İstanbul Bilgi Üniversitesi / Hukuk Fakültesi

Ödeme Hizmetleri Ve Elektronik Para Kuruluşları İle İlgili Mevzuatlarda Veri Koruma Hukuku

sertel şıracı

SUNUM PLANI

❖ Giriş❖ İlgili Mevzuat❖ Ödeme Sistemlerinde Veri Korumanın Önemi❖ Önemli Tanımlar❖ Hassas Ödeme Verisi ile Kişisel Bilgi Ayrımı❖ Ödeme Sistemlerinde Veri Neden Korunmalıdır?❖ 6493 Sayılı Kanunda Veri Koruma Hükümleri❖ Yönetmeliklerde Veri Koruma Standartları❖ Tebliğ’de Veri Koruma ve Dış Hizmet Alımı❖ Sonuç❖ Kaynakça

GİRİŞ

❖ E-ticaret müşterisinin korkuları ve ekonomiye etkisi

❖ Kanun koyucunun ödeme verisi konusuna yaklaşımı

❖ Güven kurumu olarak ödeme aracısı şirketler

İLGİLİ AB DİREKTİFLERİ

❖ 2007/64/EC sayılı Odeme Hizmetleri Direktifi

❖ 2009/44/EC sayılı direktif ile degisik 1998/26/EC sayılı Odeme ve Menkul Kıymet Mutabakat Sistemlerinde Mutabakatın Nihailigi Direktifi

❖ 2009/110/EC sayılı Elektronik Para Kuruluslarının Kurulması, Faaliyetlerinin Surdurulmesi, Denetimi Direktifi

İLGİLİ GENEL MEVZUAT❖ T.C. Anayasası – m. 20

❖ 5411 Sayılı Bankacılık Kanunu – m.1, m.42, m.73, m.76

❖ 5464 S. Banka Kartları ve Kredi Kartları Kanunu – m.8, m.16, m. 23, m.31, m.35, m. 39

❖ Banka Kartları ve Kredi Kartları Hakkında Yönetmelik – m. 21/4,m.21/5, m. 27/A

❖ Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ – m.15

❖ Türk Ceza Kanunu m. 239 - Ticarî sır, bankacılık sırrı veya müşteri sırrı niteliğindeki bilgi veya belgelerin açıklanması

❖ 6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun

❖ Mesafeli Sözleşmeler Yönetmeliği

ÖZEL MEVZUAT6493 sayılı Ödeme Ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri VeElektronik Para Kuruluşları Hakkında KanunKabul Tarihi: 20/06/2013Yürürlük Tarihi: 27 / 06/ 2013

Geçici Madde 2 – (1) Bu Kanunun yürürlüğe girdiği tarih itibarıyla faaliyette bulunan sistemişleticileri, sistemlerini bu Kanun kapsamında Bankaca çıkarılacak ilgili yönetmeliğin yayımıtarihinden itibaren bir yıl içinde bu Kanunla uyumlu hâle getirmek ve Bankaya başvurarakgerekli izinleri almak zorundadır.

Ödeme Hizmetleri Ve Elektronik Para İhracı İle Ödeme Kuruluşları Ve Elektronik ParaKuruluşları Hakkında YönetmelikYayım Tarihi: 27/06/2014Geçici maddenin süre dolumu: 27/06/2015

Ödeme Ve Menkul Kıymet Mutabakat Sistemlerinin Gözetimi Hakkında YönetmelikÖdeme Ve Menkul Kıymet Mutabakat Sistemlerinin Faaliyeti Hakkında YönetmelikYayım Tarihi: 28 Haziran 2014

Ödeme Kuruluşları Ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin YönetimineVe Denetimine İlişkin TebliğYayım Tarihi: 27/06/2014

ELEKTRONİK ÖDEME SİSTEMLERİNDE VERİ KORUMA

Elektronik ödeme sistemlerinde veri koruma uygulamaları iki anabaşlık altında toplanabilir.

❖ Sistem Güvenliği: Sistemi oluşturan donanım ve yazılımbirimlerinin fiziksel olarak veya kullanım ve lisans haklarıaçısından dış etkilere karşı korunması ve sistemin sürekli veetkin olarak çalışması için gerekli önlem ve uygulamalarıkapsar.

❖ Bilgi Güvenliği: Sistemde kullanılan, saklanan, iletilen bilgilerinbozulması, silinmesi istenmeyen erişimler, kopyalamalar, gizlilikihlalleri, gibi hasarlara uğramasını engellemek için gerekli önlemve uygulamalar bilgi güvenliği başlığı altında incelenir.

ELEKTRONİK ÖDEME SİSTEMLERİNDE VERİ KORUMA NEDEN ÖNEMLİ?

Elektronik ödeme sistemlerinde veri koruma sağlanması için dört temelşartın yerine getirilmesi gerekir:

❖ Gizlilik (Confidentiality): İşlem bilgilerinin üçüncü partiler tarafındandeğil sadece doğru kişi veya kuruluş tarafından görülebilmesi.

❖ Bilgi Bütünlüğü (Integrity): Bilginin kaynağında üretildiği şekliyle,değişmeden alıcıya ulaştırılması.

❖ Kimliğin Kanıtlanması (Authentication): İşlemin geçerliliğinin vetarafların kimliklerinin doğruluğunun kanıtlanması.

❖ İnkar Edememe (Non-repudiation): Alıcının veya satıcının yaptığısipariş, ödeme, vb. işlemleri sonradan inkar edememesi

ÖDEME SİSTEMLERİNDE VERİ NEDEN KORUNMALIDIR?❖ Ödeme sistemlerinde veri koruma, kuruluşların sözleşme ilişkisinden

kaynaklandığı gibi kamu düzenin de sağlanması ile ilgili bir yükümlülüktür.

❖ Bir ödeme sistemi kuruluşu bir alışverişe arıcılık ediyorsa mutlaka kişisel veriişliyordur. Kişisel verilerin işlenmesi kanun ile düzenlenmelidir.

❖ İşlenen verilerle ilgili yeterli koruma sağlanmazsa günden güne artan niteliklidolandırıcılık, nitelikli hırsızlık, kredi kartı suçlarının önüne geçilemez. Busuçların önlenmesi amacı da vardır.

❖ Müşteriden alınan verilerin transferine müdahale edilememesi; sadeceödeme işlemi için, sınırlı süre kadar, standartları belirlenmiş bilişim sistemleriile kayıt edilmesi hukuka aykırı eylemler için önleyici etkisi olacaktır.

❖ Müşteri ile e-ticaret sitesi arasında sadece bir köprü oluşturarak, güvenkurumu olan aracı şirketin e-ticaret sitesine ödeme verisini paylaşmadan, tümişlemi kendi üzerinde gerçekleştirmesi, e-ticaret sitesine sadece işlemonayını vermesi müşteri nezdinde güven tesis edecektir. Siteye bakiye yeterliveya yetersiz mesajı gidecek, başka bilgi verilmeyecek.

6493 SAYILI KANUN’DA VERİ KORUMA

MEVZUATLARDAKİ VERİ KORUMA İLE İLGİLİ ÖNEMLİ TANIMLAR

❖ Kimlik tanımlayıcı: Ödeme hizmeti sağlayıcısı tarafından kimliğinin belirlenmesi ve diğer kullanıcılardan ayırt edilmesi amacıyla ödeme hizmeti kullanıcısına özgülenen sayı, harf veya sembollerden oluşan kombinasyonu,

❖ Kişisel güvenlik bilgileri: Ödeme işleminin bir ödeme aracı ile gerçekleştirilmesinde kullanılabilecek şifre, son kullanma tarihi, güvenlik numarası gibi ödeme aracını ve ödeme aracı kullanıcısının kimliğini belirleyici bilgileri

6493 SAYILI KANUN’DA VERİ KORUMA

6493 Sayılı Kanun Madde 23 – (Değişik: 27/3/2015-6637/13 md.)

(1) Sistem işleticisi, ödeme kuruluşu ve elektronik para kuruluşu bu Kanunda yer alan hususlar ile ilgili belgeleri ve kayıtları en az on yıl süreyle güvenli ve istenildiği an erişime imkân sağlayacak şekilde yurt içinde saklar. Sistem işleticisinin faaliyetlerini yürütmede kullandığı bilgi sistemleri ve bunların yedekleri de yurt içinde tutulur. Ödeme kuruluşu ve elektronik para kuruluşunun faaliyetlerini yürütmede kullandıkları bilgi sistemlerine ilişkin usul ve esaslar Kurulca* belirlenir.

• Üç kuruluş da belge ve kayıtları 10 yıl süre ile yurt içinde saklar.

• Sistem işleticisi bilgi sistemlerini ve yedeklerini yurt içinde tutar.

• Ödeme kuruluşu ve e-para kuruluşlarının bilgi sistemlerini BDDK belirleyecek.

Avrupa Birliğinin ödeme hizmetlerine ilişkin direktifinde beş yıl süresince saklanma öngörülmüşse de bu süre yeterli görülmeyerek saklama süresi Bankacılık Kanununa paralel olarak on yıl olarak benimsenmiştir.

* Kurul: Bankacılık Düzenleme ve Denetleme Kurulu

6493 SAYILI KANUN’DA VERİ KORUMA

MADDE 23

(2) Ödeme usulsüzlüklerini önlemek, araştırmak ve ortaya çıkarmak için gerekli durumlarda, sistem işleticisi ve ödeme hizmeti sağlayıcısı, kişisel bilgileri kişisel verilerin korunmasına ilişkin gerekli tedbirleri alarak kullanır.

❖ Önleme

❖ Araştırma

❖ Ortaya çıkarma

❖ Korumanın ayrıntıları yönetmelik ve tebliğde düzenlenmiştir.

6493 SAYILI KANUN’DA VERİ KORUMAMADDE 31 - Cezai Yaptırımlar

(1) Bu Kanunun 23 üncü maddesinin birinci fıkrasında belirtilen yükümlülüğe uymayanlar bir yıldan üç yıla kadar hapis ve beş yüz günden bin beş yüz güne kadar adli para cezası ile cezalandırılır. (yurt içinde tutmama, 10 yıl saklamama)

(2) Ödeme hizmeti kullanıcısının ödeme aracıyla ilgili yükümlülükleri saklı kalmak kaydıyla, ödeme aracını kullanmaya yetkili olanlar dışındaki üçüncü kişilerin ödeme aracı ile ilgili kişisel güvenlik bilgilerine erişimlerinin engellenmesi için gerekli önlemleri almayan, ödeme aracının ve ödeme aracı ile ilgili kişisel güvenlik bilgilerinin ödeme hizmeti kullanıcısına güvenli bir şekilde ulaştırılmasını sağlamayan kuruluşların görevlileri ve işlemi yapan kişiler, bir yıldan üç yıla kadar hapis ve bin güne kadar adli para cezası ile cezalandırılır.

(3) Bu maddenin ikinci fıkrasında tanımlanan suçun dikkatsizlik veya tedbirsizlik veya meslekte yetersizlik nedeniyle işlenmesi durumunda, ilgili kuruluşların görevlileri ve işlemi yapan kişiler bin güne kadar adli para cezası ile cezalandırılır.

6493 SAYILI KANUN’DA VERİ KORUMA• Suçlar tanımsız.

• Oldukça geniş ifadeler kullanılmış. (yurt içinde tutmama, 10 yıl saklamama)

• Tebliğe yapılan bir atıf söz konusu.

• Gerekli güvenlik tedbirleri belirsiz.

• Aynı suçlar için Kişisel Verilerin Korunması Kanunu Tasarında idari para cezası söz konusu.

• Failin tespitindeki zorluklar.

6493 SAYILI KANUN’DA VERİ KORUMA

❖ Suçların gerek içerikleri itibariyle düzenlenmesinde gerekse öngörülen cezaların miktarı konusunda Bankacılık Kanunu’nu esas alınmıştır.

❖ Kanunda hurriyeti baglayıcı cezalara da yer verilmis olması suclarla mucadeledeki kararlılıgı ve ciddiyeti ortaya koymaktadır.

6493 SAYILI KANUN’DA VERİ KORUMA

MADDE 37 - Soruşturma

(1) Bu Kanunun 28 inci, 29 uncu ve 31 inci maddelerinde belirtilen suçlara ilişkin soruşturma ve kovuşturma yapılması, sistem işleticileri ile ilgili olarak Banka; ödeme ve elektronik para kuruluşları ile ilgili olarak ise Kurum tarafından Cumhuriyet başsavcılığına yazılı başvuruda bulunulmasına bağlıdır. Bu başvuru muhakeme şartı niteliğindedir.

(2) Bu Kanunun 31 inci maddesinde belirtilen suçtan dolayı ilgililerin Cumhuriyet başsavcılığına başvurması halinde yazılı başvuru şartı aranmaz. (İSTİSNA)

6493 SAYILI KANUN’DA VERİ KORUMA

Anayasa Madde 20: Herkes kendisiyle ilgili kişisel verilerin korunmasını talep edebilir.

Magdur olan herkesin dava acma hakkı oldugunu kabul etmek gerekir.

Banka, Kurum, Mağdur olanların şikayette bulunması halinde bir olayda en az 3 şikayet olabilir.

ÖDEME SİSTEMLERİ İLE İLGİLİ YÖNETMELİKLERDE VERİ KORUMA

ÖDEME VE MENKUL KIYMET MUTABAKAT SİSTEMLERİNİN GÖZETİMİ HAKKINDA YÖNETMELİK

• Banka bilgi sistemlerinin bağımsız denetim kuruluşlarınca denetlenmesini isteyebilir.

• Denetim faaliyeti BDDK tarafından yayımlanan Bankalarda Bilgi Sistemi Denetimi Yapmaya Yetkili Bağımsız Denetim Kuruluşları listesinde yer alan bağımsız denetim kuruluşlarınca yapılır.

ÖDEME VE MENKUL KIYMET MUTABAKAT SİSTEMLERİNİN FAALİYETLERİ HAKKINDA YÖNETMELİK

• Tüm bilgilerin elektronik ortamda güvenli bir şekilde saklanmasına ve kullanılmasına imkan verecek bir yapı oluşturulmasına dikkat edilir.

• Sistem işleticisi, bilgi sistemleri ve bu sistemlerde yer alan verilerin gizliliği, bütünlüğü ve ulaşılabilirliğini sağlayacak kontrol önlemlerini alır.

ÖDEME VE MENKUL KIYMET MUTABAKAT SİSTEMLERİNİN FAALİYETLERİ HAKKINDA YÖNETMELİK• Sistem işleticisi bilgi güvenliği ihlaline ilişkin olayları izlemek ve

dönemsel olarak değerlendirmekle yükümlüdür.

• Sistem işleticisinin bilgi sistemleri yurt içinde kurulu olmakzorundadır.

• Sistem işleticisinin, faaliyetlerini yürütmede kullandığı bilgisistemleri kapsamında bir dış hizmet alması halinde, dışhizmet sağlayıcısının bu kapsamdaki faaliyetlerini yürütmedekullandığı bilgi sistemleri ve bunların yedeklerinin de yurtiçinde tutulması esastır.

• Sistem işleticisi, açık olarak tanımlanmış fiziksel güvenlik vebilgi güvenliği politikalarına sahip olmalıdır.

ÖDEME KURULUŞLARI VE ELEKTRONİK PARA KURULUŞLARININ BİLGİ SİSTEMLERİNİN YÖNETİMİNE VE DENETİMİNE İLİŞKİN

TEBLİĞ

TEBLİĞ’DEKİ ÖNEMLİ TANIMLAR

❖ Dış hizmet sağlayıcı: Kuruluşun, Yönetmeliğin 14 üncümaddesi çerçevesinde münhasıran kendisi tarafındanyapılması gerekenler dışında kalan faaliyetlerini kuruluşadına gerçekleştiren ya da gerçekleştirilmesinde kuruluşayardımcı nitelikte hizmet veren tüzel kişileri ifade eder.

❖ Güvenli kanal: Kuruluşun kendi kullanıcılarına sunduğuelektronik posta kutusu ya da kullanıcıların kimlikdoğrulama gerçekleştirerek girdiği kuruluşa ait güvenliinternet sayfası gibi kullanıcılara iletilmek istenen bilgilerinkaynağının kuruluş olduğunun doğrulandığı iletişimkanalını ifade eder.

HASSAS ÖDEME VERİSİ - KİŞİSEL BİLGİ

❖ Hassas ödeme verisi: Kullanıcılar tarafından ödeme emrininverilmesinde veya kullanıcı kimliğinin doğrulanmasında kullanılan,ele geçirilmesi veya değiştirilmesi alinde dolandırıcılık ya dakullanıcılar adına sahte işlem yapılmasına imkan verebilecek şifre,güvenlik sorusu, sertifika, şifreleme anahtarı ile PIN, kart numarası,son kullanma tarihi, CVV2, CVC2 kodu gibi kuruluşlar tarafındanihraç edilen ödeme araçlarına ilişkin kişisel güvenlik bilgileridir.

❖ Kişisel bilgi: Gerçek kişi kullanıcıların adı, soyadı, T.C. kimliknumarası, pasaport numarası, vergi kimlik numarası, sosyalgüvenlik numarası, kimlik tanımlayıcısı, doğum yeri, doğum tarihi,telefon numarası, adresi, elektronik posta adresi, resim, görüntü veses kayıtları, biyometrik veriler gibi bilinmesi halinde tek başınaveya diğer bilgiler ile bir araya geldiğinde ait olduğu kişiyi belirli yada belirlenebilir hale getiren bilgi ya da bilgi setidir.

HASSAS ÖDEME VERİSİ - HASSAS VERİ

❖ Güvenlik ile ilgili tebliğde geçen “Hassas ödeme verisi” terimi ile Veri Koruma Hukuku açısından “Hassas Veri” aynı anlamda değildir ve karışıklığa yol açmaktadır.

❖ Hassas Ödeme Verisi, Kişisel Verilerin Korunması ile ilgili 95/46/EC sayılı direktifin 8. maddesinde sayılan kategorideki öğrenildiğinde kişinin dışlanmasına neden olacak verilerden değildir. Elbette bu ödeme verileri de Veri Koruma Hukukunun kapsamındadır. Fakat bir Hassas Veri de değildir.

❖ Bu nedenle de tebliğdeki kullanımın sadece “Ödeme Verisi” olarak değiştirilmesi, Veri Hukuku açısından kavram kargaşasını ortadan kaldıracaktır. Avrupa Veri Koruma Otoritesinin eleştirisi de bu yöndedir.

TEBLİĞE GÖRE ÖDEME HİZMETİ SAĞLAYICISININ SAHİP OLMASI GEREKEN ALT YAPI

❖ Bilgi sistemleri risk yönetimi,

❖ Güvenlik olay yönetimi,

❖ Veri gizliliği, güvenliği ve yetkilendirme,

❖ Kimlik doğrulama,

❖ Bilgi sistemleri süreklilik planı,

❖ Kullanıcıların bilgilendirilmesi,

❖ Kullanıcı bilgilerinin gizliliği,

❖ İşlemlerin takibi,

❖ Üye işyerleri, temsilciler ve hizmet noktaları ile çalışma esaslarının ve ortak alt yapılarının yönetimi takibi

ÜYE İŞYERLERİ VE HASSAS ÖDEME VERİSİ

❖ Üye işyerlerinin hassas ödeme verisini tutması, işlemesi veyakaydetmesi yasaklanmaktadır.

❖ Kuruluşlar, üye işyerleri ve temsilciler ile yapacağısözleşmelerde hükümlerin gereklerinin yerine getirildiğinigözetmekle ve gereğinin yerine getirilmediğinin anlaşılmasıhalinde sözleşmeyi feshetmekle yükümlüdür.

❖ Bu yükümlülükler e-ticaret sitelerini dış hizmet almazorlamaktadır. Bu durumda siteden alışveriş yapan üyeninödeme bilgilerinin aracı kuruluşlarla paylaşılacağı konusundabilgilendirilmesi ve rızası alınması gerekecektir.

❖ Bu durum veri öznesinin lehine olan bir uygulamadır.

KİMLİK DOĞRULAMA

❖ Alışık olduğumuz iki ayrı doğrulama sistemi şart koşulmuş.“Bildiği”, “sahip olduğu” veya “biyometrik bir karakteristiği olan”bileşenlerden en az birinin tek kullanımlık olması ve bu tekkullanımlık bileşen için gerekli olan en kısa geçerlilik süresininbelirlenmesi esastır.

❖ Kullanıcılara uygulanan kimlik doğrulamada kullanılacakparolaların yönetilmesi için günün teknolojisine uygun vegüvenli bir parola politikası belirlenir.

❖ Güvenlik tedbirlerindeki zorluk, gelişen teknoloji veriöznesinden yeni kişisel verilerin alınmasını gündemegetirmektedir. Örneğin Iphone 6 ile parmak izi ile çalışan mobilbankacılık şubeleri geliştirilmiştir.

BULUT BİLİŞİM KULLANIMI

• Hassas ödeme verisini,

• Kişisel bilgileri

• Kullanıcıyla ilintilendirilebilir ve onu belirli ya da belirlenebilir kılan her türlü kullanıcı bilgisini

❖ İşleyecek, Saklayacak ve İletecek şekilde bulut bilişim hizmetinin alınması,

★ Bu dış hizmetin ancak sadece kuruluşa tahsis edilmiş donanım ve yazılım kaynakları üzerinden sunulduğu özel bulut hizmet modeli ile alınması halinde mümkündür.

SONUÇ❖ Günümüzde dijital ödeme sistemlerinin kullanılması zorunluluktur. Güvenlik

için harcanan para, ödeme verisi ile işlenen suçların verdiği zarardan çok daha yüksek olmasına rağmen ihlaller önlenemez şekilde artmaktadır. Ödeme verilerinin saklanması için ağır alt yapı şartları ve yaptırımları belirlenmiştir. Uluslararası şirketlerin belirlediği kurallar mevzuatlardan çok daha ileriye gitmektedir, hukuk doğal olarak geriden gelmektedir. Hassas ödeme verisi tutuyorsanız sözleşme feshi gündeme gelebilir.

❖ Kişisel Verilerin Korunması Hakkında Kanunumuz yokken elektronik ödeme sistemleri ile ilgili mevzuatın önce çıkartılmasının altında ekonomik kaygılar vardır.

❖ Kişisel verilerin işlenmesi ancak kanun ile olur yazarken e-para kanunun da bu hususta bir düzenleme yok. Daha çok yönetmelik hatta tebliğ ile düzenlemeler getirilmiş. Bu düzenlemlerin çoğu verilerin korumasına yöneliktir.

KAYNAKÇA❖ Güven, Çiğdem. 6493 Sayılı Kanunda İdari ve Cezai Sorumluluk. Ankara Barosu Dergisi, Sayı 3/2014.

❖ Yurtçiçek, Mehmet Sıddık. Hukuki Açıdan Elektronik Para. İstanbul. 2013.

❖ Opinion of the European Data Protection Supervisor https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2013/13-12-05_Opinion_Payments_EN.pdf

❖ Directive 2007/64/Ec Of The European Parliament And Of The Council, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:267:0007:0017:EN:PDF

❖ Directive 2009/110/Ec Of The European Parliament And Of The Council, http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32009L0110&from=EN

❖ Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun Tasarısı ile Plan ve Bütçe Komisyonu Raporu, Sıra Sayısı 473, http://www.tbmm.gov.tr/sirasayi/donem24/yil01/ss473.pdf

❖ 6493 sayılı Ödeme Ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri Ve Elektronik Para Kuruluşları Hakkında Kanun. http://www.bddk.org.tr/WebSitesi/turkce/Mevzuat/Odeme_Hizmetleri_Kanunu/122586493_sayili_kanun_web_9_4_2015.pdf

❖ Ödeme Hizmetleri Ve Elektronik Para İhracı İle Ödeme Kuruluşları Ve Elektronik Para Kuruluşları Hakkında Yönetmelik. http://www.bddk.org.tr/WebSitesi/turkce/Mevzuat/Odeme_Hizmetleri_Kanunu/13264odeme_hizmetleri_yonetmelik.pdf

❖ Ödeme Ve Menkul Kıymet Mutabakat Sistemlerinin Gözetimi Hakkında Yönetmelik. http://www.resmigazete.gov.tr/eskiler/2014/06/20140628-5.htm

❖ Ödeme Ve Menkul Kıymet Mutabakat Sistemlerinin Faaliyeti Hakkında Yönetmelik. http://www.resmigazete.gov.tr/eskiler/2014/06/20140628-4.htm

❖ Ödeme Kuruluşları Ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine Ve Denetimine İlişkin Tebliğ. http://www.resmigazete.gov.tr/eskiler/2014/06/20140627-7.htm