Açık Bankacılık Platformu Seçerken 12 Kriter: Güvenlik, Kapsam, Log, SLA

Büyük işlem hacimlerine sahip işletmelerin dijital dönüşüm yolculuğunda, karar verme aşamasının en kritik dönemeçlerinden biri doğru teknoloji altyapısını seçmektir. Kurumsal firmaların finans ve bilgi işlem (IT) departmanları, çalıştıkları 15-20 farklı bankanın verilerini ERP sistemlerine entegre etme göreviyle karşı karşıya kaldıklarında ciddi bir stratejik yol ayrımına girerler: “Bu entegrasyonları kendi iç kaynaklarımızla mı geliştirmeliyiz, yoksa hazır bir çözüm mü kullanmalıyız?”

Her bankanın kendine özgü API (Uygulama Geliştirme Arayüzü) mimarisi, farklı güvenlik protokolleri ve sürekli değişen versiyon güncellemeleri bulunur. Şirket içi yazılım ekiplerinin her bir banka ile tek tek entegrasyon projesi yürütmesi aylar, hatta yıllar süren bir efor gerektirir. Üstelik canlıya alınan bu bağlantıların bakımı (maintenance), API uçlarındaki en ufak bir değişiklikte sistemin çökmemesi için sürekli bir izleme zorunluluğu yaratır. Bu durum, teknoloji ekiplerini kendi ana işlerinden uzaklaştırarak devasa bir operasyonel çıkmaza sürükler. İşletmeler, her banka için ayrı bir IT projesi yürütmek yerine, tüm bu süreçleri tek merkezden yöneten modern bir açık bankacılık platformu yaklaşımı benimseyerek bu operasyonel ve teknik darboğazdan kalıcı olarak kurtulabilir.

Doğru teknoloji partnerini seçmek, yalnızca bugünün değil, şirketin önümüzdeki 10 yıllık finansal veri mimarisini güvence altına almak demektir. Finansal veri akışının merkezinde yer alacak bir yazılımın değerlendirilmesinde, sadece “banka bakiyesini gösteriyor mu?” sorusunun çok ötesine geçilmelidir. Bu rehberde, bir açık bankacılık altyapısı seçerken CTO’ların ve CFO’ların masasında mutlaka bulunması gereken stratejik ve teknik kriterleri detaylandırıyoruz.

Banka ve Servis Ağının Genişliği

Bir platformun gücü, kurabildiği bağlantıların genişliği ve derinliği ile ölçülür. Kapsam, yalnızca “Kaç banka ile entegresiniz?” sorusunun cevabı değildir; aynı zamanda bu entegrasyonların kalitesini ve kapsadığı ürün çeşitliliğini de ifade eder.

Türkiye bankacılık ekosisteminde kamu bankaları, özel bankalar, katılım bankaları ve yabancı sermayeli bankalar faaliyet göstermektedir. Seçeceğiniz platformun, çalıştığınız tüm bankaların kurumsal API uçlarıyla doğrudan ve stabil bir bağlantıya sahip olması ön koşuldur. Ancak değerlendirme burada bitmemelidir. Kurumsal hesapların yanı sıra, döviz tevdiat hesapları, kredi hesapları, POS (Nokta Satış) geçim verileri, çek/senet durumları ve hatta yatırım hesapları gibi çok çeşitli finansal ürünlerin verilerini okuyabilme kapasitesi, platformun gerçek kapsamını belirler.

Ayrıca, işletmenizin global büyüme hedefleri varsa, platformun yurt dışı bankalarıyla veya uluslararası açık bankacılık ağlarıyla (örneğin Avrupa’daki PSD2 standartlarıyla uyumlu sistemler) entegre olabilme esnekliği, uzun vadeli stratejik bir avantaj sağlayacaktır. Kapsamı dar bir çözüm, sizi gelecekte tekrar manuel süreçlere veya birden fazla platform kullanmaya mecbur bırakabilir.

Güvenlik: Veri Mahremiyeti ve Regülasyon Uyumu

Finansal veriler, bir şirketin en mahrem ve kritik varlıklarıdır. Bu verilerin bankalardan alınarak kurumunuzun ERP sistemlerine taşınması süreci, en üst düzey siber güvenlik standartlarıyla korunmalıdır. Bir platformu değerlendirirken güvenlik maddesi asla esnetilemez bir önceliktir.

İlk olarak, platformun yasal regülasyonlara tam uyumlu olup olmadığına bakılmalıdır. Ülkemizde açık bankacılık faaliyetleri ve ödeme sistemleri altyapıları, Türkiye Cumhuriyet Merkez Bankası (TCMB) tarafından sıkı regülasyonlara tabi tutulmaktadır. Hizmet sağlayıcının, Merkez Bankası onaylı bir altyapıya sahip olması veya gerekli lisans/partnerlik süreçlerini tamamlamış olması yasal bir zorunluluktur. Aynı şekilde, işlenen veriler bağlamında Kişisel Verileri Koruma Kurumu (KVKK) standartlarına harfiyen uyulması gerekir.

Teknik mimari tarafında ise sistemin “Screen Scraping” (ekran kazıma) gibi eski ve güvensiz yöntemler yerine, OAuth 2.0 yetkilendirme protokolleri ve mTLS (Karşılıklı Taşıma Katmanı Güvenliği) gibi modern standartları kullanması şarttır. Verilerin hem durağan halde (Data at Rest) hem de transfer anında (Data in Transit) 256-bit AES gibi güçlü şifreleme algoritmalarıyla korunması, siber saldırılara karşı alınacak en temel önlemdir. Ek olarak, hizmet sağlayıcının ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasına sahip olup olmadığı, bağımsız sızma (penetrasyon) testlerinin düzenli yapılıp yapılmadığı mutlaka sorgulanmalıdır.

Denetlenebilirlik ve Geriye Dönük İzleme

Büyük ölçekli kurumsal yapılarda “Kim, ne zaman, hangi veriye erişti ve ne işlem yaptı?” sorularının yanıtı, iç denetim ve bağımsız dış denetim süreçlerinin kalbini oluşturur. Bu nedenle, seçeceğiniz sistemin mükemmel bir loglama (kayıt tutma) yeteneğine sahip olması hayati önem taşır.

Gelişmiş bir loglama altyapısı, sistemde gerçekleşen her bir mikro işlemi saniyesi saniyesine ve değiştirilemez (immutable) bir formatta kaydeder. Örneğin; bankadan verinin saat kaçta çekildiği, ERP sistemine hangi saniyede iletildiği, aktarım sırasında bir dönüşüm (parsing) işlemi yapıldıysa bunun detayları ve bir kullanıcı sisteme arayüzden giriş yaptıysa hangi IP adresinden bağlandığı detaylıca loglanmalıdır.

Olası bir finansal uyuşmazlıkta veya hesaplarda bir anomali tespit edildiğinde, IT ve finans ekiplerinin dönüp bakacağı yegane kaynak bu denetim izleridir (audit trails). Log verilerinin esnek bir şekilde filtrelenebilmesi, dışa aktarılabilmesi (export) ve SIEM (Güvenlik Bilgi ve Olay Yönetimi) sistemlerine entegre edilebilmesi, platformun kurumsal olgunluğunu gösteren en önemli detaylardan biridir.

Hata Yönetimi: Kesintilerde Otonom İyileşme

Teknolojinin olduğu yerde kesintiler ve hatalar kaçınılmazdır. Bankaların API servisleri zaman zaman planlı bakım çalışmalarına girebilir, anlık yoğunluklardan dolayı yanıt vermeyebilir (Time-out) veya HTTP 500/503 gibi sunucu tabanlı hata kodları döndürebilir. Burada önemli olan, banka servisleri hata verdiğinde açık bankacılık platformunun nasıl davrandığıdır.

Zayıf bir altyapı, bankadan yanıt alamadığında veriyi kaybeder veya süreci tamamen durdurarak manuel müdahale bekler. Üst düzey bir sistem ise “Hata Yönetimi (Error Handling) ve Otonom İyileşme” mekanizmalarına sahiptir.

Gelişmiş hata yönetimi şu şekilde çalışır: Sistem bankaya bir istek attığında geçici bir kesintiyle karşılaşırsa, akıllı yeniden deneme (Smart Retry) algoritmaları devreye girer. Belirli aralıklarla (örneğin; 1 dakika, 5 dakika, 15 dakika sonra) işlemi otomatik olarak tekrar dener. Bu süreçte veri kaybolmaz, kuyruk mimarilerinde (Message Queues) güvenle bekletilir. Banka API’si tekrar ayağa kalktığında, biriken veriler kronolojik sırayı bozmadan ve veri kaybı (data loss) yaşatmadan ERP sistemine aktarılır. Bu otonom yapı, IT ekiplerinin gece yarısı “banka bağlantısı koptu” alarmlarıyla uyanmasını engeller.

SLA: Kesintisiz Hizmet Garantisi

Kurumsal seviyede bir hizmet (SaaS) satın alırken, sağlayıcının size sözlü vaatler yerine hukuki bağlayıcılığı olan taahhütler sunması gerekir. SLA (Service Level Agreement – Hizmet Seviyesi Sözleşmesi), platformun erişilebilirliğini, performansını ve destek sürelerini garanti altına alan en kritik dokümandır.

Nakit akışını anlık yöneten bir şirket için platformun saatlerce kapalı kalması on binlerce dolarlık zarara yol açabilir. Bu nedenle, seçilecek çözümün asgari %99.9 (Three Nines) Uptime (Çalışma Süresi) garantisi vermesi beklenir. %99.9 uptime, sistemin ayda en fazla yaklaşık 43 dakika kapalı kalabileceği anlamına gelir ki bu, kurumsal standartlar için kabul edilebilir bir sınırıdır.

SLA sadece erişilebilirliği değil, aynı zamanda destek ve müdahale (Response Time) sürelerini de içermelidir. “Kritik Seviye 1” (sistemin tamamen durması) bir arıza durumunda sağlayıcının kaç dakika içinde müdahale edeceği, sorunun çözümü için ne kadarlık bir süre taahhüt ettiği sözleşmede net olarak belirtilmelidir.

Entegrasyon Kolaylığı: ERP ve Muhasebe Uyumu

Açık bankacılık platformu, bankalar ile şirketinizin ERP sistemi arasında bir köprü görevi görür. Bankalardan veriyi mükemmel bir şekilde çekmek işin sadece yarısıdır; diğer yarısı ise bu veriyi şirketinizin kullandığı SAP, Oracle, Microsoft Dynamics, Logo, Mikro veya Netsis gibi sistemlere kusursuz ve anlık olarak yazabilmektir.

Değerlendirme aşamasında platformun “Entegrasyon Kolaylığı” dikkatle incelenmelidir. Platform, yaygın ERP sistemleri için hazır konektörler (plug-and-play) sunuyor mu? Eğer şirketiniz kendi geliştirdiği (in-house) özel bir yazılım kullanıyorsa, platform size esnek, iyi dokümante edilmiş ve modern (RESTful) webhook / API uçları sağlayabiliyor mu? Entegrasyonun günler veya haftalar değil, sadece birkaç saatlik bir konfigürasyon ile canlıya alınabilmesi, sistemin mimari gücünü kanıtlar niteliktedir.

Ayrıca, farklı bankalardan gelen farklı veri formatlarının (JSON, XML vb.) platform tarafından otomatik olarak standardize edilerek ERP’nin anlayacağı tek bir ortak dile dönüştürülmesi, entegrasyonun sürdürülebilirliği açısından şarttır. Netekstre gibi kurumsal altyapılar, bu veri standardizasyonunu arka planda kusursuz bir şekilde yöneterek IT ekiplerinin yükünü sıfıra indirir.

Açık Bankacılık Platformu Seçiminde 12 Kritik Kriter

Karar verme sürecinizi kolaylaştırmak ve aday platformları objektif bir şekilde kıyaslayabilmeniz için aşağıdaki kontrol listesini kullanabilirsiniz:

1. Banka Kapsamı: Çalışılan tüm bankalar (kamu, özel, katılım) ile doğrudan API entegrasyonu var mı?
2. Ürün Çeşitliliği: Vadesiz, POS, döviz, kredi gibi farklı hesap tiplerinin verileri çekilebiliyor mu?
3. Regülasyon Uyumu: Hizmet sağlayıcı TCMB lisanslarına/partnerliklerine ve KVKK kurallarına sahip mi?
4. Şifreleme (Güvenlik): Veriler transit ve statik halde 256-bit şifreleme ve mTLS ile korunuyor mu?
5. Bağımsız Denetim: ISO 27001 sertifikasyonu ve periyodik sızma (pentest) raporları sunuluyor mu?
6. Detaylı Loglama: Tüm sistem hareketleri değiştirilemez bir denetim izi (audit trail) bırakıyor mu?
7. Otonom Hata Yönetimi: Banka API kesintilerinde veri kaybetmeden “yeniden deneme” (retry) yapabiliyor mu?
8. SLA (Uptime Garantisi): Asgari %99.9 çalışma süresi ve net müdahale süreleri sözleşmeyle taahhüt ediliyor mu?
9. ERP Konektörleri: Kullanılan ERP (SAP, Logo vb.) sistemlerine hazır ve hızlı entegrasyon modülleri var mı?
10. Webhook/API Desteği: Kuruma özel iç yazılımlar için anlık veri itme (push) teknolojisi destekleniyor mu?
11. Veri Standardizasyonu: Tüm bankaların farklı formatları ERP için tek ve ortak bir formata çevriliyor mu?
12. 7/24 Teknik Destek: Kurumsal düzeyde, atanmış müşteri başarı yöneticisi ve kesintisiz destek sağlanıyor mu?

Finansal altyapınızı dijitalleştirirken seçeceğiniz teknoloji partneri, sadece bir yazılım sağlayıcı değil, operasyonel hızınızın ve veri güvenliğinizin doğrudan sorumlusu olacaktır.