Açık bankacılığın güvenli olup olmadığını anlayabilmek için öncelikle açık bankacılığın uygulanabilmesini sağlayan güvenli aracılardan yani Uygulama Programlama Arayüzü’nün (Application Programming Interface, “API”) neyi ifade ettiğine değinmek gerekir.
API-Uygulama Programlama Arayüzü, iki uygulama arasında köprü görevi gören aracı bir yazılımdır. İşleyişi tamamen güvenlik ilkelerine dayanır. Kodlar ve kullanıcı bilgilerini gizli tutarak, üçüncü parti hizmet sağlayıcılarının bir diğer uygulamasında gerekli verilerin kullanılmasını sağlar.
İlginizi çekebilir: Tüm Bankalar Tek Ekranda
Avrupa Birliği üye ülkelerini kapsayan, açık bankacılık hizmetlerinin sınırlarını belirleyen kanunun 2. Versiyonu olan PSD2 kapsamında hizmet sağlayıcılar için çeşitli güvenlik önlemleri öngörmektedir.
Bu doğrultuda ;
• Hizmet sağlayıcılarının, kullanıcı adı ve şifre gibi ilgili bankanın sistemine giriş yapmasını sağlayacak kullanıcı bilgilerine hiçbir şekilde erişiminin olmaması ve tüm taraflarla iletişimi güvenli yollardan sağlama zorunluluğu mevcut.
• Hizmeti sağlamadan önce müşteriden açık rıza alma zorunlulukları var ve müşteri tıpkı Türk hukukunda olduğu gibi bu açık rızayı dilediği zaman geri çekme veya kapsamını sınırlama hakkına sahip.
• Ödeme Hizmeti Sağlayıcılarının (PISP) her bir işleme ilişkin olarak müşteriyi bilgilendirmeleri ve Hesap Bilgisi Sağlayıcılarının (AISP) ise yalnızca banka tarafından kendilerine sağlanan bilgilere erişim sağlamaları gerekli. Sorumluluk açısından, PISP’lerin ödemenin tam ve zamanında yapılmasından müşterinin hesabının bulunduğu banka ile birlikte sorumlulukları bulunuyor.
İlginizi Çekebilir: Açık Bankacılık Nedir?
Konuyu AISP (Hesap Bilgisi Sağlayıcıları) uygulamaları yönünden detaylandırmak gerekirse,
Hizmet sağlayıcısı, müşterilerinin banka hesaplarına ve hareketlerine farklı uygulamalar ile ulaşmasını sağlamasına olanak tanır. Bu hizmetler, banka, hizmet sağlayıcı ve müşteri arasında uçtan uca mevzuata ve hukuka uygun zeminde gerçekleştirilir.
Online hesap hareketi entegrasyonun gerçekleşebilmesi için, müşteri, çalıştığı bankalardaki şube müşteri temsilcilerine internet bankacılığından farklı ve “para transfer yetkisi” içermeyen entegrasyon kullanıcı tanımlarının oluşturulması için talimat verir. Bu kullanıcı bilgileri banka tarafından direkt olarak müşterinin talimatta belirlediği mail adresine mail ortamında gönderilir. Müşteri/yetkilisi, hizmet sağlayıcının uygulaması üzerinden ilgili tanımları kendisi gerçekleştirir. Uygulama, şifreleri kaydetmez.
Müşteri tarafından kullanıcı olarak belirlenmediği sürece, kimsenin müşterinin hesaplarına erişimi söz konusu değildir.
Açık Bankacılık ve Fintech dünyasıyla alakalı daha fazla bilgi almak için bizi takip etmeyi unutmayın.
