Garanti Bankası, internet bankacılığına ilk başlayan bankalardan ve uygulamaları başarılı bir şekilde her geçen gün ilerliyor. Çoğu firmanın kullandığı bu uygulamalar ve internet üzerindeki sorunlar hakkında Garanti Teknoloji’den Savaş Şakar ve Mustafa Göğüş ile görüştük.
Turk-internet.com : Garanti Bankasının online işlem hacmi nasıl?
Savaş Şakar : Online işlemin tanımlanması lazım. ŞubeSiz Bankacılık kanallarından karşılaştırılabilir bankacılık işlemlerinin yaklaşık olarak %70’i geçiyor. İnternet Şubesi ise 40% ını yapıyor. Bu işlemlerin içerisinde ise ağırlığın para transferleri, kredi karı ve fatura ödemeleri ve yatırım işlemlerinde (hisse senedi, fon, hazine bonosu, vb) olduğunu söyleyebiliriz. Öte yandan e-ticaret adına gerçekleşen nakit yönetimi ve kredi kartlı ödeme sistemleri ile ilgili online işlemler sayılabilir.
Turk-internet.com : Neden böyle sizce?
Savaş Şakar : İnternet’in doğasından gelen üstünlükleri buna neden oluyor. Yani
Turk-internet.com : Ne zaman başladınız online şube yatırımlarına?
Savaş Şakar : İnternet şubesini 1997 yılında açtık.
Turk-internet.com : Hangi yazılımları kullanıyorsunuz?
Savaş Şakar : Internet şubesi tamamen kendi yazılımımız. IBM ve DB2. E-ticaret Sanal POS’da Sun Solaris ve Oracle fakat bankanın diğer çok farklı projelerinde, aşağı yukarı tüm işletim sistemleri de çalışılıyor.
Turk-internet.com : Yazılımınızı neden kendiniz geliştirdiniz?
Savaş Şakar : Hazır yazılımlar tam olarak sizin ihtiyaçlarınıza göre olmayabiliyor. Piyasanın değişkenliği ve rekabet koşulları sebebiyle sürekli ürün geliştirmek zorundasınız. Bu durumda hazır yazılımlar üzerinde yeterince kontrolünüz olmadığı için kısıtlamalarla karşılaşıyorsunuz. Öte yandan maliyet açısından da çok pahalıya geliyor.
Alt sistemlerde kullandığımız hazır yazılımlar tabi ki var. Ama ana banka sistemi bizim kendi geliştirdiğimiz bir sistem. Bu sayede Türkiye’ye özgün bazı işlemleri yani örneğin basamak sayısı, Türkçe desteği vb. rahatlıkla kendimiz yapabiliyoruz. Öte yandan Bankalar Kanuna göre davranmak zorundayız ve bu da bazı gereklilikleri ön plana çıkartıyor. Kanuni ve hukuki zorunluluklar doğrultusunda hazır yazılımların kısıtlamalarına maruz kalmadan kendi yazılımımız üzerinde rahatça uygulama geliştirebiliyoruz. Kendi yazılımınız olduğu zaman diğer yazılımlar ile entegrasyonda daha kolay bir hale geliyor. Oysa hazır paket kullanımlarında gerekli olan middleware’ler almanız ya da yazmanız gerekli.
Tüm bunlara ek olarak Banka olarak kolay kullanımlı bir sisteme ihtiyaç duyduğumuzdan ve ülkemizdeki vergi mevzuatlarına uygun bir yazılım olması gerektiğinden sistemimizi kendimizin geliştirdiğini söyleyebiliriz.
Turk-internet.com : Garanti neden bu tür bir yatırım yaptı?
Savaş Şakar : Garanti Bilişim Teknolojisi ve Ticaret T.A.Ş., 1946 yılında Garanti Ticaret Türk Anonim Ortaklığı adı altında her türlü iç ve dış ticaret faaliyeti göstermek üzere kurulmuş, aynı yıl Garanti Bankası’nın kuruluşunda kurucu ortak olarak yer almıştır.
1981 yılı başında şirket faaliyet konusunu Bilgi İşlem olarak değiştirmiş ve Garanti Bankası’na bilgi işlem hizmeti vermeye başlamıştır. 1983 yılında ise tüm Doğuş Grubunun teknolojik altyapısının geliştirilmesi ve işletimini üstlenmiştir. Bu sayede güçlü bir teknolojik destek ve altyapı çalışmasının temelleri atılmış oldu. Dünya’daki trendler ve daha verimli iş yapma ihtiyacının şirketlerin iş yapma şekillerine olan derin etkisi, hem Banka’nın iş yapma şekillerinde değişime gidilmesine, maliyetlerin düşürülmesine ve dolayısıyla da internet şubesi gibi verimliliği artırıcı çalışmaların yapılmasını sağladı. Öte yandan Garanti Teknoloji ile birlikte ortak bir altyapıya gidilmesi, Osmanlı Bankası-Garanti Bankası birleşmesinde de görülebileceği gibi çabuk karar alma ve uygulamaya geçme gibi avantajlar yarattı.
Turk-internet.com : Online Bankacılıkta, kullanıcı açısından ne tür problemler olabiliyor?
Savaş Şakar :Yaşadığımız olayların çoğunda kişilerin zarar görmelerinde öncelikle kendi hataları var. Mesela Post-It’lere şifresini yazıp, bilgisayarın köşesine yapıştıranlar, defterinin başına yazanlar.
İşlem ister sanal ortamda olsun isterse manyetik şerit okutularak yapılsın kart kullanıcısı yeteri kadar dikkatli ve hassas olmaz ise risk yaratabilir. Şifre şahsa özel bir bilgi olduğundan kesinlikle bir yere not edilmemeli, bir başkası ile paylaşılmamalı ve kullanıcı tarafından kolaylıkla hatırlanabilecek bir bilgi olmalıdır.
Herkesin bilmesi gereken ve bizim olabildiğince herkese iletmeye çalıştığımız mesaj “Banka asla ve asla email yada telefon ile şifreyi sormaz.” dır.
Magazin olarak hem TV hem de gazetelere yansıdığı gibi internet üzerinden para-kredi kartı çalınması gibi problemler çok az yaşanıyor.
Turk-internet.com : Peki ama şifre çalan programlar var. Bu konuda ne diyeceksiniz?
Savaş Şakar : Kullanıcının PC’sine yüklenebilen “screen logger”, “key logger” gibi programlar var.
Bu tür bir olayı yaşadık. Bir Internet Cafe’deki tüm PC’lere bu tür bir program koymuşlar. Internet cafe’deki bilgisayarları kullananların tüm bilgilerini kaydedip almışlar. Size ait olmayan bir PC’de işlem yaparken dikkatli olmanız gerekiyor. Özellikle umuma açık yerlerde internet şubesi şifresi vb. bilgilerin girilmemesinde fayda var.
Kendi PC’nizde ise nelerin yüklü olduğuna dikkat etmeniz gerekiyor. “Key logger” yada “screen logger”alrı virüs olarak kabul edebilirsiniz. O yüzden tanımadığınız birinden gelen gelen bir email içerisinde ya da disket vb. aracılığı ile bilgisayarınıza yüklenmiş olabilir. Burada bir firma söz konusu olunca, bu daha da ciddi bir sorun haline gelebilir. Örneğin Muhasebe Müdürünün PC’sine yüklenmiş ise problem çok ciddi boyutlara ulaşabilir.
Turk-internet.com : Bu tür olaylarda kullanıcıların nelere dikkat etmesi lazım?
Savaş Şakar :
- Virüs sızmalarına karşı önlem alın.
- Tanımadığınız kişilerden gelen dosyaları asla açmayın.
- PC’nizi başkasına kullandırmayın. 1234 gibi Default şifreler kullanmayın.
Kurumsal açıdan bakarsak,
- Şirket içi veri sistemine erişim kısıtlanmalıdır.
- Kötü niyet ile ihmalin birbirinden ayrılması zordur. Bu yüzden işten ayrılanların şifreleri hemen silinmelidir.
- Firewall kullanılmalıdır.
Turk-internet.com : Herkes kredi kartlarını online kullanmaktan korkuyor? Bu konuda ne diyeceksiniz?
Savaş Şakar : Kredi kartları ile ilgili daha öncede söylediğim gibi eğer firmalar ve kullanıcılar yeteri kadar hassas davranırlarsa hiçbir problem olmayacaktır. Kredi kartlarında mağdur olan kart sahibi olabileceği gibi mağaza sahibi de olabiliyor.
Türkiye’de birkaç yıldır e-Ticaret yapan şirketler artık tecrübeli. Alıcının sipariş verdiği saatten, oturduğu yere kadar bir sürü ipucunu rahatlıkla değerlendirebiliyorlar. Eğer görüşleri olumsuz ise müşteriye telefonla geri dönüş yapıyorlar. Garanti Bankası olarak Sanal POS kullanan işyerlerimizin şüpheli siparişleri girebileceği online bir formumuz aracılığı ile işlemlerin takibini buradan da yapmaya çalışıyoruz.
Mustafa Göğüş : Biz kendi içimizde geçmişe yönelik sahtekarlıkları arşivliyoruz. Şüpheli işlemler bildirildiği noktada o kişinin hareketlerini, hangi adresten, ne sipariş vermiş olduğunu kayıt altına alır ve takip ederiz. Satıcılara da kendilerini güvene almaları için çeşitli tavsiyelerde bulunuruz.
Örneğin;
- Özellikle yurtdışı siparişlerde kredi kartı fotokopisi isteyin
- Nüfus Cüzdanı fotokopisi isteyin, sipariş anında yada teslimat anında
- Ürünün satın alan kredi kartı sahibine teslim edilmesi önemli
- Kişi verdiği adreste teslim almalıdır, başka yerde teslim edilmemelidir
Sahtekarlıkla ilgili bilgiler değerlendirilip ortaya konulursa polis teşkilatı ile birlikte “suç üstüne” gidiliyor.
4 senedir MasterCard International Güney Avrupa Risk Komitesi başkanlığını yapmaktayım ve Sahtekarlık ve Güvenlik Servisimizde bu tip durumlarda devreye girmektedir. Sahtekarlık ve Güvenlik Servisi 3 bölümden oluşuyor;
a. Fiziksel kart kısmı (genel bankacılık)
b. Şubesiz Bankacılık
c. Elektronik Ticaret
Problem çıktığı zaman savcılığa suç duyurusu yapılıyor. Şu IP’den bu siparişler yapıldı deniyor. Farklı cafelerden ya da sahte IP de bile olsa trace ediyor, asıl IP’yi buluyoruz.
Turk-internet.com : Müşterilerinize ne tavsiyede bulunuyorsunuz?
Mustafa Göğüş : SSL olan siteden alışveriş etmek lazım. Sitede SSL logosu görmeniz durumunda da, SSL’i tıklayıp o firmaya mı ait diye kontrol etmelisiniz. URL adresinde de mutlaka “HttpS” görmelisiniz. Ayrıca bilmediğiniz sitelerden yada iletişim bilgilerini saklayan yerlerden alışveriş etmemek lazım.
Kart kullanıcılarının sliplerini sağda solda işimize yaramaz düşüncesi ile atmamaları gerektiğini ki bu olay çok sıklıkla benzin istasyonlarında ve süpermarketlerde yaşanmaktadır, bu slipleri ele geçiren üçüncü şahıslar slip üzerindeki bilgilerden faydalanarak sanal ortamda işlem yapabilmektedirler. Ayrıca, kart kullanıcılarının güvenilir olmayan veya piyasada tanınmayan firmalardan alış veriş yapmamalarında veya alış veriş yapacaklar ise işlemden önce mutlaka sitenin güvenlik önlemlerini dikkatlice okuduktan sonra alışveriş yapmalarında fayda vardır. Müşterilerin kredi kartı ekstrelerini düzenli olarak kontrol etmeleri ve kendilerine ait olmayan bir harcama tespit ettiklerinde hemen bankalarına durumu bildirmeleri olası dolandırıcılığı minimize edebilmek açısından önemlidir.
Turk-internet.com : Kredi Kartı Çalınma olayı oldu mu?
Mustafa Göğüş : Biz banka olarak müşteri ve satıcı her iki tarafı birbirine karşı koruyoruz.
Kredi kartı çalınması ya da kaybedilmesi sık rastlanılan bir durumdur. Taksim’de turistlerin sıklıkla gittiği çok bilinen bir restaurantta müşterilerin kartları kopyalanmıştı ve burada dolandırıcılığı restaurantta çalışan garson ve kasiyerler yapmışlardı. Yine bir mağazamızın bildirmesiyle izlemeye başladığımız bir sahtekarı ürün teslimatı sırasında “suç üstü” yakalattık.
Kimsenin unutmaması gereken bir şey var; internet üzerinden yapılan sahtekarlıkların cezası epeyce ağır. Eğer tek kişi değilse örgütlü suça giriyor ve ceza daha da artıyor. Zaman zaman heyecan, acemilik ve genç olmaları sebebiyle bu tip girişimlerde bulunan çok genç insanlar hapse girdiler.
Turk-internet.com : e-Ticarette durum nasıl?
Mustafa Göğüş : Garanti Bankası ödeme altyapısını kullanılarak yapılan B2C işlemlerde aylık 2-3 milyon $ arası bir hacim söz konusu. Hediye dönemlerinde(yılbaşı, anneler günü, sevgililer günü, bayramlar vb.) bu rakam hem işlem adedi hemde ciro olarak artıyor.
Sanal kart uygulamalarımız var. Sanal kartta para yok. Kullanacağınız kadar para koyarsınız. Bonus ve Shop&Miles’ın sanal kredi kartları da çıkardık. Bu ktredi kartlarınada kredi limiti aktararak alışverişinizi tamamlayabilirsiniz.
Ayrıca iki yeni sanal kredi kartı çıkarttık; Bonus Sanal Mastercard ve Shop&miles Sanal Visa Card. Sanal Kart ile yapılan alıişverişlerde Mastercard sayılarına göre tüm Türkiye’deki işlemlerin yaklaşık %70’i Garanti Bankası Sanal Kart’ları ile yapılıyor.
Turk-internet.com : Peki Kendi Güvenliğinizi Nasıl Kullanıyorsunuz?
Mustafa Göğüş : Güvenik bakış açısı; İşletim sistemi güvenliği internet üzerinden açılan sistemlerde önemli. Firewall’lar var. Saldırı tespit sistemleri de kullanıyoruz. 2 milyon günlük page view alıyoruz.
İnternet’ten erişilen veri tabanımız yok. Bunlar hep banka sisteminin arkasında ve dış dünyadan bağımsız çalışmaktadırlar. Tüm işlemler SSL ile şifrelenerek yapılır.
İçerde de en az dışarısı kadar güvenli olmak zorundasınız. Çalışanlarımız “gerektiği kadar erişim” prensibi doğrultusunda çalışırlar. Tüm kullanıcılarımızın sistem içerisindeki hareketleri izlenir ve arşivlenir.
Web tabanlı dinamik içerik, sisteme kontrol edilerek herşey kontrol edilerek alınır.
Nisan 2003’te tüm dünyada geçerli olacak olan 3D Secure çalışmalarını başlattık. Alışveriş anında pop-up ekranda kendinizi otorize edip işlemin tamamlanmasını sağlayan bir sistem olarak hayatımıza girecek.
Bankalar Kanunu’na göre Bankalar müşteri bilgilerini korumak zorundadırlar ve dışarıya veremezler. Banka hangi güvenlik önlemini alırsa alsın eğer kullanıcı ve işyeri gereken hassasiyeti göstermezse problem oluşması kaçınılmazdır.
Sanal pos kullanımında mağaza ve kullanıcılara ait tüm işlemleri erken fraud uyarı sistemimiz vasıtası ile izliyoruz. Şüpheli durumlarda bizi uyaran alarm sistemlerimiz mevcut. Bu tip bir durumla karşılaştığımızda kartı yada hesabı donduruyoruz.