni Düzenleme ile dijital cüzdan tanımlanıp, bu hizmet lisanslı hizmet olarak belirtilmekle birlikte bunun istisnalarını da tanımlanmıştır. Bu kapsamda, dijital cüzdan hizmetine ilişkin maddenin uygulanmasında 6493 sayılı Kanun’un 12 nci maddesinin ikinci fıkrasında yer alan ödeme hizmeti istisnalarının ve 18 inci maddesinin beşinci fıkrasındaki kapalı devre elektronik para hükümlerinin ve sadece belirli bir hizmet ağında kullanılabilen ön ödemeli araçlara ilişkin hükümlerin saklı olduğu hüküm altına alınmıştır. Söz konusu hüküm nedeniyle sektörde “kapalı devre” olarak bilinen cüzdanların yeni getirilen yükümlülüklere tabi olmadığını değerlendirmekteyiz. Bununla birlikte, Değişiklik Düzenlemesi, belirli koşulları sağlayan kart saklama iş modellerinin de istisna kapsamında olduğunu hüküm altına almaktadır. Bu bağlamda, Hassas müşteri verilerini mevzuatın izin verdiği sınırlar çerçevesinde işyeri veya ödeme hizmeti sağlayıcısı adına saklayan, müşteri ile hiçbir şekilde hukuki bir işleme doğrudan taraf olmayan, müşteri nezdinde ödeme işleminin saklamayı yapan tüzel kişi aracılığıyla gerçekleştiği izlenimi yaratmayan, ödeme işleminin hiçbir anında saklamayı yapan tüzel kişinin ödeme işlemine konu fonun sahibi olmadığı ve yürütülen faaliyete ilişkin hak ve yükümlülüklerin açık bir şekilde taraflar arasında yapılan sözleşmede belirlendiği hizmetlerin Yönetmelik kapsamında dijital cüzdan hizmeti olarak değerlendirilmeyeceği hüküm altına alınmıştır. Teknik Hizmeti Sağlayıcı İstisnası kapsamında, iş yerlerine veya ödeme hizmeti sağlayıcılarına ilgili kapsama girecek şekilde -tabiri caizse arka tarafta- kart saklama teknik desteği sunan kuruluşların hizmeti dijital cüzdan kapsamı dışarısında bırakılmıştır. Bu kuruluşların lisans almasına gerek bulunmamaktadır. Yeni düzenleme ile aynı zamanda Teknik Hizmeti Sağlayıcı İstisnası kapsamında hassas müşteri verilerini mevzuatın izin verdiği sınırlar çerçevesinde işyeri veya ödeme hizmeti sağlayıcısı adına saklayan kişilerin, müşteriye karşı tek başına bu hizmetin görünen yüzü olamayacağı hüküm altına alınmıştır. Son olarak belirtmek gerekir ki, Değişiklik Düzenlemesi ile birlikte dijital cüzdan kapsamına giren hizmetlere ilişkin gerekli lisansların alması için son süre 7 Ekim 2024’tür. Kuruluşların Yürütülebileceği Faaliyetler Genişletilmiştir Bilindiği üzere Kuruluşların yürütülebileceği ödeme ve elektronik para dışındaki faaliyetler mevzuat uyarınca oldukça sıkı bir rejime tabidir. Yapılan değişiklik ile birlikte ödeme ve elektronik para kuruluşlarının sunabileceği faaliyetler arasına -halihazırda izin verilen faaliyetlere ek olarak- aşağıdakiler eklenmiştir. Arayüz Sağlayıcılık (Doğrudan ya da dolaylı kıymetli maden ve kıymetli taş ile döviz alım satımı ile ilgili işlemleri hariç olmak üzere) Leading Hizmeti, yani faaliyetleri ilgili mevzuat çerçevesinde yetkili bir otorite tarafından düzenlenen ve denetlenen finansal kuruluşların hizmetlerine ulaşması için müşteriye sunulan pazarlama ve ilgili finansal kuruluşun sistemlerine yönlendirme gibi kuruluşun ödeme hizmetlerinin kullanımını arttırabilecek nitelikteki yan hizmetler (Döviz alım-satımıyla ilgili işlemler hariç olmak üzere) Kıymetli maden ve kıymetli taş alım satımı ile ilgili faaliyetlere aracılık (Kuruluşun bir ay içerisinde aracılık edeceği işlem miktarı azami olarak bir önceki takvim yılındaki ödeme hacminin yüzde biri ile sınırlı olması şartı ile) Nitelikli Hizmetler ve Katma Değerli Hizmetler (Mevzuat’ta tanımlandığı kapsam ile sınırlı şekilde) TCMB, aynı zamanda açık bankacılık lisansına sahip kuruluşların ödeme hizmeti sağlayıcıları nezdinde bulunan ve ödeme hesabı olarak değerlendirilmeyen diğer hesaplarla ilgili bilgi hizmetlerini sunabileceğini mevzuat anlamında açıkça hüküm altına almıştır. Belirtmek gerekir ki, yukarıda belirtilen hizmetlerin yürütülmesine ilişkin belirli sınırlamalar da getirilmiş. Bu kapsamda TCMB, Kuruluşların leading hizmeti kapsamında sunduğu hizmetlerin, hizmet sunduğu finansal kuruluşun asli faaliyetinin tamamını kapsayamayacağını ve hizmetlerin sunumu esnasında mevzuatta düzenlenen hususlar dışında bir işlev üstlenemeyeceğini, Kuruluşların kıymetli maden ve kıymetli taş alım satımını Kuruluşun doğrudan kendisinin yapamayacağını, Kıymetli maden ve kıymetli taş alım satımı aracılık faaliyetleri kapsamında her bir müşterinin bir takvim yılı içerisinde azami olarak bakiyesinde tutabileceği tutarın, kuruluşun bir önceki takvim yılındaki ödeme hacminin yüzde biri nispetinde belirlenen tutarın binde birinden fazla olamayacağını, Açık bankacılık lisansına sahip kuruluşların katma değerli hizmetleri ve nitelikli hizmetleri kendi nezdinde bulunan hesaplara ilave olarak diğer ödeme hizmeti sağlayıcıları nezdinde bulunan hesaplarla ilgili olarak da sunabilirken; diğer kuruluşların bu hizmetleri sadece kendi nezdinde bulunan hesapları ile ilgili olarak sunabileceğini hüküm altına almıştır. Yukarıdaki değişiklikler dikkate alındığında, fintechlerin çok sınırlı olan faaliyet alanlarının çağın gereklilikleri ve tüketici lehine sonuçlar doğuracak şekilde genişletildiğini görüyor ve bu durumun olumlu olduğunu düşünüyoruz. Ancak fintechlerin uzun süredir beklediği mikro kredi tarafında herhangi bir gelişme olmadığını da not etmek gerekir. Bu noktada, ilgili hizmetlerin müşterilere sunumu esnasında doğru sözleşmesel kurguların ve UX/UI tasarımlarının yapılmasının mevzuat ile uyum açısından kritik olduğunun altını çizmek gerekir. Aksi takdirde faaliyet sınırı dışına çıkılması yaptırımlara sebebiyet verebilecektir. Birbirleri Arasında Kontrol İlişkisi Bulunan ÖHS’lere (örn. Banka ve Ödeme Lisansına Sahip İştiraki), Diğer ÖHS’lere Karşı Eşit Davranma Kuralı Getirilmektedir Bir ÖHS’nin, sunmakta olduğu ödeme hesabı hizmetleri ve ödeme hizmetlerine (Örn. POS) ilişkin altyapı hizmetlerini kontrolünü elinde bulundurduğu bir ÖHS’nin de dahil olduğu diğer ÖHS’lere sunduğu durumlarda aynı nitelikteki hizmetleri kontrolünü elinde bulundurduğu ÖHS ile diğer ÖHS’ye aynı şartlar ve imkanlar dahilinde ve aynı ücret politikası ile sunması ve kontrolünü elinde bulundurduğu ÖHS’yi diğer ÖHS’lerden avantajlı konuma getirecek şekilde, kendi müşterilerini kontrolünü elinde bulundurduğu ÖHS’lerden hizmet almak üzere yönlendirmemesi veya zorlamaması yükümlülüğü getirilmektedir. Buna ek olarak, -arayüz sağlayıcılık durumları hariç- kontrolü başka bir ÖHS’de olan ÖHS’lere, sunacakları hizmetlere ilişkin olarak her türlü belge, ilân, reklam ve kamuoyuna yaptığı açıklamalarda kontrolünü elinde bulunduran ÖHS adına işlem yaptığı izlenimini uyandıracak ifadeleri kullanmama yükümlülüğü getirilmektedir. Yukarıdaki kuralların uygulanması bakımından Mevzuattan doğan yükümlülükler ile güvenlik, operasyonel ve teknik gereklilikler sebebiyle oluşabilecek aksi uygulamalar saklı tutulmaktadır. Söz konusu hükmün, ödeme veya e-para kuruluşu iştiraki bulunan bankaların, bu iştiraklerine POS, ödeme hesabı erişimi veya diğer altyapıları sağladığı durumları etkileyeceği değerlendirilmektedir. Ödeme Araçları (Kart) ile İlgili Eşit Davranma ve Honour All Cards Yükümlülükleri Getirilmiştir Yeni düzenleme ile birlikte, ödeme aracı ihraç eden (örn. kart) ödeme hizmeti sağlayıcıların, birden fazla kartlı sistem kuruluşu ile uyumlu olacak şekilde ödeme araçları ihraç ettiği ve müşterinin ödeme aracının belirli bir kartlı sistem kuruluşuna tanımlı şekilde ihraç edilmesini talep ettiği durumlarda, ödeme aracını müşterinin istediği kartlı sistem kuruluşuna uyumlu şekilde ihraç etmesi yükümlülüğü getirilmektedir. Bu yükümlülüğe ek olarak bu kuruluşların ödeme aracının ihraç edilmesinin öncesinde ve sonrasında müşterinin seçtiği kartlı sistem kuruluşu ile uyumlu ödeme aracının ihracı sürecini müşteri açısından zorlaştıracak şekilde müşteriye kartlı sistem kuruluşuna göre farklı uygulamalarda bulunmaması gerektiği kuralı getirilmiştir. Öte yandan, kart tabanlı ödeme aracı kabulü gerçekleştiren ödeme hizmeti sağlayıcılarına, kabul faaliyetlerinde kullandığı cihaz, donanım ve yazılımların kartlı sistem kuruluşu faaliyeti yürütmeye yetkili olan sistemik öneme sahip ödeme sistemi işleticileri tarafından kurulan kartlı sistemlere uyumlu olması ve bu altyapılara uyumlu olarak ihraç edilmiş ödeme araçlarının hizmet sunduğu işyerlerinde kullanılabilmesini sağlama yükümlülükleri getirilmektedir. Bu yükümlülüğe ek olarak, honour all cards prensibi kapsamında, işyerlerine, ödeme hizmeti sağlayıcısı tarafından yukarıda belirtilen uyum çalışmalarına gerekli desteği vermekle yükümlülüğü getirilmiş ve TCMB’ye ödeme hizmeti sağlayıcısından, bu uyum açlışması kapsamında gerekli önlemleri alma konusunda makul bir gerekçe sunmaksızın çaba göstermeyen işyerine sunduğu ödeme altyapısı hizmetlerini durdurmasını istemeye yetkisi tanınmıştır. Ülkemizde sistemik öneme sahip ödeme sistemi işleticisinin Bankalararası Kart Merkezi A.Ş. (”BKM”) ve BKM tarafından kurulan kartlı sistemin de TROY olduğu dikkate alındığında, ilgili kuraldaki “kartlı sistem kuruluşu faaliyeti yürütmeye yetkili olan sistemik öneme sahip ödeme sistemi işleticileri tarafından kurulan kartlı sistemlere uyumlu olması” cümlesinde TROY’a atıf yapıldığı değerlendirilmektedir. Açık Bankacılık Şirketlerinin Gerçek Kişilere Nitelikli Hizmetler Sunmasının Önü Açılmıştır Bilindiği üzere ikincil düzenlemeler ile getirilen yeniliklerden birisi de “katma değerli hizmet” tanımı idi. TCMB, “tüzel kişilerin ve tacirlerin idari ve operasyonel süreçlerini kolaylaştıran, güvenli kılan veya etkinliğini artıran hizmetleri” katma değerli hizmet olarak tanımlanmış ve bu açık bankacılık kuruluşlarının bu katma değerli hizmetleri sunmanının faaliyet yasağına tabi olmayacağını hüküm altına alınmıştı. TCMB, getirdiği düzenleme ile, katma değerli hizmet tanımı ile paralel şekilde gerçek kişiler için de bu nitelikteki hizmetleri belirlemiş ve bunları “nitelikli hizmet” olarak tanımlamıştır. Bu kapsamda aşağıdaki hizmetler “Nitelikli Hizmet” olarak tanımlanmıştır. “Kanun uyarınca ödeme hizmeti kapsamına girmeyen ancak bireysel bütçe yönetimi, fatura yönetimi, hesap doğrulama, ödemelere ilişkin hatırlatmalar gibi gerçek kişilerin mali durum ve finansal farkındalığını destekleyerek sunulan ödeme hizmetlerini kolaylaştıran, güvenli kılan veya etkinliğini artıran hizmetler” Bu kapsamda, açık bankacılık şirketlerinin salt tüzel kişilere değil, gerçek kişilere de faaliyet sınırına takılmadan “nitelikli hizmet” sunmasının önü açılmıştır. Teminat Tutarı, Özkaynak Hesaplanmasında İndirim Kalemi Olarak Belirlenmiştir Düzenleme öncesinde, mevzuat uyarınca kuruluşların tuttuğu teminat tutarı özkaynak hesaplamasına dahil edilmemekte idi. Yapılan değişiklikle birlikte ilgili teminat tutarının özkaynak hesaplamasında bir indirim kalemi olarak değerlendirileceği hükmü getirilmiştir. Bununla birlikte, “özkaynak hesaplamasına dâhil edilen serbest karşılıkların, risklerden doğabilecek zararın karşılanması için her an kuruluşun kullanımına hazır olması, muhasebe kayıtlarında açıkça yer alması ve kuruluşun bağımsız denetimini gerçekleştiren bağımsız denetim kuruluşunca onaylanmış olması şartı” kaldırılmıştır. Öte yandan, TCMB’ye yapılan düzenli ve sürekli raporlamaların, özkaynağın kuruluş için belirlenen alt sınırın altına düşmesi halinde kuruluşun TCMB’ye yapması gereken bildirimin yerine geçmeyeceği açıkça belirtilmiştir. Son olarak, ödeme ve elektronik para fonlarının teminat olarak gösterilemeyeceğine ilişkin açık düzenleme getirilmiştir. Kuruluşların TCMB Nezdinde Tutacağı Teminat Tutarının Hesaplanmasındaki Kurallar Esnetilmiştir Kuruluşların TCMB nezdinde tutması gereken toplan teminat tutarının belirlenmesi esnasında var olan bir çok kriter çıkartılmış ve teminat tutarının belirlenmesindeki kriterlerin sadece aşağıdakiler olduğu belirlenerek; teminat tutarının bu kriterlerin, tek tek sağlanmaması durumunda yüzde yirmibeş, birlikte sağlanmaması durumunda yüzde yüz oranında artırılacağı hüküm altına alınmıştır. Kanun kapsamında idari para cezası uygulanmamış olması. 74 üncü madde kapsamındaki Birlik hakem heyetlerinde kuruluş aleyhine sonuçlanan şikâyet ve itiraz başvurularının kuruluşla ilgili toplam başvurular içindeki payının yüzde onun üzerinde olmaması. Lisans Süreçlerine İlişkin Sınırlayıcı Süreler Getirilmiştir Yeni düzenleme ile birlikte Lisans sürecine ilişkin, İlk bildirim aşamasındaki bilgi ve belgelerdeki eksikliklerin, eksikliğe ilişkin TCMB yazısının tebliğinden itibaren üç ay içerisinde giderilmemesi halinde lisans başvurusunun yapılmamış sayılacağına karar verilmesi, Lisana genişletme sürecinde bilgi ve belgelerdeki eksikliklerin, eksikliğe ilişkin TCMB yazısının tebliğ tarihinden itibaren altı ay içinde giderilmemesi halinde TCMB nezdinde faaliyet genişletme başvurusu yapılmamış sayılacağına karar verilmesi, Bilgi sistemleri ile doğrudan ilgili olmayan konularda alınacak raporu verebilecek bağımsız denetim kuruluşlarının “Kamu yararını ilgilendiren kuruluşlar dahil” bağımsız denetim yapma yetkisi almış Bağımsız Denetim Kuruluşları listesinde bulunması gerektiği, Başvuru yapan şirketin gerçek/tüzel kişi nitelikli pay sahipleri ile kontrolü elinde bulunduran kişilerine ilişkin Findeks kredi notu ve İflas Konkordato belgesi istenmesi kuralı getirilmiştir. Aynı Gruba Ait Şirketler Arasındaki Pay Edinim ve Devir Süreçleri Belirli Koşullarda TCMB İzni Kapsamından Çıkartılmıştır Yeni düzenleme ile birlikte, “Kuruluşun nihai pay sahiplerinin doğrudan veya dolaylı olarak kuruluş nezdindeki pay oranında herhangi bir değişikliğe sebep olmayacak şekilde aynı gruba ait şirketler arasında gerçekleşen pay edinim ve devirleri” TCMB’nin iznine tabi olmaktan çıkartılmış, bu nitelikte pay edinim ve devirlerinin TCMB’ye bildirimi yeterli kılınmıştır. Ancak önemle belirtmek gerekir ki TCMB bildirime tabi olsa dahi yapılan işlemin eski duruma geri döndürülmesini isteme hakkını saklı tutmaktadır. Bu nedenle ilgili süreçlere ilişkin ajandanın titizlikle belirtilmesi gerekmektedir. Kritik Bilgi Sistemlerinin Dış Hizmet Olarak Alımına Dair Yerellik Konusunda Özen Yükümlülüğü Getirilmiştir Kritik bilgi sistemleri ve güvenlik kapsamında alınacak ürün ve hizmetlerin Türkiye’de üretilmesi veya üreticilerinin ar-ge merkezlerinin Türkiye’de bulunması için azami özen gösterilmesi ve dış hizmet alımında önemli bir kriter olarak değerlendirilmesi düzenlemesi getirilmiştir. Aynı zamanda bu tür sağlayıcıların ve üreticilerin Türkiye’de müdahale ekiplerinin bulunması şartı getirilmiştir. Uzaktan İletişim Aracı ile Yürütülecek Süreçlere İlişkin Detaylandırma Yapılmaktadır Uzaktan iletişim aracı ile yürütülecek kimlik tespiti ve sözleşme ilişkisinin kurulması süreçlerine ilişkin kullanılacak teknoloji ve yönteme ilişkin çeşitli düzenlemeler getirilmiş ve bu sistemler kritik bilgi sistemi kapsamına alınmıştır. Aynı zamanda “Mali Suçları Araştırma Kurulu Genel Tebliği (Sıra No: 5)’nin 2.2.11 inci maddesinin üçüncü paragrafı kapsamında sanal terminal hizmeti sunan tüzel kişiler için gerekli bilgi, sözleşme, dekont ve benzeri belgelere ilişkin süreçlerin işletilmesi” esnasında Yönetmelik m.22 fıkra 1’deki sürecin işletilmeyebileceği hüküm altına altına alınmıştır. “Anonim Ön Ödemeli Araç” Tanımına “MASAK Parasal Sınırı” Eklemesi Yapılmıştır Yönetmelikteki anonim ön ödemeli araç tanımına ekleme yapılarak ön ödemeli araç olma şartlarından birisi “MASAK Sıra no:5’teki parasal sınırlar altında kalma” olarak belirlenmiştir. Kuruluşun İştiraklerine Bilgi sistemleri ile Alakalı Hizmet Sunan Bağlı Ortaklarının Topluluk Bulutu Hizmeti Vermesinin Önü Açılmaktadır Yönetmelikte mevcut durumda bir dış hizmet olarak topluluk bulutu hizmetinin, “kuruluşun ana ortağı, iştiraki veya ana ortağının iştiraki olan ve bilgi sistemlerine ilişkin faaliyetleri ilgili mevzuat çerçevesinde yetkili bir otorite tarafından düzenlenen ve denetlenen bir kredi kuruluşu veya finansal kuruluş tarafından verilmesi” kuralı bulunmaktadır. Değişiklikle birlikte, “yukarıda sayılan aktörlere bilgi sistemleri ile alakalı olarak hizmet sunan bağlı ortaklıkların” da bu hizmeti (topluluk bulutu hizmeti) Kuruluşa sunabilmesinin önü açılmaktadır. Yurt Dışına Veri Aktarımı Esnetilmiştir Yönetmeliğe yapılan ekleme ile birlikte, ödeme işleminin taraflarından birinin (kendisinin veya hizmet sağlayıcısının) yurtdışında bulunduğu durumlarda kuruluş; verilerin yurt içinde saklanmaya devam edilmesi kaydıyla, sadece ödeme işleminin sorunsuz şekilde gerçekleşebilmesinin gerektirdiği kadarıyla sınırlı olmak şartıyla ve ölçülülük ilkesine uygun olarak ihtiyaç duyulan veriyi, müşteriden gelen talep ya da talimata bağlı olarak ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 9 ncu maddesine ilişkin yükümlülükler saklı kalmak üzere yurt dışındaki ilgili üçüncü kişilerle paylaşabilmesine izin verilmektedir. Öte yandan, TCMB’ye, yapacağı değerlendirme neticesinde ödemeler alanının gelişimini olumsuz etkileyeceğine karar vermesi durumunda, her türlü verinin yurt dışındaki üçüncü kişilerle paylaşılmasını ya da bunlara aktarılmasını yasaklamaya veya bunlara ilişkin ilave sınırlandırma getirmeye ilişkin yetki verilmektedir. Rekabete Duyarlı Verileri Şifreleme Yükümlülüğü Kaldırılmıştır Tebliğ’in 9. maddesinin 3. fıkrası uyarınca “Hassas müşteri verileri, ve müşteri bilgilerinin ile rekabete duyarlı verilerin şifrelenmiş bir şekilde ya da güvenli bileşenlerde saklanması esas” idi. Yapılan düzenleme ile birlikte “rekabete duyarlı veriler” hüküm metninde silinmiş ve bu verilere ilişkin şifreleme yükümlülük olmaktan çıkıp tercih haline gelmiştir. Denetim İzi Detayına Eklemeler Yapılıp, Kayıt Sisteminin Durması Halinde Yapılacaklar Yumuşatılmıştır Kuruluşların erişimin veya işlemin gerçekleştiği uygulama bilgisine ek olarak “iletişim ağı protokolü, zaman ve kaynak ile hedef port ve IP bilgilerini” de denetim izi olarak tutması kuralı getirilmektedir. Bununla beraber, “Herhangi bir nedenden denetim izi kayıt sisteminin durması halinde, denetim izi kayıt sistemi tekrar devreye alınana kadar herhangi bir işlemin gerçekleşmesine izin verilmez” kuralı yumuşatılmakta ve kayıtların durması halinde işletilecek senaryolar ve sorumluluklar belirlenmektedir. Mobil Ödemelere İlişkin Üst Limit Tutarları Güncellenmiştir Mobil ödemelere ilişkin işlem limiti ve toplam harcama için belirlenen beşyüz TL ve binikiyüzelli TL’lik üst limiteler, sırasıyla “bin TL” ve “ikibinyediyüzelli TL” olarak güncellenmiş; Trafik Sigortaları Bilgi ve Gözetim Merkezi üzerinden yapılan sorgulamalara ilişkin ödemeler ile yardım ve bağış amaçlı ödemelerin bu limitlerin hesaplanmasında dikkate alınmayacağı düzenlemesi getirilmiştir. Bununla birlikte, mobil ödemelerde faturanın son ödeme tarihinden itibaren “on beş” günlük son ödeme tarihi, “otuz gün” olarak revize edilmiştir. İşyeri Bilgilerinin Kullanımına İlişkin Kurallar Getirilmiştir Kuruluşların, işyerlerine hizmet sunarken kullandığı PF altyapısı için acquirer kuruluşlar ile paylaştığı işyeri bilgilerinin kullanılabileceği durumlar arasına altyapıyı kullanan ödeme hizmeti sağlayıcısı tarafından ödeme hizmeti sunulacak işyerlerinde kullanılan altyapının hizmete alınması ve altyapısı kullanılan ödeme hizmeti sağlayıcısı nezdinde gerekli teknik tanımlamaların yapılması süreçleri eklenmiştir. Temsilcilik Süreçlerine İlişkin Minör Düzenlemeler Yapılmıştır Temsilcilik hükümlerinde yapılan ekleme ve değişikliklerle birlikte; Kuruluşların temsilcilik ilişkisini sonlandırdığı kişilere ilişkin TÖDEB’in ayrı bir liste tutması zorunluluğu getirilmiş, TÖDEB nezdinde oluşturulan temsilcilik listesinde belirtilen bilgiler revize edilmiş, İki Kuruluş arasındaki temsilcilik ilişkilerinde müşterilere sağlanacak bilgilerde her iki kuruluşun da bilgilerinin yer verilmesi kuralı getirilmiş ve çalışma yerlerindeki bilgilendirmenin uygulanmasından temsilci olan kuruluşun sorumlu olacağı düzenlenmiştir. Unvan Değişiklikleri Onaya Tabi Olmaktan Çıkartılmış, Bildirime Tabi Kılınmıştır. Kuruluş tarafından yapılacak unvan değişiklikleri eskiden TCMB onayına tabi iken, yapılan dğeişiklikle birlikte unvan değişikliklerinin değişikliğe ilişkin kuruluş içindeki süreçlerin tamamlanmasının ardından yirmi iş günü içinde Bankaya bildirilmesi gerektiği düzenlenmiştir. Risk Yönetimi Personelinin Kuruluşun Tam zamanlı Çalışanı Olması Kuralı Getirilmiştir Kuruluş bünyesindeki risk yönetimi personelinin en az bir tanesinin kuruluşun tam zamanlı çalışanı olması şart kılınmıştır. Ödeme ve Elektronik Para Fonları üzerindeki Tedbir, Haciz vb. İdari ve Adli Taleplere İlişkin Kurallar Eklenmiştir Getirilen düzenleme ile birlikte ödeme hizmeti kullanıcılarının kuruluş nezdindeki hak ve alacaklarına ilişkin tedbir, haciz ve benzeri her türlü idari ve adli taleplerin münhasıran kuruluş tarafından yerine getirmesi; koruma hesabının tutulduğu bankalara gelen taleplerin ise, bankanın ödeme veya elektronik para fonlarının kuruluşun müşterileri bazında nihai sahipliğine ilişkin bilgi sahibi olması durumunda, ilgili fon ile sınırlı olmak üzere banka tarafın yerine getirilmesi ve banka tarafından ilgili kuruluşa gecikmeksizin bilgi verilmesi kuralı getirilmiştir. Elektronik Para Karşılığı Toplanan Fonların Müşteri Bazında Takip Edilmesi Kuralı Getirilmiştir Elektronik para kuruluşlarının, elektronik para ihracı karşılığında aldığı fonlarla ilgili kayıtları, anonim ön ödemeli araçlar ile ilgili olanlar hariç olmak üzere- fonların müşteri bazında takibini sağlayacak şekilde tutması kuralı getirilmektedir. Tüketici Olmayan Müşteriler Bakımından “Ödeme Hesabına Yapılan Ödemeler” Hükmü Altındaki Süreler Genişletilmiştir Tüketici Olmayan Müşterilerin ödeme hesabına yapılan ödemelerle ilgili olarak 67 inci maddenin birinci fıkrasında yer alan sürelerden farklı bir süre belirleyebileceği hükmü, ilgili maddenin tümü bakımından geçerli kılınmıştır. Düşük Değerli Ödeme İşlemleri ve Ödeme Araçları İle İlgili Tutarlar Güncellenmiştir Düşük değerli ödeme işlemleri ve ödeme araçları için belirleyici üst sınır olan üçyüz TL’lik tutarlar bin TL, beşyüz TL’lik tutarlar ise ikinbinyüzelli TL olarak güncellenmiştir. Açık Bankacılık İle İlgili Uyum Süreleri Uzatılmıştır Getirilen yeni kurallar ile birlikte, açık bankacılık tarafında, Nezdinde bulunan ödeme hesapları için müşterilerine doğrudan çevrim içi erişim imkânı sağlamayan ödeme hizmeti sağlayıcılarının BKM entegrasyonuna ilişkin yerine getirmesi gereken yükümlülükleri 31/12/2025 tarihine kadar yerine getirebileceği, Nezdinde ödeme hesabı bulunduran ödeme hizmeti sağlayıcılarının, lisans süreci devam edenler ile açık bankacılık lisansı almış kuruluşlara BKM GEÇİT dışında standart olmayan servisleri kullanarak vermesinin 30/6/2024 tarihine kadar verebileceği, Lisans sürecinde olan açık bankacılık kuruluşlarının BKM GEÇİT’te yer alan veri paylaşım servisleri hizmetlerini, 30/6/2024 tarihine kadar standart olmayan servisleri kullanarak verebileceği, Bankalar ve açık bankacılık kuruluşlarının, Banka Ödeme Sistemlerinde 2020 yılı içerisinde gerçekleştirilen hesaba ödeme işlemleri açısından, toplam adedine göre ilk on katılımcı arasında yer almayan ödeme hizmeti sağlayıcıları nezdinde bulunan ödeme hesapları ile ilgili olarak BKM GEÇİT tarafından belirlenmiş veri paylaşım servisleri hizmetlerini 30/6/2024 tarihine kadar standart olmayan servisleri kullanarak verebileceği düzenlenmiştir.