Yatırım Hizmet ve Faaliyetleri ile Yan Hizmetler Tebliğ (III-45.1.b)
08 Şubat 2022 Tarihli Resmi Gazete
Sayı: 31744
Sermaye Piyasası Kurulundan:
MADDE 1 – 1/8/2015 tarihli ve 29432 sayılı Resmî Gazete’de yayımlanan Yatırım Hizmet ve Faaliyetleri ile Yan Hizmetlere İlişkin Belge ve Kayıt Düzeni Hakkında Tebliğ (III-45.1)’in 5 inci maddesinin ikinci fıkrası aşağıdaki şekilde değiştirilmiştir.
“(2) Sözleşmeler, en az bir nüsha olarak düzenlenir ve aslına uygun olduğuna ilişkin onaylayanın imzasını ve yatırım kuruluşunun kaşesini ihtiva eden bir suret müşteriye verilir. Sözleşmenin yatırım kuruluşunda kalan aslının üzerine müşteri tarafından bir suretinin alındığı ibaresi yazılır ve imzalanır. Müşteri ile elektronik ortamda kurulan çerçeve sözleşmeler için 8/2/2022 tarihli ve 31744 sayılı Resmî Gazete’de yayımlanan Aracı Kurumlar ve Portföy Yönetim Şirketleri Tarafından Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Tebliğ (III-42.1)’in 13 üncü maddesi uygulanır. Elektronik ortamda kurulacak sözleşmelerde kaşe ve imza ihtiva eden bir suretin müşteriye verilmesine gerek yoktur. Ancak elektronik ortamda kurulan sözleşmenin bir suretinin müşteriye verilmesi veya müşteri tarafından beyan edilecek elektronik posta adresine iletilmesi veya müşteriye bilgisi verilmek suretiyle sözleşmenin elektronik ortamda erişiminin ve görüntülenebilirliğinin sağlanması zorunludur.”
MADDE 2 – Aynı Tebliğe 5 inci maddeden sonra gelmek üzere aşağıdaki madde eklenmiştir.
“Kimlik doğrulama ve işlem güvenliği
MADDE 5/A – (1) Aracı kurumun, elektronik ortamda sunulan yatırım hizmet ve faaliyetleri için müşterilerine birbirinden bağımsız en az iki bileşenden oluşan bir kimlik doğrulama mekanizması uygulaması ve bu bileşenlerin kimlik doğrulama sürecinde kullanılmaları esnasında barındırdıkları kimlik doğrulama verilerinin gizliliğini sağlayacak önlemleri alması esastır. Bu iki bileşen; müşterinin “bildiği”, “sahip olduğu” veya “biyometrik bir karakteristiği olan” unsur sınıflarından farklı ikisine ait olmak üzere seçilir. Bileşenlerin bağımsız olması, bir bileşenin ele geçirilmesinin diğer bileşenin güvenliğini tehlikeye atmamasını ifade eder. Müşterinin sahip olduğu bileşenin müşteriye özgü olması ve taklit edilememesi esastır.
(2) Elektronik ortamda sunulan yatırım hizmet ve faaliyetleri için birinci fıkraya göre gerçekleştirilecek kimlik doğrulama işlemi için müşteriye atanmış bir şifreleme gizli anahtarı ile imzalanacak şekilde tek kullanımlık bir doğrulama kodu üretilir. Doğrulama kodu aracılığıyla birinci fıkrada belirtilen kimlik doğrulama unsurlarından hiçbiri hakkında bilgi edinilememesi, bilinen bir doğrulama kodu ile geçerli başka doğrulama kodlarının türetilememesi, doğrulama kodlarının taklit edilememesi sağlanır. Müşteriye atanmış bir şifreleme gizli anahtarı ile doğrulama kodunun imzalanmasının mümkün olmadığı hallerde, SMS yoluyla müşteriye doğrulama kodu iletilebilir.
(3) Aracı kurum mobil uygulamasına tanımlanan uygulama pininin müşteriye özgü bir şifreleme anahtarına erişmek üzere kullanılması ve bu şifreleme anahtarı yoluyla müşteriyle ilintili eşsiz bir bilginin aracı kurum nezdinde çevrimiçi olarak doğrulanması halinde, birinci fıkrada belirtilen iki bileşenli kimlik doğrulama yerine getirilmiş kabul edilir. Benzer şekilde, müşteriye ait bir biyometrik kimlik doğrulama bileşeninin mobil uygulama kullanılarak müşteriye özgü bir şifreleme anahtarına erişilmesi suretiyle bu şifreleme anahtarı yoluyla müşteriyle ilintili eşsiz bir bilginin aracı kurum nezdinde çevrimiçi olarak doğrulanması halinde, birinci fıkrada belirtilen iki bileşenli kimlik doğrulama yerine getirilmiş kabul edilir.
(4) Müşterilere uygulanacak kimlik doğrulama mekanizmasının aşağıdaki fonksiyonları yerine getirmesi sağlanır:
a) Başarısız kimlik doğrulama teşebbüslerinin belirli bir sayıyı aşması halinde ilgili müşterinin erişimini engellemesi.
b) Başarısız kimlik doğrulama teşebbüsleri sonrasında, bu teşebbüsü gerçekleştiren kişiye, hatalı girilen müşteri adı bilgisi veya parola ile ilgili, böyle bir müşteri adının sistemde olmadığı veya parolanın hatalı girildiği bilgisini vermemesi.
c) Hiçbir işlem yapılmayan hareketsiz oturumlar için oturumu belirli bir süre sonra sonlandırması veya kilitlemesi.
ç) Birden fazla müşterinin aynı müşteri hesabını kullanabilmesi ya da bir müşterinin aynı anda farklı oturumlar açabilmesi konusunda bilgi güvenliğinden sorumlu personelin onay verdiği durumlar hariç olmak üzere, aynı müşteri için aynı anda birden fazla oturum açılmaya çalışılması durumunda buna izin vermemesi ve müşteriye uyarı vermesi.”
MADDE 3 – Aynı Tebliğin 12 nci maddesinin birinci fıkrasının (g) ve (i) bentleri aşağıdaki şekilde değiştirilmiştir.
“g) İşleme konu miktar ve işlemin yapıldığı para birimi ve/veya Türk Lirası cinsinden parasal tutarı.”
“i) Varsa işlem başlangıç anında belirlenen teminat tutarı.”
MADDE 4 – Aynı Tebliğin 17 nci maddesinin birinci fıkrası aşağıdaki şekilde değiştirilmiştir.
“(1) Müşteri hesabı bulunan yatırım kuruluşları, yatırım hizmet ve faaliyetleri ile yan hizmetlerle ilgili olarak hesap ekstresini aylık dönemler itibarıyla ilgili dönemi izleyen beş iş günü içinde müşterilerin adreslerine göndermek zorundadır. Ancak hesap ekstresi, müşterinin yazılı olarak, kayıtlı telefon üzerinden veya tevsik edilebilmesi kaydıyla her türlü elektronik ortamda ileteceği talep üzerine; müşteri tarafından beyan edilecek elektronik posta adresine aynı süre içinde gönderilebilir ya da müşterilerin hesap ekstresine elektronik ortamda erişimine imkân sağlanabilir. Müşterinin söz konusu talebinin 5 inci maddenin ikinci fıkrasında çerçeve sözleşme imzalanması için öngörülen yöntemle alınması mümkündür.”
MADDE 5 – Aynı Tebliğin 27 nci maddesinin birinci ve yedinci fıkraları aşağıdaki şekilde değiştirilmiştir.
“(1) Yatırım kuruluşlarının yatırım hizmet ve faaliyetleri ile yan hizmetler dolayısıyla aldıkları ve ürettikleri elektronik olanlar da dahil her türlü belgeyi, gerçekleşip gerçekleşmemesine bakılmaksızın müşteri emirlerine ilişkin tüm emir formlarını, elektronik ortamda alınan emirleri, bu emirlere ilişkin belgeler ile faks ve ses kayıtları ile Aracı Kurumlar ve Portföy Yönetim Şirketleri Tarafından Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Tebliğ (III-42.1) uyarınca uzaktan kimlik tespiti süresince alınan tüm belgeler ve video görüntüler dahil elektronik kayıtları düzenli ve tasnif edilmiş bir biçimde 13/1/2011 tarihli ve 6102 sayılı Türk Ticaret Kanununun 82 nci maddesi uyarınca 10 yıl süre ile saklamaları zorunludur.”
“(7) Yatırım kuruluşları tarafından; 22 nci madde hükümleri saklı kalmak üzere elektronik ortamda üretilen;
a) III-37.1 sayılı Tebliğin elektronik ortamda alım satım emirlerinin iletimine ilişkin hükümleri uyarınca anlık olarak kaydedilmesi zorunlu olan; gerçekleşmeyen, iptal edilen ve değiştirilen emirler de dahil olmak üzere gerçekleştirilen tüm işlemlere ilişkin tarih, zaman, miktar, fiyat, kullanılan kaldıraç oranı ve diğer tüm unsurları ve hesap hareketlerini ve zaman bilgisini gösterecek şekilde müşterilere yansıtılan fiyatların,
b) III-37.1 sayılı Tebliğin elektronik ortamda alım satım emirlerinin iletimine ilişkin hükümleri uyarınca anlık olarak kaydedilmesi zorunlu olan, müşterilerin teminatları, alacak ve borçları, açık pozisyonları ve kar zarar durumlarına ilişkin kayıtların,
anlık olarak doğruluğu ve bütünlüğü sağlanacak şekilde dosya bütünlük değerlerinin günlük periyotlarda zaman damgası ile düzenlenmesi ve saklanması zorunludur.”
MADDE 6 – Aynı Tebliğin 29 uncu maddesi yürürlükten kaldırılmıştır.
MADDE 7 – Bu Tebliğ yayımı tarihinden bir ay sonra yürürlüğe girer.
MADDE 8 – Bu Tebliğ hükümlerini Sermaye Piyasası Kurulu yürütür.
Tebliğin Yayımlandığı Resmî Gazete’nin |
Tarihi |
Sayısı |
1/8/2015 |
29432 |
Tebliğde Değişiklik Yapan Tebliğin Yayımlandığı Resmî Gazete’nin |
Tarihi |
Sayısı |
11/11/2015 |
29529 |