Açık Bankacılık (Open Banking), banka müşterisinin onayıyla 3. taraf fintech'in hesap bilgisine erişip ödeme başlatabilmesi. Türkiye'de BKM ve TRSPI altyapısıyla yürür; TPP (Third Party Provider) lisansı şart.
3 ana rol
- AISP (Account Information Service Provider): Hesap bilgisi okuma; kişisel finans uygulamaları.
- PISP (Payment Initiation Service Provider): Ödeme başlatma; e-ticaret.
- CBPII (Card-Based Payment Instrument Issuer): Kart ürünü ihracı.
TPP lisansı + sertifikasyon
- BDDK ödeme kuruluşu lisansı (PI veya EMI).
- BKM/TRSPI sertifikasyon (eToken/eIDAS uyumlu).
- Banka ile API ulaşım (sandbox + production).
- Kullanıcı onay (consent) yönetim altyapısı.
Teknik gereksinimler
- OAuth 2.0 + OpenID Connect.
- FAPI (Financial-grade API) profili.
- mTLS + JWS imza.
- PSD2 SCA (Strong Customer Authentication): MFA + dynamic linking.
Banka API'si zorunlu mu paylaşmak?
Türkiye'de henüz AB PSD2 düzeyinde mecburi paylaşım yok. BKM'nin "Paribu Açık Bankacılık" gibi hizmetleri opsiyonel; bankanın katılım kararı.
Veri saklama süresi?
KVKK çerçevesinde "amaçla bağlı". AIS için maksimum 90 gün rolling (kullanıcı onayı yenilenmediği sürece).
PSD2 uyumu Türkiye için gerekli mi?
AB pazarına satış yapıyorsanız evet. Türkiye iç pazar için BDDK + TRSPI yeterli.
Kullanıcı onay yönetimi nasıl?
Açık, geri alınabilir, granüler (hesap bazlı) onay. KVKK m.5 + m.11 ile uyumlu. UI'da onay panelinde hangi verilere erişildiğini ve süreyi göster.
Banka API'si arıza yaparsa kim sorumlu?
SLA sözleşmesinde kararlaştırılır. Yıllık downtime > 1% olursa fintech tarafında müşteri tazminat sorumluluğu doğabilir; yedek olarak çoklu banka entegrasyonu önerilir.
İlgili mevzuat
- 6493 sayılı Kanun — Ödeme & elektronik para; lisanslama, faaliyet izni.
- BDDK Yönetmelikleri — Ödeme kuruluşu / EPK izin, sermaye, raporlama.
- 5549 SK — MASAK; KYC, STR, düzenli faaliyet.
- KVKK + GDPR — Veri güvenliği, sınır ötesi aktarım.
- PCI-DSS — Kart saklama; PCI seviye 1-4 uyumu.