Finansal kuruluşlar açık bankacılık uygulamalarına yatırım yapmaya başladılar ancak veri paylaşımı ile pazarda nasıl farklılaşabilirler ve yatırımlarının uzun vadeli bir etkisi olacağından nasıl emin olabilirler?

Görsel: NordWood Themes, Unsplash

Avrupa’daki finans yöneticileri açık bankacılık yatırımlarının geri dönüşünün beş yıldan az olmasını beklemektedir. Elbette bu devasa endüstrinin tam olarak dönüşümü çok daha uzun sürecektir. Ancak bu dönüşüme hazırlananlar ve süreci doğru yönetenler pazarda fark yaratacaktır. Aynı şekilde Türkiye’de de açık bankacılık dönüşümünün ilk adımları finansal kuruluşlar tarafından atılmaya başlanmıştır.

Açık bankacılık uygulamalarının başarılı sonuçlarının Türkiye’de de görülebilmesi adına atılması gereken en önemli adımlardan birinin rıza yönetimi olduğunu söylemek mümkün. Finansal kuruluşların önlerindeki açık bankacılık yolculuklarında müşteri rızasını nasıl yöneteceklerine dair bir plana ihtiyaçları vardır. Rıza yönetimi ile açık bankacılık stratejinizi nasıl tasarlamanız gerektiğini beraber inceleyelim.

Rıza yönetimi, son kullanıcının erişilmesine izin vermek istediği kişisel verilerini belirlemesine ve organize etmesine olanak tanıyan bir sistem, süreç veya politikalar dizisidir. Rıza yönetimi; tüketici, organizasyon ve mahremiyet ile ilgili düzenlemelerin dinamik olarak oluşturulmasını, yönetilmesini ve uygulanmasını destekler. Açık bankacılık uygulamalarınızda rıza yönetimini etkili bir şekilde işletebilirseniz alternatif kanallardan müşterilerinize ulaşmak için doğru yatırımlar yaparak fintech’lerle iş birliklerini kolayca hayata geçirebilir ve regülasyon ile uyum içerisinde müşteri mahremiyetini koruyarak yeni pazar fırsatları yaratabilirsiniz.

Uyumluluğu Kolaylaştırın ve Kullanıcı Deneyimini Geliştirin

Açık bankacılık müşteri deneyimine getirdiği iyileştirme fırsatlarının yanında finansal kurumların düzenlemelere uyma sorumluluğu olduğunu da açıkça ortaya koymaktadır. Avrupa genelinde finans yöneticilerinin %71,4’ü bu uyumla ilgili kullanım örneklerinden en az birine öncelik vermektedir. İlk üç açık bankacılık kullanım örneklerinin ötesine baktığımızda, finansal kurumların uyumluluğun ilerisine geçtiğini ve müşteri deneyiminde iyileştirmeler üzerine çalıştığını görüyoruz. Avrupa’da başarılı örneklerini gördüğümüz uygulamaların Türkiye’de de benzer başarılara imza atabilmesi için öngörülen talep – talimat sürecinin nasıl yönetileceği, banka ve müşteri arasında nasıl bir sistem kurgulanacağı, kanuna uyum için yerleşik uygulamada ne gibi hususların değişeceği ise ilerleyen dönemlerde kendisini gösterecektir.

Bu noktada, Kişisel Verileri Koruma Kanunu (KVKK) müşterinin olumlu irade beyanı olarak açık rızayı “belirli bir konuya ilişkin bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlamıştır. Ayrıca Bankacılık Kanunu finansal kuruluşlar ile müşteri arasında ilişki kurulduktan sonra oluşan kişisel verilerin tamamını müşteri sırrı olarak tanımlamaktadır. Yine bu kanun çerçevesinde kişisel verilerin aktarımları için daha önce açık rıza alınmış olsun veya olmasın müşteriden bir talep ya da talimat alınması gerekmektedir. Kanunda bahsedilen talep / talimat doğası gereği bir rıza beyanı olarak değerlendirilebilir. Müşteri belirli bir konudaki veri aktarımı için bilgilendirildikten sonra aktif bir olumlu irade beyanı ile veri paylaşımının gerçekleştirilmesine izin verebilmelidir. Gelecek dönemde finansal kuruluşlar, rıza yönetimi ile dijital müşteri hizmetlerini geliştirip kullanıcı kazanarak gelir elde etmek için yeni fırsatlar yaratırken, regülatif zorunlulukları karşılayarak açık bankacılıkla ilgili hedeflerini ve aksiyon planlarını hazırlamalıdırlar.

Bankacılık Denetleme ve Düzenleme Kurumu (BDDK) tarafından hazırlanan ve yürürlüğe konan “Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik” ile kullanıcıların, finansal servislere uzaktan erişerek bankacılık işlemlerini gerçekleştirebildikleri veya gerçekleştirilmesi için bankaya talimat verebildikleri elektronik dağıtım kanalları tanımlanmıştır ve bu hizmetlere ilişkin usul ve esasları belirlemeye BDDK yetkili kılınmıştır. Hesap bilgisi görüntüleme (AISP) ve ödeme emri başlatma (PISP) hizmetlerinin sağlanması geçtiğimiz aylarda 6493 sayılı Kanun’a eklenmiş ve bu hizmetler kapsamındaki veri paylaşımlarına ilişkin her türlü usul ve esası belirleme yetkisi Merkez Bankası’na verilmiştir. Ülkemizde açık bankacılık uygulamalarında rıza yönetiminin hangi standartlar ile sağlanacağı henüz belirsiz olup, müşteri verilerinin güvenliği söz konusu olduğu için güçlü bir teknik ve hukuki altyapıya ihtiyaç vardır. BDDK ve Merkez Bankası tarafından yapılacak düzenlemelerle teknik standartların belirlenmesi gerekmektedir.

Uyumluluğun Ötesinde Düşünün

Finansal kuruluşlar açık bankacılık uygulamalarında uyumluluğun ötesine geçmeli ve son kullanıcıya sunulan katma değerin iyileştirilmesine nasıl yardımcı olabileceklerini keşfetmeye başlamalıdır. Ödeme Hizmetleri Direktifi – 2 (PSD2) gibi düzenlemelerin açık bankacılığın ortaya çıkmasında kesinlikle büyük bir rolü vardır, ancak yapılan en son araştırmalar birçok finans kuruluşunun uyumluluğun ötesine geçen fırsatları aramaya başladığını gösteriyor. İyi haber şu ki açık bankacılık uygulamalarının nispeten yeni olduğu Türkiye’de hiçbir şey için çok geç değil. Hala açık bankacılığın müşterileriniz için nasıl daha fazla değer yaratabileceğini araştırabilir ve fintech’lerle iş birlikleri geliştirerek yeni ürün ve hizmetlerle pazar avantajı sağlayabilirsiniz. Finansal kuruluşlar, BT sistemlerini yükselterek ve bulut tabanlı teknolojiye geçerek daha hızlı inovasyonlar üretmeye başlarken, rıza yönetimleri ile sadece regülatif zorunlulukları karşılamak yerine yeni nesil finansal teknolojilerle birlikte müşteri talep ve talimat süreçlerini geliştirebilir, müşteri deneyimini mükemmelleştirebilirler.

Gizlilik ve Korumayı Kullanıcı Memnuniyetine Dönüştürün

Görsel: Matthew Henry, Unsplash

Müşteri sırrı mahiyetindeki verinin mülkiyeti finansal kuruluşlardan ziyade müşterinin kendisine ait olarak kabul edilmelidir. Bu veri müşterinin bankaya emanet ettiği, işleme hakkını tanıdığı bir değer olarak görülebilir. Dolayısıyla verinin sahibi olan müşteri; mülkiyete dayalı kullanma, yararlanma ve tasarruf yetkilerine sahiptir. Bu yetkiler, vatandaşın haklarını gözeten düzenlemeler ile arzu edilen üçüncü tarafların kullanımına sunulabilmeli ve istenilen kanaldan veriye erişim özgür olmalıdır. Dolayısıyla, rıza yönetimi ile bu talep ve onay süreci her kullanıcının finansal özgürlüğünü destekleyecektir. Finansal kuruluşlar, müşterilerinin kişisel verilerinin sorumluluğunu üstlenmeli, doğru bir şekilde kullanıldığından emin olmalıdır. Doğru yönetildiğinde harika müşteri deneyimleri anlamına gelen bu sürecin işinize sağlayacağı faydalar şaşırtıcı olacaktır.

PSD2’ye açık bankacılık kullanıcı yolculuğunu yeniden tanımlama ve BT süreçlerini gözden geçirme fırsatı olarak yaklaşan finans kurumları, bu yeni direktifin sunduğu avantajlardan yararlanabilecektir. Ayrıca Kişisel Verileri Koruma Kanunu (KVKK), General Data Protection Regulation (GDPR) ve California Consumer Privacy Act (CCPA) gibi son veri koruma ve gizlilik düzenlemeleri, müşterilerinizi güçlendirmek, veri silolarını parçalamak ve sağlam bir temel oluşturmak, verileri erişilebilir ve güvenli hale getirmek için bir fırsat sunmaktadır. Böylelikle, topladığınız veriler ve bunları kullanma biçiminiz hakkında müşterilerinize karşı şeffaflıkla beraber uzun süreli bir sadakatin temeli olan güveni kazanmış olursunuz. Bunu yaptığınızda yalnızca müşterilerinizle güven ilişkisi kurmakla kalmayacak; iş, pazarlama ve satış ekiplerinize daha akıllıca etkileşim kurmaları için ihtiyaç duydukları bilgileri vermiş olacaksınız.

Düzenlemelere dair uyumluluğa yönelik yaklaşımı değerlendirirken, işletmeler beş temel iş hedefine ulaşmaya çalışmalıdır:

1. Yasal gereksinimleri karşılamak.
2. Mümkün olan en iyi müşteri deneyimini sağlamak.
3. Rekabet avantajı oluşturmak.
4. Gerekli güvenlik kontrollerini sağlanmak.
5. Operasyonel ve uygun maliyetli bir teknik çözüm sunmak.

Modern Protokoller ile Kimlik Doğrulama Süreçlerinizi Güçlendirin

Kimlik doğrulama, PSD2 kapsamında iş değeri sunmada ve rıza yönetiminde önemli bir rol oynar. Kimlik doğrulamanın amacı, PSD2 ile etkinleştirilen açık bankacılık yolculuğu boyunca kullanıcılara kendi bilgileri, hesapları ve yetkileri üzerinde erişim, kontrol ve seçim hakkı vermektir. Uygun kimlik doğrulama çözümleri ve uygulamaları, aynı zamanda ödeme hizmetleri kullanıcısı (PSU) olarak da adlandırılan müşterilerin; güvenli, düşük temaslı bir kullanıcı deneyiminin keyfini çıkarırken bilinçli kararlar almasına da olanak tanımalıdır.

Kimlik etkinleştirme doğrulama için en güncel ve modern internet protokolleri olan OAuth2 ve OpenID Connect kullanılabilir. Bu standartlar, Janrain (Akamai, Ocak 2019’da Janrain’i satın aldı) tarafından OpenID Foundation ile geliştirilmiştir. Modern internet protokolleri kullanılarak, müşteri kimlik bilgileri asla paylaşılmaz ve üçüncü taraf erişimi, açık müşteri onayına dayalı olarak sıkı bir şekilde kontrol edilir. Yakın zamanda standartlaştırılmış yüksek güvence yapılandırmalarıyla bu protokoller, PSD2 ile öngörülen finansal hizmetlerin kullanım durumları için yeterince sağlamdır.

Onay ve Yetkilendirme Süreçlerinizi Geliştirin

Rızanın bağımsız olarak yönetildiği ve kimlik doğrulamanın dışında olduğu düşünülse de aslında kimlik doğrulama, rıza ve yetkilendirme sürecini içeren daha geniş bir dijital çözümden yararlanma fırsatı sunar. Örneğin, yetkilendirme talebi Üçüncü Taraf Sağlayıcı (TPP) tarafından başlatılırsa, Ödeme Hizmeti Kullanıcısı’nın (PSU) yetkilendirilmesi için Hesap Hizmeti ve Ödeme Hizmeti Sağlayıcısı’na (ASPSP) yönlendirilmelidir. Bu gerçekleştiğinde, PSU işlemi tamamlamak için tekrar TPP’ye yönlendirilmelidir. Yetkilendirme, her API çağrısına karşı doğrulanması gereken belirteçte saklanır. Genel yetkilendirme yönetiminde, bir PSU izni iptal edebilmeli ve bütün / belirli verilere erişimi geçici olarak etkinleştirebilmeli veya devre dışı bırakabilmelidir.

PSD2 ile finansal kuruluşların karşılaması gereken Güçlü Müşteri Kimlik Doğrulaması (SCA) olarak adlandırılan bir gereksinim doğmuştur. SCA, müşterilere tutarlı kimlik doğrulaması sağlamak için ister birinci taraf banka ister üçüncü taraf finansal hizmet arabirimi olsun tüm taraflar için standartlar belirler. SCA ayrıca daha güvenli müşteri erişimini destekler ve zayıf kimlik doğrulama süreçleri nedeniyle piyasada maalesef var olan dolandırıcılıkların azaltılmasına yardımcı olur. Ayrıca, SCA uygulaması müşteri yolculuğunu gereksiz yere aksatmamalı veya kötü deneyimler sunmamalıdır. Kimlik doğrulama, yetkilendirme ve izin yönetimi için bağlama duyarlı kullanıcı yolculuklarının uygulanması, daha iyi bir kullanıcı deneyimi sağlayacaktır.

Rıza Yönetimini Müşteri Verilerini Merkezileştirerek Yönetin

Güvenilir, güncel ve eyleme dönüştürülebilir müşteri verilerinin merkezileştirilmesi, daha müşteri odaklı, şeffaf ve çevik olmak isteyen tüm işletmeler için paha biçilmez bir varlıktır. Merkezileştirilmiş müşteri verileri; müşteri deneyimi programlarını hızlandırır, kampanyalar ve etkileşimler için kişiselleştirmeyi iyileştirir, müşteri segmentlerini daha doğru tanımlar ve stratejinin belirlenmesinde karar vericilere yardımcı olur.

Bu depoyu oluşturmak için müşteri verilerinize hâkim olmanız, onları toplamanız, ilişkilendirmeniz, zenginleştirmeniz ve standartlaştırmanız gerekir. Rıza yönetimi ile merkezileştirilmiş müşteri verilerini açık bankacılık uygulamaları için erişilebilir hale getirmek, bireysel müşteri düzeyinde talepleri ve kanala dayalı tercihleri birleştirmeye, anlamlandırmaya ve yönetmeye yardımcı olur.

Talep sahibinin kimliğini doğrulamak ve erişim talebinde bulunduğu veriyi görüntüleme hakkına sahip olup olmadığını kontrol etmek için iş akışlarınızı sürekli optimize etmelisiniz ve veri minimizasyon standartlarını benimsemelisiniz. Belirli bir amaç için ihtiyaç duyulduğunda veya talep edildiğinde ana verilerin doğru alt kümesini kullanılabilir hale getirerek, her bir eylem veya amaç için kişisel verileri belirtilen izinlere veya politikaya göre filtreleme yeteneğiyle veri minimizasyonu, açık bankacılık uygulamalarında size yardımcı olacaktır.

Peki ApiGo Olarak Açık Bankacılığın Gelişiminde Nasıl Bir Rol Oynuyoruz?

ApiGo ile sürdürülebilir uyumluluk, iyileştirilmiş müşteri deneyimi, azaltılmış operasyonel karmaşıklık ve daha düşük maliyetler ile PSD2 ve açık bankacılık standartlarının uygulanmasını kolaylaştırıyoruz. Avrupa ve MENA bölgesinde dijital müşteri deneyimleri geliştiren açık bankacılık uygulamalarına ApiGo ile altyapı sağlanmaktadır. SaaS ve On-Premise bir çözüm olarak finansal kuruluşların tüm açık bankacılık süreçlerinde yanlarında olmakla birlikte; son kullanıcıların, fintech’lerin ve bankaların hızlı, akıllı ve güvenli bir şekilde birbirlerine bağlanmasına yardımcı oluyoruz.

ApiGo olarak PSD2 uyumlu dijital ürünlerin sunumunu hızlandırarak müşteri çözümlerinin olgunluk ölçeğini daha da yukarı taşımasına yardımcı oluyoruz. Bununla birlikte, açık bankacılık hizmetlerine erişimle ilgili zorlukların üstesinden gelmek için daha genel web ve API çözümlerini çevik bir şekilde sunmaktayız.

Sonraki Adımlar

PSD2 ile Avrupa’da faaliyet gösteren pek çok finansal kuruluş gibi çeşitli düzenlemeler hayata geçirildikten sonra işletmelerimizin odak noktası; veri keşfi, veri yönetimi ve veri güvenliği aracılığıyla gizlilik ve koruma düzenlemelerine uymak olacaktır. Bunun yanında kullanıcı beklentileri karşılanarak müşteri sırrının gizliliğine ait düzenlemelerle uyum içerisinde güven ortamı oluşturulmalı ve rıza yönetimi ile açık bankacılık uygulamalarının kullanılması güvenli hale getirilmelidir.

Gartner, Market Guide for Consent and Prefereance adlı raporunda bu alanda hızlı bir büyüme görmeyi beklediklerini belirtmiştir. Pazarın yönü, bireylere kişisel verilerinin kullanımı ve paylaşımı üzerinde daha fazla hakimiyet sağlamaya doğru ilerlediğinden, son kullanıcılarınızın kuruluşunuzla en iyi gizlilik deneyimini yaşaması için yeteneklerinizi nasıl geliştireceğinizi düşünmelisiniz. Kuruluşunuzun ihtiyacı olan son kullanıcıların, bugün sizin yerinize seçebileceği çok fazla finansal ürün alternatifi bulunmaktadır. Onay ve talep süreçlerinizi müşteri odaklı bir biçimde sürekli optimize ederek kullanıcı deneyimini iyileştirebilir ve müşteri bağlılığını yükseltmek için süreçleri dijitalleştirerek kullanım kolaylığı sağlayabilirsiniz.

Finansal hizmetleri kullananlar gün geçtikçe daha kişiselleştirilmiş deneyimler talep etmektedir. Rıza yönetimi ile açık bankacılık alanında hizmet verdiğiniz uygulamalarınızda kişiye özel çözüm önerilerinizi doğru zamanda, doğru kanal üzerinden ve doğru mesajla ilettiğinizden emin olmalısınız. Bu şekilde müşteri yolculuklarını doğru bir şekilde analiz eden ve dijitalleştiren finansal kuruluşlar, rıza yönetimini başarılı bir şekilde gerçekleştirdiklerinde, yapılan yatırımların yüksek kârlı karşılıklarını ve müşteri memnuniyetini göreceklerdir.

Daha ayrıntılı bilgi edinmek isteyenler için;

Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik, Bankacılık Kanunu, Kişisel Verilerin Korunması Kanunu (Resmi Gazete)

Buyer’s Guide-Consent & Preference Management Software (mylife digital)

A Practical Guide to Acquiring Consent in the Age of GDPR (Piwik PRO)

Consent Management With Customer 360 (Informatica)

3 tips for staying ahead of the curve in the open banking shift (Tink )

Offloading and Simplifying PSD2 Compliance (Akamai ve Raidiam)

Bankacılık Sektöründe Kişisel Verilerin KorunmasıAlanında Yaşanan Gelişmeler (Lexpera Blog)

Açık Bankacılık Türk mevzuatında tanımlandı (FinTech İstanbul)