Bankacılıkta Biyometrinin Kullanımı ve Fingerprint Kartlar

mustafa aktaş
7 min readNov 28, 2020

Finansal işlemlerde işlem yapan tarafın tanınması ve onaylanması aşamaları otantikasyon ve otorizasyon terimleri ile tarif edilir. Otantikasyon için pekçok farklı yöntem kullanılabilmektedir. Kullanılabilecek otantikasyon yöntemini kullanılan sistemin teknik yeterliliği, otantike edilmek istenen kişinin/aracın özellikleri ve mevzuatsal olarak getirilen kısıtlamalar farklı açılardan etkileyebilir.

Elektronik ortamda yapılan kimlik doğrulamaları her zaman için belirli bir oranda risk payı içerir. Örneğin 4 haneli bir şifrenin rastgele giriş ile doğru tahmin edilme olasılığı aşağıdaki formüle göre 10.000'de 1 ihtimaldir. Tabi bu ihtimal tamamen rastgele denemelerin yapıldığı ideal senaryoyu tarif eder. Gerçek hayatta 1111, 2222, doğum yılı, tutulan takımın kuruluş yılı gibi genel şifre kullanımı azımsanmayacak kadar fazla olunca ek önlemlerin alınması da kaçınılmaz hale geliyor.

4 Haneli Şifrenin Tahmin Edilmesi : https://www.linxens.com/biometric-insights-false-acceptance-rate

Bankacılık mevzuatında şifrelerin daha güvenli şekilde belirlenmesine yönelik hükümler yer alıyor. Fakat yine de insan faktörü sebebiyle belirli oranda risk kalmaya devam ediyor.

BANKALARDA BİLGİ SİSTEMLERİ YÖNETİMİNDE ESAS ALINACAK İLKELERE İLİŞKİN TEBLİĞ

Çoklu Kimlik Doğrulama

Bu olumsuz durumu bertaraf etmek için yapılan şey ise bir kademe daha doğrulama yapmak yani çoklu kimlik doğrulaması yapmak. Mevzuatımızda da tanımlanan bu uygulama çoklu kimlik doğrulama, güçlü kimlik doğrulama veya multi factor authentication, two factor authentication, strong customer authentication gibi terimlerle ifade ediliyor.

https://www.resmigazete.gov.tr/eskiler/2020/03/20200315-10.htm
BANKALARDA BİLGİ SİSTEMLERİ YÖNETİMİNDE ESAS ALINACAK İLKELERE İLİŞKİN TEBLİĞ

Çoklu kimlik doğrulama temelde 3 faktör gurubu içerisinde, her biri farklı gruptan olacak şekilde birden fazla unsurun doğrulanması esasına dayanıyor. Bir diğer önemli nokta ise bu faktörlerden herhangi birinin açığa çıkması durumunda kullanılan diğer faktörün bu durumdan etkilenmemesi yani geçerliliğini devam ettirmesi gerekiyor.

Bu gruplar ;

  • Bildiğin birşey : Anne kızlık soyadın , şifre vb.
  • Sahip olduğun birşey : Fiziksel kart, telefon vb.
  • Biyometrik karakteristiğin olan : Parmak izi, yürüyüş biçimi vb.

olarak ifade ediliyor.

Kaynak: https://www.slimpay.com/blog/psd2-instant-payment-basics-strong-customer-authentication/

Biyometri Faktörü

Biyometrik veri, elektronik sistemler aracılığı ile kimlik doğrulama işlemlerinin gerçekleştirilmesini sağlamak amacıyla kullanılan kişiye özgü veri olarak tarif ediliyor. Değiştirilmesi veya kopyalanmasının zorluğu ve unutulma ihtimalinin olmaması nedeniyle biyometrik faktörün kullanımı giderek yaygınlaşıyor.

Kaynak: KİMLİK DOĞRULAMASI İÇİN TUŞ VURUŞ DİNAMİKLERİNE DAYALI BİR GÜVENLİK SİSTEMİNİN YAPAY SİNİR AĞLARI İLE GELİŞTİRİLMESİ (Doktora Tezi) — Zeki ÖZEN

Kullanılan faktöre göre veriyi sağlaması mümkün olmayan kişiler (parmak izi faktöründe amputeler, albinolar vb.) veya parmak izi verisi sağlıklı olmayan kişiler (beden işçileri, bebekler vb. ) ile güvenlik gerekçeleri ile veriyi vermekte direnç gösteren kişiler biyometrik doğrulama uygulamasının zorlaştıran insan faktörleri olarak tespit edilmiştir.

Biyometrik veriler iki başlık altında gruplandırılıyor :

Fiziksel Biyometri (pasif) :Kişinin fiziksel varlığı ile bağlantısı özelliklerdir. Parmak izi, Yüz, İris, Ses, Avuç içi damar haritası

Davranışsal Biyometri (aktif): İmzayı atma şekli, yürüyüş tarzı , klavyede veya dokunmatik ekranda yazma hızı veya imleci hareket ettirme tarzı, göz hareketleri ve bakış,

https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics

Özellikle pandemi ile birlikte önemli hale gelen farklı bir kategorizasyon da “touch required” ve “touchless” yani temaslı ve temassız biyometrik doğrulama yöntemleri. Örneğin parmak izi tocuh required bir yöntem iken pandemi sonrası touchless parmak izi çalışmaları duyuruldu.

FRR &ARR

FAR: Gerçek olmayan bir biyometrik verinin kabul edilmesi oranı

FRR: Gerçek bir biyometrik verinin red edilmesi oranı

EER: FAR ve FRR değerlerinin eşit olduğu noktadır.

Biyometrik doğrulama yönteminin güvenilirliği FRR ve FAR değerlerinin kabul edilebilir bir güven seviyesinde dengelenmesine bağlıdır. Örneğin parmak izi okuyuculu kartlar 4 haneli şifrenin sağladığı (1/10.000) güvenlik seviyesini sağlamak üzere tasarlanmıştır.

Mevzuat

Biyometrik verinin doğrulanabilmesi için alınarak kaydedilmesi ve işlem esnasında karşılaştırılması gerekmektedir.

2010 yılında yapılan değişiklik sonucunda Anayasanın 20. maddesine eklenen fıkra ile kişisel verilerin korunması anayasal güvence altına alınmış ve kişisel verilerin korunmasına ilişkin usul ve esasların kanunla düzenleneceği hükme bağlanmıştır. Bu kapsamda, 6698 sayılı Kişisel Verilerin Korunması Kanunu 07.04.2016 tarihinde yürürlüğe girmiştir.

Kişisel verilerin korunması kanununda biyometrik veri, özel nitelikli kişisel veri olarak tanımlanmıştır. Bu türden verilerin işlendiği yani biyometrik verinin kullanıldığı bir doğrulama yapısı kurulması durumunda kişinin açık rızası da dahil olmak üzere mevzuatta belirtilen bütün gerekliliklerin yerine getirilmesi gerekmektedir.

https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5

Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir.

Kaynak : KVKK

Parmak İzi Okuculu Kartlar

EMV kartlar ile yapılan işlemlerde hem kartın kendisinin (Offline Data Authentication )hem de kart hamilinin otantike edilmesi mümkündür.

Kartı kullanan kişinin otantikasyonu aşağıdaki 5 farklı seçenekten biri ile yapılır. Bunlardan 5.’si esasında otantikasyonun yapılmadığı bir seçenektir, bazı işlemlerde Issuer belirli kurallar çerçevesinde ve belirli tutarlar dahilinde kart hamilinin otantike edilmesine gerek duyulmadan işlemin yapılmasına müsaade edebilir; ör : temassız işlemler.

EMV, Kart Hamili Doğrulama Yöntemleri

EMVco 2018 yılında yayınladığı spesifikasyon bülteni ile biyometrik doğrulamayı temaslı kart spesifikasyonları için duyurmuş oldu. Bu çalışma sayesinde uygulamaya konulan çözümler global olarak birlikte çalışabilirlik özelliğine sahip olmuş oldu.

EMVco Specification Bulletin No 185

Temaslı işlemlerde aşağıda yer aln biyometrik doğrulama türleri için standart belirlendi. EMV standartlarının bütününde olduğu gibi yine ISO standartları baz alınarak ödeme akışına uygun yeni bir spesifikasyon geliştirildi.

Parmak izi biyometrik verisi ile kart hamili otantikasyonun yapılabildiği kartlar piyasada kullanılmaya başlandı. Uygulamaya göre parmak izini okuyacak olan taraf terminal veya kart olabilir.

Farklı bir modele göre parmak izi terminal üzerindeki bir okuyucu tarafından okunup doğrulanmak üzere karta gönderilebilir. EMV spesifikasyonu bu akışı olanaklı kılıyor. Fakat piyasada parmakizi okuma kabiliyeti olan terminal sayısının sınırlı olması ve kart hamillerinin kendi kontrollerinde olmayan bir cihaza parmak izlerini okutmaktan imtina edecekleri düşünülebilir. Bu sebeple parmak izi okuyucu sensörünün kart üzerinde bulunduğu, doğrulamanın da kart üzerinde veya online Issuer sistemlerinde yapıldığı yöntem en ideal uygulama olarak görülüyor. Bu yöntem ile herhangi bir issuer hiçbir şekilde terminal veya acquirer sistemlere bağımlı olmadan biyometrik kart uygulamasını kendi çalışmalarını tamamlayarak devreye alabilmektedir.

Kaynak : Nxp.com Biyometrik Kart

EMVco spesifikasyonunun biyometrik verinin terminal tarafından okunduğu modeli de içeriyor olması esasında okunması mümkün olan biyometrik verilerin çeşitliliğine dayanıyor. Örneğin tanımlı olan Biometric Type’lardan bir tanesi “Yüz Tanıma”. Mevcut plastik boyutları ve maliyet sebebiyle her bir karta kamera eklenmesi mümkün olamayacağından, yüz tanıma ile kart hamili otantikasyonu yapılacak ise terminal veya terminal sistemine entegre bir okuyucu tarafından bunun yapılması gerekecektir. Kim bilir, belki cep telefonu kameraları vasıtasıyla tasarlanacak bir akış ile bu işlem de terminale bağımlı olmadan kart hamili tarafından yapılabilir hale gelecek.

Kaynak : EMVco

Bankacılık ve Devlet Ugulamalarında Biyometri Kullanımından Örnekler

TCKK : Türkiye Cumhuriyeti Kimlik Kartı üzerinde bulunan çip içerisinde biyometrik veriler yer almaktadır.

T.C. Kimlik Kartı
TÜRKİYE CUMHURİYETİ KİMLİK KARTI YÖNETMELİĞİ

Avuç içi tanıma ile ATM

Göz Damar Yapısı ile Internet Bankacılığı

Ses Tanıma ile Çağrı Merkezi

Yüz Tanıma ile İnternet Şube

Pekçok banka IOS uygulamalarında Touch ID ile doğrulamayı ek bir güvenlik önlemi olarak kullanıyor.

2012 yılında yapılan düzenleme ile 2013 yılından buyana SGK tarafından hastanelerde avuç içi tanıma ile hasta doğrulaması yapılıyor.

  • Yine ÖSYM mevzuatında da adayların ve sınav gözetmenlerinin biyometrik olarak doğrulanabileceği ifade edilmiştir.
  • Sporda şiddet ve düzensizliğin önlenmesine dair kanun da yasaklı kişilerin takibinin biyometrik yöntemler ile yapılabileceği belirtilmiştir.

Teknolojinin gelişerek alternatif biyometrik doğrulama yöntemlerinin ortaya çıkması, ticari olarak yaygın şekilde uygulanabilecek ölçüde sensör, kamera vb. araçların fiyatlarının makul düzeye inmesi ve kişisel verilerin gizliliğine yönelik toplumda kısmen hakim olan endişenin ortadan kaldırılması halinde biyometrik doğrulama en efektif yöntem olarak kullanılmaya devam edecektir.

Kaynaklar:

https://www.nxp.com/company/blog/biometric-performance-whats-needed-for-a-seamless-customer-experience:BL-BIOMETRIC-PERFORMANCE

https://www.kvkk.gov.tr/Icerik/5496/2019-81-165

https://bilgiguvende.com/her-142-sifreden-biri-123456/

http://www.datagenetics.com/blog/september32012/index.html

https://www.emvco.com/wp-content/uploads/2017/03/EMVCo-Website-Content-2.1-Contact-Portal-plus-Biometric-FAQ_v2.pdf

https://www.resmigazete.gov.tr/eskiler/2020/03/20200315-10.htm

https://www.resmigazete.gov.tr/eskiler/2007/09/20070914-1.htm

--

--

mustafa aktaş

What I write expresses my personal views/Yazdıklarım kişisel görüşlerimi ifade eder. https://twitter.com/mustafa_aktas_ @troyodeme https://tr.linkedin.com/in/m