Finansal işlemlerde işlem yapan tarafın tanınması ve onaylanması aşamaları otantikasyon ve otorizasyon terimleri ile tarif edilir. Otantikasyon için pekçok farklı yöntem kullanılabilmektedir. Kullanılabilecek otantikasyon yöntemini kullanılan sistemin teknik yeterliliği, otantike edilmek istenen kişinin/aracın özellikleri ve mevzuatsal olarak getirilen kısıtlamalar farklı açılardan etkileyebilir.
Elektronik ortamda yapılan kimlik doğrulamaları her zaman için belirli bir oranda risk payı içerir. Örneğin 4 haneli bir şifrenin rastgele giriş ile doğru tahmin edilme olasılığı aşağıdaki formüle göre 10.000’de 1 ihtimaldir. Tabi bu ihtimal tamamen rastgele denemelerin yapıldığı ideal senaryoyu tarif eder. Gerçek hayatta 1111, 2222, doğum yılı, tutulan takımın kuruluş yılı gibi genel şifre kullanımı azımsanmayacak kadar fazla olunca ek önlemlerin alınması da kaçınılmaz hale geliyor.
Bankacılık mevzuatında şifrelerin daha güvenli şekilde belirlenmesine yönelik hükümler yer alıyor. Fakat yine de insan faktörü sebebiyle belirli oranda risk kalmaya devam ediyor.
Çoklu Kimlik Doğrulama
Bu olumsuz durumu bertaraf etmek için yapılan şey ise bir kademe daha doğrulama yapmak yani çoklu kimlik doğrulaması yapmak. Mevzuatımızda da tanımlanan bu uygulama çoklu kimlik doğrulama, güçlü kimlik doğrulama veya multi factor authentication, two factor authentication, strong customer authentication gibi terimlerle ifade ediliyor.
Çoklu kimlik doğrulamada temelde 3 faktör gurubu içerisinde, her biri farklı gruptan olacak şekilde birden fazla unsurun doğrulanması esasına dayanıyor. Bir diğer önemli nokta ise bu faktörlerden herhangi birinin açığa çıkması durumunda kullanılan diğer faktörün bu durumdan etkilenmemesi yani geçerliliğini devam ettirmesi gerekiyor.
Bu gruplar ;
- Bildiğin birşey : Anne kızlık soyadın , şifre vb.
- Sahip olduğun birşey : Fiziksel kart, telefon vb.
- Biyometrik karakteristiğin olan : Parmak izi, yürüyüş biçimi vb.
olarak ifade ediliyor.
Biyometri Faktörü
Biyometrik veri, elektronik sistemler aracılığı ile kimlik doğrulama işlemlerinin gerçekleştirilmesini sağlamak amacıyla kullanılan kişiye özgü veri olarak tarif ediliyor. Değiştirilmesi veya kopyalanmasının zorluğu ve unutulma ihtimalinin olmaması nedeniyle biyometrik faktörün kullanımı giderek yaygınlaşıyor.
Kullanılan faktöre göre veriyi sağlaması mümkün olmayan kişiler (parmak izi faktöründe amputeler, albinolar vb.) veya parmak izi verisi sağlıklı olmayan kişiler (beden işçileri, bebekler vb. ) ile güvenlik gerekçeleri ile veriyi vermekte direnç gösteren kişiler biyometrik doğrulama uygulamasının zorlaştıran insan faktörleri olarak tespit edilmiştir.
Biyometrik veriler iki başlık altında gruplandırılıyor :
Fiziksel Biyometri (pasif) :Kişinin fiziksel varlığı ile bağlantısı özelliklerdir. Parmak izi, Yüz, İris, Ses, Avuç içi damar haritası
Davranışsal Biyometri (aktif): İmzayı atma şekli, yürüyüş tarzı , klavyede veya dokunmatik ekranda yazma hızı veya imleci hareket ettirme tarzı, göz hareketleri ve bakış,
Özellikle pandemi ile birlikte önemli hale gelen farklı bir kategorizasyon da “touch required” ve “touchless” yani temaslı ve temassız biyometrik doğrulama yöntemleri. Örneğin parmak izi tocuh required bir yöntem iken pandemi sonrası touchless parmak izi çalışmaları duyuruldu.
FRR &ARR
FAR: Gerçek olmayan bir biyometrik verinin kabul edilmesi oranı
FRR: Gerçek bir biyometrik verinin red edilmesi oranı
EER: FAR ve FRR değerlerinin eşit olduğu noktadır.
Biyometrik doğrulama yönteminin güvenilirliği FRR ve FAR değerlerinin kabul edilebilir bir güven seviyesinde dengelenmesine bağlıdır. Örneğin parmak izi okuyuculu kartlar 4 haneli şifrenin sağladığı (1/10.000) güvenlik seviyesini sağlamak üzere tasarlanmıştır.
Mevzuat
Biyometrik verinin doğrulanabilmesi için alınarak kaydedilmesi ve işlem esnasında karşılaştırılması gerekmektedir.
2010 yılında yapılan değişiklik sonucunda Anayasanın 20. maddesine eklenen fıkra ile kişisel verilerin korunması anayasal güvence altına alınmış ve kişisel verilerin korunmasına ilişkin usul ve esasların kanunla düzenleneceği hükme bağlanmıştır. Bu kapsamda, 6698 sayılı Kişisel Verilerin Korunması Kanunu 07.04.2016 tarihinde yürürlüğe girmiştir.
Kişisel verilerin korunması kanununda biyometrik veri, özel nitelikli kişisel veri olarak tanımlanmıştır. Bu türden verilerin işlendiği yani biyometrik verinin kullanıldığı bir doğrulama yapısı kurulması durumunda kişinin açık rızası da dahil olmak üzere mevzuatta belirtilen bütün gerekliliklerin yerine getirilmesi gerekmektedir.
Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir.
KİŞİSEL VERİLERİ KORUMA KURUMU | KVKK | “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri…
Konu Özeti : “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”in…
www.kvkk.gov.tr
Parmak İzi Okuculu Kartlar
EMV kartlar ile yapılan işlemlerde hem kartın kendisinin (Offline Data Authentication )hem de kart hamilinin otantike edilmesi mümkündür.
Kartı kullanan kişinin otantikasyonu aşağıdaki 5 farklı seçenekten biri ile yapılır. Bunlardan 5.’si esasında otantikasyonun yapılmadığı bir seçenektir, bazı işlemlerde Issuer belirli kurallar çerçevesinde ve belirli tutarlar dahilinde kart hamilinin otantike edilmesine gerek duyulmadan işlemin yapılmasına müsaade edebilir; ör : temassız işlemler.
EMVco 2018 yılında yayınladığı spesifikasyon bülteni ile biyometrik doğrulamayı temaslı kart spesifikasyonları için duyurmuş oldu. Bu çalışma sayesinde uygulamaya konulan çözümler global olarak birlikte çalışabilirlik özelliğine sahip olmuş oldu.
Temaslı işlemlerde aşağıda yer aln biyometrik doğrulama türleri için standart belirlendi. EMV standartlarının bütününde olduğu gibi yine ISO standartları baz alınarak ödeme akışına uygun yeni bir spesifikasyon geliştirildi.
Parmak izi biyometrik verisi ile kart hamili otantikasyonun yapılabildiği kartlar piyasada kullanılmaya başlandı. Uygulamaya göre parmak izini okuyacak olan taraf terminal veya kart olabilir.
Farklı bir modele göre parmak izi terminal üzerindeki bir okuyucu tarafından okunup doğrulanmak üzere karta gönderilebilir. EMV spesifikasyonu bu akışı olanaklı kılıyor. Fakat piyasada parmakizi okuma kabiliyeti olan terminal sayısının sınırlı olması ve kart hamillerinin kendi kontrollerinde olmayan bir cihaza parmak izlerini okutmaktan imtina edecekleri düşünülebilir. Bu sebeple parmak izi okuyucu sensörünün kart üzerinde bulunduğu, doğrulamanın da kart üzerinde veya online Issuer sistemlerinde yapıldığı yöntem en ideal uygulama olarak görülüyor. Bu yöntem ile herhangi bir issuer hiçbir şekilde terminal veya acquirer sistemlere bağımlı olmadan biyometrik kart uygulamasını kendi çalışmalarını tamamlayarak devreye alabilmektedir.
EMVco spesifikasyonunun biyometrik verinin terminal tarafından okunduğu modeli de içeriyor olması esasında okunması mümkün olan biyometrik verilerin çeşitliliğine dayanıyor. Örneğin tanımlı olan Biometric Type’lardan bir tanesi “Yüz Tanıma”. Mevcut plastik boyutları ve maliyet sebebiyle her bir karta kamera eklenmesi mümkün olamayacağından, yüz tanıma ile kart hamili otantikasyonu yapılacak ise terminal veya terminal sistemine entegre bir okuyucu tarafından bunun yapılması gerekecektir. Kim bilir, belki cep telefonu kameraları vasıtasıyla tasarlanacak bir akış ile bu işlem de terminale bağımlı olmadan kart hamili tarafından yapılabilir hale gelecek.
Bankacılık ve Devlet Ugulamalarında Biyometri Kullanımından Örnekler
TCKK : Türkiye Cumhuriyeti Kimlik Kartı üzerinde bulunan çip içerisinde biyometrik veriler yer almaktadır.
Avuç içi tanıma ile ATM
Göz Damar Yapısı ile Internet Bankacılığı
Ses Tanıma ile Çağrı Merkezi
Yüz Tanıma ile İnternet Şube
Pekçok banka IOS uygulamalarında Touch ID ile doğrulamayı ek bir güvenlik önlemi olarak kullanıyor.
2012 yılında yapılan düzenleme ile 2013 yılından buyana SGK tarafından hastanelerde avuç içi tanıma ile hasta doğrulaması yapılıyor.
- Yine ÖSYM mevzuatında da adayların ve sınav gözetmenlerinin biyometrik olarak doğrulanabileceği ifade edilmiştir.
- Sporda şiddet ve düzensizliğin önlenmesine dair kanun da yasaklı kişilerin takibinin biyometrik yöntemler ile yapılabileceği belirtilmiştir.
Teknolojinin gelişerek alternatif biyometrik doğrulama yöntemlerinin ortaya çıkması, ticari olarak yaygın şekilde uygulanabilecek ölçüde sensör, kamera vb. araçların fiyatlarının makul düzeye inmesi ve kişisel verilerin gizliliğine yönelik toplumda kısmen hakim olan endişenin ortadan kaldırılması halinde biyometrik doğrulama en efektif yöntem olarak kullanılmaya devam edecektir.
Kaynaklar:
https://www.kvkk.gov.tr/Icerik/5496/2019-81-165
https://bilgiguvende.com/her-142-sifreden-biri-123456/
http://www.datagenetics.com/blog/september32012/index.html
https://www.resmigazete.gov.tr/eskiler/2020/03/20200315-10.htm
https://www.resmigazete.gov.tr/eskiler/2007/09/20070914-1.htm
Bu yazı alıntıdır.