Ödeme ve Elektronik Para Kuruluşlarına Topluluk Bulutu Hizmeti Sunan Dış Hizmet Sağlayıcılara İlişkin Rehberde Değişiklik
Ödemeler mevzuatımız belirli şartların sağlanması durumunda ödeme ve elektronik para kuruluşlarının topluluk bulutu hizmet modeliyle dış hizmet alımı yapabilmesine imkan tanımıştır. Ancak bu hizmet yalnızca TCMB'nin uygunluk verdiği dış hizmet sağlayıcılar tarafından sunulabilmektedir. Kabaca ifade edecek olursak, halihazırda söz konusu hizmeti i) Regülasyona tabi bankacılık ve finans sektörü, ii) Kanun ile kurulmuş birlik nezdinde faaliyet gösterenler, iii) Telekomünikasyon sektörü, iv) Kamu/vakıf, v) Ödeme sistemi işleticileri olmak üzere 5 ana grubun sağlamasına izin verilmektedir. TCMB tarafından yayımlanan Rehber ile söz konusu hizmeti sunacak dış hizmet sağlayıcıların uygunluk alabilmesi için yerine getirmeleri gereken şartlar belirlenmektedir.
TCMB tarafından, Ödeme ve Elektronik Para Kuruluşlarına Topluluk Bulutu Hizmeti Sunan Dış Hizmet Sağlayıcılara İlişkin Rehber’de 4 Eylül 2023 tarihi itibariyle değişikliğe gidilmiştir. Sürüm 1.2 olarak adlandırılan son rehberdeki değişiklikler şu şekildedir:
Rehberin uygunluk şartları bölümüne yeni bir madde eklenerek kendisine ait veri merkezi sahipliği bulunmayan dış hizmet sağlayıcılar için aşağıdaki koşul eklenmiştir:
"Kendisine ait veri merkezi sahipliği yoksa, birincil ve ikincil merkezlere yönelik olarak bu Rehberdeki veri merkezi standartlarını sağlayan dış hizmet sağlayıcılardan sadece donanım barındırma veya dedike donanım hizmetlerini alıyor olması”
İkincil merkezle ilgili veri merkezi standartlarına ilişkin sertifika şartlarında değişikliğe gidilmiştir. Daha önceki rehberdeki şartlara göre, ikincil merkeze ait Kullanılabilirlik Sınıfı, Koruma Sınıf ve Enerji Ayrıntı Seviyesi en az 3 olan TSE TS EN 50600 veri merkezi operasyon belgesi yoksa bu sertifikaları karşılayacak gereksinimleri sağlamış olması gerekmekteydi. Yeni rehberde ise, ikincil merkeze ait Kullanılabilirlik Sınıfı, Koruma Sınıf ve Enerji Ayrıntı Seviyesi en az 3 olan TSE TS EN 50600 veri merkezi operasyon belgesi yoksa Tier 3 veya Tier 4 veri merkezi altyapı setifikasının olması yeterli görülmektedir. Ancak her iki sertifikanın da bulunmaması durumunda Kullanılabilirlik Sınıfı, Koruma Sınıf ve Enerji Ayrıntı Seviyesi en az 3 olan TSE TS EN 50600 veri merkezi operasyon belgesinin alınması istenmektedir.
Topluluk bulutu hizmetine ilişkin sertifikalarla ilgili olarak daha önceki rehberde IAF (Uluslararası Akreditasyon Forumu) üyesi bir akreditasyon kuruluşu tarafından akredite edilmiş belgelendirme kuruluşlarından alınmış sertifikalar kabul edilirken yeni rehberde sadece TÜRKAK tarafından akredite edilmiş belgelendirme kuruluşlarından alınmış sertifikaların kabul edileceği belirtilmektedir. Bilindiği üzere TÜRKAK, IAF’in tam üyesi konumunda olup söz konusu uluslararası örgüt ile çok taraflı/karşılıklı tanınma anlaşması imzalamıştır. Rehberdeki bu değişiklik sonrası IAF üyesi yabancı akreditasyon kuruluşlarınca akredite edilmiş belgelendirme kuruluşlarından alınmış sertifikalar uygunluk başvurusunda kullanılamayacaktır.
Rehberin yeni sürümünde söz konusu rehberin uygulanması ile ilgili olarak değişikliğe gidilerek birincil merkez için Tier sertifikasının olması şartıyla dış hizmet sağlayıcılara uygunluk verilebileceği ancak bu dış hizmet sağlayıcıların 31 Aralık 2024 tarihine kadar Rehberin 1.2 sürümüne uyumlu hale gelmekle yükümlü oldukları belirtilmektedir. Halihazırda uygunluk almış dış hizmet sağlayıcılar da 31 Aralık 2024 tarihine kadar Rehberin 1.2 sürümüne uyumlu hale gelmekle yükümlüdür.
Comments