Söyleşinin ilk bölümünü Burak Kutlu : Elektronik Ödeme Sistemlerinde 5-6 Sene Öndeyiz, Bu Nedenle Asseco SEE İçinde İstanbul Merkez Seçildi – I başlığı altında okuyabilirsiniz.
Asseco SEE Grup Yöneticisi Burak Kutlu ile söyleşimizi yayınlamaya kaldığımız yerden devam ediyoruz.
turk-internet.com : Elektronik Payment konudaki çözümlerinizden bahseder misiniz? Güvenli e-ödeme çözümleriniz özellikle nelerdir?
Burak Kutlu : ASSECO ve önceki dönemde, 2000 yılından beri Türkiye’de bankalara ve e-ticarete alt yapı hizmeti sunmaktayız. Bu “Sanal Pos” çözümümüzü kapsıyor. e-ticaret yapmak isteyen web sitelerinin, firmalarının ya da mail order yoluyla ödeme almak, kredi kartı ödemesi almak isteyen kuruluşların tamamına sunduğumuz bir sanal pos çözümü bu. Şu anda 11 banka Türkiye’de, 10 banka yurt dışında bu hizmeti alıyor. Bu bankalar arasında çok büyük bankalar yer alıyor. Sanal pos çözümümüz ile 14 yıldır yürüttüğümüz ve üzerinde on binlerce iş yerinin web sitesinin bağlı olduğu ve ayda 15 milyon kredi kartı işlemimin gerçekleştiği bir alt yapı hizmeti işletmekteyiz.
turk-internet.com : Türkiye için mi bu rakam?
Burak Kutlu : Bu, Türkiye için geçerli, evet. Yani, e- ticaret işlem hacminin çok büyük bir kısmı Türkiye’de bizim sunucularımız ve işletim hizmetlerimiz üzerinden geçmekte.
tuTurk-internet.com : Peki güvenli ödeme ile neyi kastediyorsunuz?
Burak Kutlu : Güvenli ödeme ile kastettiğimiz şey şu; kart sahibinin alışveriş yaparken girdiği hassas ödeme verilerinin tuşlanınca şifrelenerek, aracıların göremeyeceği şekilde transfer edilmesi ve ilgili bankadan provizyon işleminin alınmasını sağlayacak bütün alt yapıların güvenliğini yaratacak bir çözüm.
turk-internet.com : Sizin üzerinizden geçen toplam hacim ile ilgili, e –ticaret hacmi ile ilgili bir bilginiz var mı?
Burak Kutlu : Bizim üzerimizden geçen rakamı pek vermek istemem ancak BKM rakamları üzerinden bilgiler verebiliriz: 14 milyarlık bir hacme sahibiz.
turk-internet.com : Büyük bir kısmı sizden geçiyor diyorsunuz?
Burak Kutlu : Evet, aynen öyle.
turk-internet.com : Bugün sizinle söyleşi yapmamızın bir nedeni de, yürürlüğe giren yeni kanun. Yani 6493 Sayılı Kanun. Bu Kanun finans ve e-ticaret firmalarını nasıl etkileyecek?
Burak Kutlu : Bu Kanun öncelikle bankalar ve onun dışında ödeme kuruluşlarını ve elektronik para ihraç edecek kuruluşları ilgilendiriyor. Ve bu Kanun kapsamıyla beraber bankalar dışında yeni oyuncuların da bu tür ödeme hizmetlerine bir definasyona tabi olarak verilmesini sağlıyor.
Tabii ki bu, piyasaya yeni oyuncuların girmesine, ya da mevcut faaliyet gösteren firmaların da buna göre kendilerini uyumlu hale getirmelerini gerektiriyor. Ancak Yasa’nın gerekçesi, banka dışında firmaların da ödeme hizmeti yapabilmelerine olanak sağlamak ve bunu sağlarlarken de gerekli güvenlik önlemleri alınmış olmasını ve ilgili regülasyonlara uyulmasını sağlamayı ön şart olarak koşuyor.
Biz ASSECO olarak böyle bir düzenleme yokken bile mevcut kredi kartı kuruluşlarını, BDDK’nın ve hizmet veren bankaların bütün güvenlik ile ilgili regülasyonlarını ve uyum süreçlerini zaten tam olarak çalışmaktaydık.
turk-internet.com : Ben de onu soracaktım son dönemde güvenlik sertifikaları denen birtakım sertifikalar var, insanlar bunlara bakıyor. Sizin bu konuda güvenlik sertifikaları ile ilgili bize söyleyeceğiniz bir şey var mı ve sizin firmanızın sahip olduğu güvenlik sertifikaları bulunuyor mu?
Burak Kutlu : Bulunuyor. Şöyle ki, kredi kartı dünyasının öncelikle Visa ve Master Card’ın öncülüğünde kurulmuş olan PCI Konseyi var. Bu PCI Konseyi kredi kartı işlemlerinde alınması gereken güvenlik önlemlerini belirlemekte ve bunlara uyulup uyulmadığını ise bağımız denetçiler ile denetlemekte ve sertifikalandırmakta.
ASSECO olarak biz 2006 senesinden beri PCI DSS Seviye 1 denilen en üst seviye sertifikayı her yıl tekrarlamaktayız, almaktayız. Bu sertifika şu kapsamında: Hassas verilerin güvenliği, network ortamının güvenli kurulması, bilgilerin şifreli saklanması, yedekleme ve imha prosedürlerinin yerinde olması, şifreleme ağlarının doğru süreçler ile geliştirilmesi gibi birçok alt yapı hizmetini ve güvenlik ile ilgili alınması gereken süreçleri kapsamakta. Senede 1 kez bir bağımsız denetim firması tarafından yerinde denetim ve onun dışında da 3 ay da 1 de dışarıdan network taraması ile sistemlerimizin açıkları bulunmaya çalışılıp bununla ilgili raporlar düzenli olarak bu PCI DSS Konseyi’ne gönderilip onaylanmaktadır.
turk-internet.com : Çok önemli çünkü işlemler geçiyor bu noktadan…
Burak Kutlu : Doğru. Bunun yanı sıra yine kendi ürettiğimiz, kendi kullandığımız yazılımın
da PADSS denilen yazılım güvenliği standartlarına uygunluk sertifikasını almış bulunmaktayız. Bu da bir ilk Türkiye için diyebilirim ödeme hizmetleri alnında. Diğer konuda PCI DSS’ de ise Türkiye’de bu sertifikaya sahip birkaç teknoloji firmasından birtanesiyiz ve bağımsız olarak alanda ilklerden birisi.
turk-internet.com : Peki bu Kanun’un getirdiği değişiklikleri sizin çözümleriniz destekliyor mu?
Burak Kutlu : Mevcut sanal pos hizmetimiz zaten bu kapsam ile uyumlu şekilde çalışmakta. Bahsettiğim güvenlik sertifikaları zaten bu Kanun ve düzenleme olmadan önce de vardı ve şu anda da uyumlu olarak çalışıyor. Bunun dışında bizim geçen sene hizmete sunduğumuz bir güvenli kredi kart saklama çözümümüz var. Bu da, yaptıkları iş gereği kredi kartı bilgilerini, hassas ödeme verilerini saklamak isteyen firmalara bir dış kaynak hizmeti olarak güvenli bir saklama hizmeti sunuyoruz. Bu, web sitelerinde tek tuş ile alışveriş ya da kolay alışveriş şeklinde hizmetler sunmalarını sağlıyor. Basitçe, kart bilgilerini kendi güvenli ortamımızda firma adına saklamaktayız. Ve bunları bütün PSI DSS ve bu yeni Kanun kapsamında gereken tedbirleri alarak yapmaktayız. Bu sayede firmalar güvenlik ile ilgili bütün riskleri ve sorumlulukları bize aktarmaktalar ve biz de kendi güvenli ortamımızı bu firmalara kullandırmaktayız.
turk-internet.com : Peki çok teşekkür ederim Burak Bey! Benim sorularım bu kadar. Sizin eksik kalan ya da eklemek istediğiniz başka bir şey var mıdır?
Burak Kutlu : Benim son olarak eklemek istediğim şey, asıl olarak e-ticaret işlemlerinde gerekli güvenlik önlemlerini almak ve iş sürekliliği anlamında bu hizmetlerin kesintisiz olarak çalışabilmesi için yeni bir data center, veri hizmeti devri aldık bu sene içerisinde. Bunun bilgisini vermek isterim. İstanbul dışında, İzmir’de de yeni bir veri merkezinde bu sistemleri işletmeye başladık çünkü Yasa kapsamında bu hassas verilerin ülke sınırları içerisinde kalması gerekiyor ve yedeklerin de yine ülke sırları içerisinde bulunması gerekiyor. Böyle bir kritik hizmet verdiğimiz için tek bir merkez ile bunu yürütmek yerine, ikinci bir veri merkezi ile bunu yedekledik ve böylelikle bu hizmetin kesintisiz olarak sağlanmasını, verilmesini amaçladık.
Kaynak : 