Aracı kurumlar, yeni müşterileriyle uzaktan kimlik tespiti yöntemleri ve elektronik ortamda sözleşme ilişkisi kurabilecek.
Sermaye Piyasası Kurulunun (SPK) “Aracı Kurumlar ve Portföy Yönetim Şirketleri Tarafından Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Tebliği” Resmi Gazete’de yayımlandı.
Tebliğin amacı; aracı kurumlar ve portföy yönetim şirketleri tarafından yeni müşteri kabulünde kullanılabilecek uzaktan kimlik tespiti yöntemlerine ve mesafeli olsun olmasın bir bilişim veya elektronik haberleşme cihazı üzerinden yazılı şeklin yerine geçecek şekilde ya da mesafeli olarak sözleşme ilişkisinin kurulmasına yönelik usul ve esasları düzenlemek olarak belirlendi.
Uzaktan kimlik tespiti, bu Tebliğde belirtilen usul ve esaslar dâhilinde personel ile kişinin; fiziksel olarak aynı ortamda bulunmasına gerek olmadan, çevrim içi olarak görüntülü görüşmesi ve birbiriyle iletişim kurması ile yapılacak.
Uzaktan kimlik tespiti yöntemi bu Tebliğde belirtilen usul ve esaslar dâhilinde uygulanacak. Uygulanacak yöntem, yüz yüze yapılan kimlik tespiti yöntemine benzer ve asgari seviyede risk ihtiva edecek şekilde tasarlanacak.
Kimlik tespiti sırasında kullanılacak belgelere, bu belgelerde var olan doğrulanabilir özelliklere ve doğrulamanın yapılması sırasında kullanılacak kriterlere ilişkin detaylı dokümanlar oluşturulacak.
Uzaktan kimlik tespitinde kullanılacak görüntülü görüşme yönteminde olası teknolojik, operasyonel ve benzeri riskler dikkate alınarak yeterli seviyede güvenlik önlemleri alınacak.
Uzaktan kimlik tespiti için kullanılacak süreçler ve sistemler yoluyla uzaktan kimlik tespiti işlemi, kritik işlem olarak değerlendirilir ve işlemin bilgi teknolojileri veya personel tarafından başlatılması, onaylanması ve tamamlanmasına imkân vermeyecek şekilde tasarlanır ve işletilecek. Sürecin kişi tarafından başlatılması, bilgi teknolojileri tarafından uygulanan kontroller ile devam ettirilmesi ve personel tarafından yapılacak onaylama ve ek kontroller ile tamamlanması sağlanacak. Personel tarafından yapılan kontrollerde işlemin riskli bulunması halinde işlem ikinci bir personele onaya gönderilir veya sonlandırılacak.
Uzaktan kimlik tespitine ilişkin kullanılacak sistemlerin edinimi, yönetimi ve kullanılmasında 17/12/2013 tarihli ve 28854 sayılı Resmî Gazete’de yayımlanan Yatırım Kuruluşlarının Kuruluş ve Faaliyet Esasları Hakkında Tebliğ III-39.1’in 50 nci maddesi ile 5/1/2018 tarihli ve 30292 sayılı Resmî Gazete’de yayımlanan Bilgi Sistemleri Yönetimi Tebliği (VII-128.9)’nin 18 inci maddesinde yer alan esaslara uyulacak.
Aracı kurum ve portföy yönetim şirketi tarafından uzaktan kimlik tespiti sürecinin uygulanmasından önce, iş akış prosedürü oluşturulur ve prosedürde belirlenen sürecin etkinliği test edilerek sonuçları yazılı hale getirilecek. Test sonuçlarının başarılı bulunmaması durumunda prosedürde gerekli güncellemeler yapılır ve sürecin etkinliği ve yeterliliğinden emin olunmadıkça süreç uygulanmayacak.
Uzaktan kimlik tespiti prosedürü yılda en az iki defa gözden geçirilecek. Güvenlik ihlallerinin tespit edilmesi veya gerçekleşmesi, ilgili mevzuatta değişiklik yapılması, aracı kurumun ve portföy yönetim şirketinin muhtemel dolandırıcılık veya sahtecilik teşkil edebilecek eylemlerden haberdar olması ve kullanılan uzaktan kimlik tespiti yöntemine ilişkin zayıflıkların ortaya çıkması gibi durumlarda teknolojik gelişmeler ve uygulamada kazanılan deneyimler dikkate alınarak sürecin ayrıca gözden geçirilmesi sağlanır ve gerekli güncellemeler yapılacak.
Uzaktan kimlik tespitini yapacak personel ve çalışma ortamı
Uzaktan kimlik tespitinin görüntülü görüşme aşaması bu konuda eğitim almış personel tarafından gerçekleştirilecek.
Personelin, kimlik tespitinde kullanılabilecek belgelerin özelliklerini ve bu belgeler için uygulanan geçerli doğrulama yöntemlerini öğrenmesi ve dolandırıcılık veya sahtecilik teşkil edebilecek eylemlere, bu Tebliğde ve ilgili diğer mevzuatta yer alan yükümlülüklere ilişkin bilgi sahibi olması sağlanacak.
Personelin, uzaktan kimlik tespiti sürecine ilişkin yılda en az bir defa ve her bir güncelleme sonrasında kişisel verilerin korunması mevzuatı da dâhil olmak üzere eğitim alması sağlanacak.
Personelin, kişinin aracı kurum veya portföy yönetim şirketi müşterisi olma veya hizmet ve faaliyetlerinden yararlanma isteğini aracı kurumdan veya portföy yönetim şirketinden kendi iradesiyle talep ettiğine şüphe bırakmayacak şekilde karar verebilmesi konusunda eğitim alması sağlanacak.
Uzaktan kimlik tespiti sürecinde personelin, yaşanabilecek güvenlik zafiyetlerinin ya da suistimallerin engellenmesine yönelik gerekli tedbirlerin alındığı, erişimi sınırlandırılmış ayrı alanlarda çalışması sağlanacak.
Kişiye güven açısından personelin aracı kurum veya portföy yönetim şirketi adına çalıştığını yansıtacak şekilde uygun bir ortam oluşturulması veya yöntemler kullanılması sağlanacak.
Aracı kurum veya portföy yönetim şirketi tarafından engelli kişilere hizmet verebilmek amacıyla gerekli önlemler alınacak.