Bankalar için Legichain
8 milyondan fazla müşteriyi taşıyan bir banka için müşteri kabulü, periyodik yeniden tarama, işlem izleme ve BDDK/MASAK raporlamasını tek API katmanında birleştiriyoruz; denetim karşısına çıkan ekibin elinde her zaman tam delil zinciri olur.
Bankacılık sektörü, dünya ortalamasının üstünde bir müşteri tabanını dünya ortalamasının üstünde bir yaptırım listesi yoğunluğunda taramak zorunda. Tier-1 bankalar günde 1,5 milyondan fazla yaptırım kontrolü, on milyonlarca işlem izleme olayı ve binlerce risk eşleşmesi üretiyor. Bunların büyük çoğunluğu false-positive — yani analistlerinizin zamanını gerçekten taşıyan vakalar değil, sistemin makul olmayan eşiklerle ürettiği gürültü. Legichain'i bir bankanın iç AML/sanctions altyapısını yenilemekten çok, mevcut çekirdek bankacılık ve onboarding sisteminin yanına yerleştirilen bir karar katmanı olarak tasarladık. Onboarding'i yavaşlatmadan, denetim arşivini bütünüyle koruyarak ve veri yerleşimi kısıtlarına uyarak çalışır.
Bankaların yaşadığı dört temel sorun
Müşteri kabul hızında yaptırım/PEP tarama yükü
Şube veya dijital kanaldan saniyede onlarca yeni müşteri formu açılıyor. Mevcut hat tabanlı çözümlerde tek tarama 800 ms ile 2 saniye arası sürebiliyor; bu da onboarding ekranını kilitliyor, müşteri terk oranı yükseliyor.
False-positive enflasyonu
Bir tier-2 mevduat bankasında gördüğümüz şu: günde 11.400 PEP/yaptırım eşleşmesinin yaklaşık %97'si yanlış pozitif. Compliance ekibi 45 kişiyle her gün sadece bu eşleşmeleri kapatıyor — kök iş yapma kapasitesi tükeniyor.
7 yıllık denetim arşivi yükümlülüğü
5549 sayılı Kanun'un 8. maddesi ve BDDK Bilgi Sistemleri Yönetmeliği uyarınca her tarama çağrısı, eşleşme detayı, analist kararı ve nihai PDF rapor 7 yıl saklanmak zorunda. Çoğu hazır çözüm bu detayı tutmuyor; banka kendi log altyapısını yamamaya çalışıyor.
Veri yerleşimi ve şube ağı çeşitliliği
BDDK Bulut Hizmetleri Tebliği müşteri verisinin yurtdışında işlenmesini ciddi şekilde kısıtlıyor. Çoğu küresel AML vendor SaaS-only çalışıyor; bu da büyük bankalar için lisanslı kullanım dışı bırakıyor. On-prem veya kendi VPC içi konuşlandırma şart.
Legichain'in bankalara getirdiği yaklaşım
150 ms altı tarama latansı
İsim-bazlı yaptırım/PEP taraması p95'te 150 ms'nin altında döner; onboarding ekranını bloke etmez. Hot path için Redis tabanlı denormalize edilmiş indeks ve Türkçe için özelleştirilmiş tokenizasyon kullanıyoruz. Bir tier-2 bankada onboarding süresi 2.8 saniyeden 0.9 saniyeye düştü, terk oranı %14 azaldı.
Match-grouping ile false-positive azaltma
Aynı kök isme bağlı varyantları (Latince ↔ Türkçe transliterasyon, kısaltma, doğum yılı, ülke bağlamı) tek bir karar olarak gruplayan match-grouping katmanımız 11.400 false-positive'i 380'e indiriyor — analistler aynı kişi için 30 kez karar vermek yerine 1 kez. Bu kademe banka politikasına göre fine-tune edilebilir.
Tam denetim zinciri ve PDF rapor üretimi
Her tarama çağrısının tam payload'u, dönen eşleşme listesi, kullanılan liste sürümleri, analist gözden geçirme notu ve nihai karar 7 yıl boyunca değiştirilemez biçimde tutulur. BDDK denetiminde tek bir müşteri-tarih çiftiyle aranıp PDF rapora dönüştürülebilir. SHA-256 hash zinciri ile bütünlük kanıtlanır.
Müşteri-kontrollü veri saklama (Bring-your-own storage)
Veri yerleşimi yükümlülüğü olan bankalar Legichain'i kendi AWS S3 bucket'larına, özel object storage'larına veya SFTP hedeflerine yönlendirebilir; denetim arşivi, tarama payload'ları ve belge görüntüleri doğrudan oraya yazılır. Tarama motoru ve liste dağıtım altyapısı Legichain tarafında yönetilen kalır; müşteri-tanımlayıcı veri bizim veri tabanlarımızda hiç persist edilmez. Yazma işlemi signed URL veya sizin kontrolünüzdeki cross-account IAM rolüyle gerçekleşir. Bu mimari BDDK Bulut Hizmetleri Tebliği ve KVKK madde 9 ile uyumludur.
Bankaların Legichain'i tercih sebebi
- Müşteri kabul formunda 150 ms altında yaptırım ve PEP taraması
- OFAC, AB, BM ve OFSI listelerindeki günlük değişikliklere karşı gece portföy yeniden tarama
- Banka düzeyinde denetim arşivi: her çağrı, eşleşme listesi, risk skoru ve PDF rapor 7 yıl saklanır
- Veri yerleşimi yükümlülüğü olan bankalar için müşteri-kontrollü veri saklama (kendi AWS S3 veya özel object storage)
- BDDK, MASAK ve EBA raporlamalarına uygun dışa aktarma şablonları
- Şüpheli işlem bildirimi (STR) için pre-format MASAK çıktı dosyaları
Karşıladığı düzenleyici gereksinimler
Bankacılıkta AML/sanctions altyapısı BDDK, MASAK ve uluslararası FATF/EBA sinyallerinin kesişiminde çalışmak zorunda. Legichain bu dört kaynağı tek bir uyum yüzeyinde birleştirir.
5549 sayılı Kanun ve MASAK Tedbirler Yönetmeliği
Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun'un 4. ve 5. maddeleri ile MASAK Tedbirler Yönetmeliği'nin müşteri tanıma, sürekli izleme ve şüpheli işlem bildirimi (STR) yükümlülüklerini karşılar. STR çıktısı MASAK formatında pre-format.
BDDK Uzaktan Müşteri Edinimi Yönetmeliği (1 Mayıs 2021)
Bankaların dijital kanaldan müşteri kabulünde yapması gereken kimlik tespiti, görüntülü kimlik tespiti ve risk değerlendirme adımlarının tümünü tek API üzerinden orkestre eder. NFC çipli kimlik okuma + canlılık testi entegre.
EBA Risk Factors Guidelines (EBA/GL/2021/02)
Avrupa Bankacılık Otoritesi'nin müşteri, ürün, kanal ve coğrafi risk faktörlerinin değerlendirilmesine ilişkin rehberini karşılayan risk skorlama modeli. Banka kendi politika ağırlıklarını fine-tune edebilir; her karar denetim arşivinde gerekçeli saklanır.
FATF Tavsiye 10 ve 12 (Müşteri Tanıma + PEP)
FATF'in müşteri tanıma (Rec 10) ve politik nüfuz sahibi kişi (Rec 12) gereksinimlerinin tamamı kapsanır. Yerli/yabancı PEP ayrımı, aile ve yakın çevre kapsamı ve PEP ilişkisi bittiğinde 12 aylık takip süresi otomatik takip edilir.
Sıkça Sorulan Sorular
BDDK Bulut Hizmetleri Tebliği'ne göre Legichain'i kullanabilir miyiz?
Evet — ama tam stack lift-and-shift değil, bring-your-own-storage modeli. Tarama motoru, match-grouping ve liste dağıtım altyapısı Legichain tarafında yönetilen kalır. Değişen sadece veri saklama tarafı: denetim arşivi, tarama payload'ları ve kimlik belgesi görüntüleri doğrudan sizin AWS S3 bucket'ınıza, özel object storage'ınıza veya SFTP hedefinize signed URL veya cross-account IAM rolüyle yazılır. Müşteri-tanımlayıcı veri Legichain veri tabanlarında hiç persist edilmez. Büyük mevduat bankalarımızdan ikisi bu modeli BDDK Bulut Hizmetleri Tebliği'nin 6. maddesindeki kritik veri tanımının dışında kalmak için kullanıyor.
Mevcut çekirdek bankacılık sistemimize nasıl entegre ediliyor?
Legichain bir karar katmanı olarak çekirdek bankacılık sisteminin yanına yerleşir, yerine geçmez. Onboarding akışında REST API çağrısı (ortalama 150 ms), portföy taraması için gece batch işlemi, işlem izleme için event stream consumer. üç önde gelen yerel çekirdek bankacılık platformu (Intertech, Fineksus, T-Bank Core) için referans entegrasyon dokümantasyonu var. Tipik teknik entegrasyon süresi 4-8 hafta; paralel/gölge modda 6 hafta validasyon sonrası canlıya geçiş.
False-positive oranını gerçekten %97 azaltabiliyor musunuz?
Bu rakam bir tier-2 bankadaki gerçek üretim sonucu — ama her bankada bu oranda kazanım garanti edilemez. False-positive azalımı üç faktöre bağlı: mevcut sistemin eşik konfigürasyonu (çok geniş tarayan sistemler daha fazla kazanım sağlar), bankanın müşteri profili (yabancı uyruklu yoğunluğu yüksekse transliterasyon kazanımları büyük) ve match-grouping politikasının ne kadar agresif konfigüre edildiği. Tipik banka kazanımı %80-95 aralığında. 6 haftalık paralel sandbox dönemi bu kazanımı bankanız için somut olarak ölçer.
Yaptırım listesi güncellemeleri ne sıklıkta giriyor?
OFAC SDN, AB Konsolide Yaptırım Listesi, BM Güvenlik Konseyi Listesi ve UK OFSI listesi gerçek zamanlı çekiliyor — kaynak otorite yayımladıktan 5-10 dakika içinde Legichain veritabanında. PEP veritabanı (yerli ve yabancı) günlük güncellenir; adverse media kaynakları saatlik. Bankanın denetim ekibi her yaptırım listesi sürümünün hash'ini ve zaman damgasını her tarama kaydında görür, böylece 'tarama yaptığım anda X listesi güncel miydi?' sorusunun cevabı her zaman kanıtlıdır.
Pilot başlatmak için minimum hangi taahhüt gerekiyor?
Bankalar için 6 haftalık paralel sandbox programımız var: mevcut üretim sisteminizin yanında Legichain'i shadow modda çalıştırıyoruz, üretime hiç dokunmadan gerçek müşteri trafiğinde performans ve false-positive karşılaştırması yapıyoruz. Bu dönemde maliyet yok; sadece teknik entegrasyon kaynağınızı paylaşmanız gerekiyor. 6 hafta sonunda somut karşılaştırma raporu ile kurumsal kararınızı verirsiniz. Banka boyutunda canlı geçiş için tipik sözleşme süresi 36 ay, fiyatlandırma kayıtlı müşteri sayısı ve aylık tarama hacmine göre kademeli.
İlgili kaynaklar
AML/sanctions/PEP taramasının teknik anatomisi, false-positive yönetimi ve modern altyapı seçim kriterleri.
bankalarda onboarding ve portföy tarama mimarisinin somut örnek üzerinden detaylandırması.
1 Mayıs 2021 BDDK yönetmeliğinin gereksinimleri, görüntülü kimlik tespiti ve compliant flow tasarımı.
5549 sayılı Kanun yükümlülükleri, STR raporlama formatı ve denetime hazırlık için pratik checklist.
Bir öğleden sonrada canlı taramaya geçin.
Ücretsiz çalışma alanı oluşturun, ilk API anahtarınızı bir curl çağrısına yapıştırın, bir sonraki ekip toplantısından önce doğrulanmış müşteri kabul akışını üretime alın. Kart bilgisi gerekmez.