BankacılıkTeknoloji

Bankacılıkta Biyometrinin Kullanımı ve Fingerprint Kartlar

Finansal işlemlerde işlem yapan tarafın tanınması ve onaylanması aşamaları otantikasyon ve otorizasyon terimleri ile tarif edilir. Otantikasyon için pekçok farklı yöntem kullanılabilmektedir. Kullanılabilecek otantikasyon yöntemini kullanılan sistemin teknik yeterliliği, otantike edilmek istenen kişinin/aracın özellikleri ve mevzuatsal olarak getirilen kısıtlamalar farklı açılardan etkileyebilir.

Elektronik ortamda yapılan kimlik doğrulamaları her zaman için belirli bir oranda risk payı içerir. Örneğin 4 haneli bir şifrenin rastgele giriş ile doğru tahmin edilme olasılığı aşağıdaki formüle göre 10.000’de 1 ihtimaldir. Tabi bu ihtimal tamamen rastgele denemelerin yapıldığı ideal senaryoyu tarif eder. Gerçek hayatta 1111, 2222, doğum yılı, tutulan takımın kuruluş yılı gibi genel şifre kullanımı azımsanmayacak kadar fazla olunca ek önlemlerin alınması da kaçınılmaz hale geliyor.

Image for post

4 Haneli Şifrenin Tahmin Edilmesi : https://www.linxens.com/biometric-insights-false-acceptance-rate

Bankacılık mevzuatında şifrelerin daha güvenli şekilde belirlenmesine yönelik hükümler yer alıyor. Fakat yine de insan faktörü sebebiyle belirli oranda risk kalmaya devam ediyor.

Image for post

BANKALARDA BİLGİ SİSTEMLERİ YÖNETİMİNDE ESAS ALINACAK İLKELERE İLİŞKİN TEBLİĞ

Çoklu Kimlik Doğrulama

Bu olumsuz durumu bertaraf etmek için yapılan şey ise bir kademe daha doğrulama yapmak yani çoklu kimlik doğrulaması yapmak. Mevzuatımızda da tanımlanan bu uygulama çoklu kimlik doğrulamagüçlü kimlik doğrulama veya multi factor authenticationtwo factor authenticationstrong customer authentication gibi terimlerle ifade ediliyor.

Image for post

https://www.resmigazete.gov.tr/eskiler/2020/03/20200315-10.htm

Image for post

BANKALARDA BİLGİ SİSTEMLERİ YÖNETİMİNDE ESAS ALINACAK İLKELERE İLİŞKİN TEBLİĞ

Çoklu kimlik doğrulamada temelde 3 faktör gurubu içerisinde, her biri farklı gruptan olacak şekilde birden fazla unsurun doğrulanması esasına dayanıyor. Bir diğer önemli nokta ise bu faktörlerden herhangi birinin açığa çıkması durumunda kullanılan diğer faktörün bu durumdan etkilenmemesi yani geçerliliğini devam ettirmesi gerekiyor.

Bu gruplar ;

  • Bildiğin birşey : Anne kızlık soyadın , şifre vb.
  • Sahip olduğun birşey : Fiziksel kart, telefon vb.
  • Biyometrik karakteristiğin olan : Parmak izi, yürüyüş biçimi vb.

olarak ifade ediliyor.

Image for post

Kaynak: https://www.slimpay.com/blog/psd2-instant-payment-basics-strong-customer-authentication/

Biyometri Faktörü

Biyometrik veri, elektronik sistemler aracılığı ile kimlik doğrulama işlemlerinin gerçekleştirilmesini sağlamak amacıyla kullanılan kişiye özgü veri olarak tarif ediliyor. Değiştirilmesi veya kopyalanmasının zorluğu ve unutulma ihtimalinin olmaması nedeniyle biyometrik faktörün kullanımı giderek yaygınlaşıyor.

Image for post

Kaynak: KİMLİK DOĞRULAMASI İÇİN TUŞ VURUŞ DİNAMİKLERİNE DAYALI BİR GÜVENLİK SİSTEMİNİN YAPAY SİNİR AĞLARI İLE GELİŞTİRİLMESİ (Doktora Tezi) — Zeki ÖZEN

Kullanılan faktöre göre veriyi sağlaması mümkün olmayan kişiler (parmak izi faktöründe amputeler, albinolar vb.) veya parmak izi verisi sağlıklı olmayan kişiler (beden işçileri, bebekler vb. ) ile güvenlik gerekçeleri ile veriyi vermekte direnç gösteren kişiler biyometrik doğrulama uygulamasının zorlaştıran insan faktörleri olarak tespit edilmiştir.

Image for post

Biyometrik veriler iki başlık altında gruplandırılıyor :

Fiziksel Biyometri (pasif) :Kişinin fiziksel varlığı ile bağlantısı özelliklerdir. Parmak izi, Yüz, İris, Ses, Avuç içi damar haritası

Davranışsal Biyometri (aktif): İmzayı atma şekli, yürüyüş tarzı , klavyede veya dokunmatik ekranda yazma hızı veya imleci hareket ettirme tarzı, göz hareketleri ve bakış,

Image for post

https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics

Özellikle pandemi ile birlikte önemli hale gelen farklı bir kategorizasyon da “touch required” ve “touchless” yani temaslı ve temassız biyometrik doğrulama yöntemleri. Örneğin parmak izi tocuh required bir yöntem iken pandemi sonrası touchless parmak izi çalışmaları duyuruldu.

FRR &ARR

FAR: Gerçek olmayan bir biyometrik verinin kabul edilmesi oranı

FRR: Gerçek bir biyometrik verinin red edilmesi oranı

EER: FAR ve FRR değerlerinin eşit olduğu noktadır.

Image for post

Biyometrik doğrulama yönteminin güvenilirliği FRR ve FAR değerlerinin kabul edilebilir bir güven seviyesinde dengelenmesine bağlıdır. Örneğin parmak izi okuyuculu kartlar 4 haneli şifrenin sağladığı (1/10.000) güvenlik seviyesini sağlamak üzere tasarlanmıştır.

Mevzuat

Biyometrik verinin doğrulanabilmesi için alınarak kaydedilmesi ve işlem esnasında karşılaştırılması gerekmektedir.

2010 yılında yapılan değişiklik sonucunda Anayasanın 20. maddesine eklenen fıkra ile kişisel verilerin korunması anayasal güvence altına alınmış ve kişisel verilerin korunmasına ilişkin usul ve esasların kanunla düzenleneceği hükme bağlanmıştır. Bu kapsamda, 6698 sayılı Kişisel Verilerin Korunması Kanunu 07.04.2016 tarihinde yürürlüğe girmiştir.

Kişisel verilerin korunması kanununda biyometrik veri, özel nitelikli kişisel veri olarak tanımlanmıştır. Bu türden verilerin işlendiği yani biyometrik verinin kullanıldığı bir doğrulama yapısı kurulması durumunda kişinin açık rızası da dahil olmak üzere mevzuatta belirtilen bütün gerekliliklerin yerine getirilmesi gerekmektedir.

Image for post

https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5

Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir.

Image for post

Kaynak : KVKK

Parmak İzi Okuculu Kartlar

EMV kartlar ile yapılan işlemlerde hem kartın kendisinin (Offline Data Authentication )hem de kart hamilinin otantike edilmesi mümkündür.

Kartı kullanan kişinin otantikasyonu aşağıdaki 5 farklı seçenekten biri ile yapılır. Bunlardan 5.’si esasında otantikasyonun yapılmadığı bir seçenektir, bazı işlemlerde Issuer belirli kurallar çerçevesinde ve belirli tutarlar dahilinde kart hamilinin otantike edilmesine gerek duyulmadan işlemin yapılmasına müsaade edebilir; ör : temassız işlemler.

Image for post

Image for post

EMV, Kart Hamili Doğrulama Yöntemleri

EMVco 2018 yılında yayınladığı spesifikasyon bülteni ile biyometrik doğrulamayı temaslı kart spesifikasyonları için duyurmuş oldu. Bu çalışma sayesinde uygulamaya konulan çözümler global olarak birlikte çalışabilirlik özelliğine sahip olmuş oldu.

Image for post

EMVco Specification Bulletin No 185

Temaslı işlemlerde aşağıda yer aln biyometrik doğrulama türleri için standart belirlendi. EMV standartlarının bütününde olduğu gibi yine ISO standartları baz alınarak ödeme akışına uygun yeni bir spesifikasyon geliştirildi.

Image for post

Image for post

Parmak izi biyometrik verisi ile kart hamili otantikasyonun yapılabildiği kartlar piyasada kullanılmaya başlandı. Uygulamaya göre parmak izini okuyacak olan taraf terminal veya kart olabilir.

Farklı bir modele göre parmak izi terminal üzerindeki bir okuyucu tarafından okunup doğrulanmak üzere karta gönderilebilir. EMV spesifikasyonu bu akışı olanaklı kılıyor. Fakat piyasada parmakizi okuma kabiliyeti olan terminal sayısının sınırlı olması ve kart hamillerinin kendi kontrollerinde olmayan bir cihaza parmak izlerini okutmaktan imtina edecekleri düşünülebilir. Bu sebeple parmak izi okuyucu sensörünün kart üzerinde bulunduğu, doğrulamanın da kart üzerinde veya online Issuer sistemlerinde yapıldığı yöntem en ideal uygulama olarak görülüyor. Bu yöntem ile herhangi bir issuer hiçbir şekilde terminal veya acquirer sistemlere bağımlı olmadan biyometrik kart uygulamasını kendi çalışmalarını tamamlayarak devreye alabilmektedir.

Image for post

Kaynak : Nxp.com Biyometrik Kart

EMVco spesifikasyonunun biyometrik verinin terminal tarafından okunduğu modeli de içeriyor olması esasında okunması mümkün olan biyometrik verilerin çeşitliliğine dayanıyor. Örneğin tanımlı olan Biometric Type’lardan bir tanesi “Yüz Tanıma”. Mevcut plastik boyutları ve maliyet sebebiyle her bir karta kamera eklenmesi mümkün olamayacağından, yüz tanıma ile kart hamili otantikasyonu yapılacak ise terminal veya terminal sistemine entegre bir okuyucu tarafından bunun yapılması gerekecektir. Kim bilir, belki cep telefonu kameraları vasıtasıyla tasarlanacak bir akış ile bu işlem de terminale bağımlı olmadan kart hamili tarafından yapılabilir hale gelecek.

Image for post

Kaynak : EMVco

Bankacılık ve Devlet Ugulamalarında Biyometri Kullanımından Örnekler

TCKK : Türkiye Cumhuriyeti Kimlik Kartı üzerinde bulunan çip içerisinde biyometrik veriler yer almaktadır.

Image for post

Image for post

T.C. Kimlik Kartı

Image for post

TÜRKİYE CUMHURİYETİ KİMLİK KARTI YÖNETMELİĞİ

Avuç içi tanıma ile ATM

Image for post

Göz Damar Yapısı ile Internet Bankacılığı

Image for post

Ses Tanıma ile Çağrı Merkezi

Image for post

Image for post

Yüz Tanıma ile İnternet Şube

Image for post

Pekçok banka IOS uygulamalarında Touch ID ile doğrulamayı ek bir güvenlik önlemi olarak kullanıyor.

Image for post

2012 yılında yapılan düzenleme ile 2013 yılından buyana SGK tarafından hastanelerde avuç içi tanıma ile hasta doğrulaması yapılıyor.

Image for post

  • Yine ÖSYM mevzuatında da adayların ve sınav gözetmenlerinin biyometrik olarak doğrulanabileceği ifade edilmiştir.
  • Sporda şiddet ve düzensizliğin önlenmesine dair kanun da yasaklı kişilerin takibinin biyometrik yöntemler ile yapılabileceği belirtilmiştir.

Teknolojinin gelişerek alternatif biyometrik doğrulama yöntemlerinin ortaya çıkması, ticari olarak yaygın şekilde uygulanabilecek ölçüde sensör, kamera vb. araçların fiyatlarının makul düzeye inmesi ve kişisel verilerin gizliliğine yönelik toplumda kısmen hakim olan endişenin ortadan kaldırılması halinde biyometrik doğrulama en efektif yöntem olarak kullanılmaya devam edecektir.

Kaynaklar:

https://www.nxp.com/company/blog/biometric-performance-whats-needed-for-a-seamless-customer-experience:BL-BIOMETRIC-PERFORMANCE

https://www.kvkk.gov.tr/Icerik/5496/2019-81-165

https://bilgiguvende.com/her-142-sifreden-biri-123456/

http://www.datagenetics.com/blog/september32012/index.html

https://www.emvco.com/wp-content/uploads/2017/03/EMVCo-Website-Content-2.1-Contact-Portal-plus-Biometric-FAQ_v2.pdf

https://www.resmigazete.gov.tr/eskiler/2020/03/20200315-10.htm

https://www.resmigazete.gov.tr/eskiler/2007/09/20070914-1.htm

Bu yazı alıntıdır.

Başlangıç Noktası E-bülten

Merak etmeyin. Asla Spam yapmıyoruz.

İlginizi çekebilir
GirişimcilikTeknolojiYapay Zeka

Yapay Zeka ile Başarılı Bir Girişim Kurma Rehberi

Ar-GeSağlıkTeknoloji

Böcekler İğne Teknolojileri için İlham Verebilir mi?

TeknolojiVeri GüvenliğiYapay Zeka

Yapay Zekayı Güvenli Hale Getirmek: Akıllı Geleceğin Öncelikli Mücadelesi

Çocuk GelişimiMahremiyetTeknoloji

Çocuklar ve Dijital Dünyada Gizlilik Savaşı

Başlangıç Noktası E-bülten

Merak etmeyin. Asla Spam yapmıyoruz.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir