Rekabet Kurumu Başkanlığından,

REKABET KURULU KARARI
Dosya Sayısı : 2016-4-43 (Muafiyet)
Karar Sayısı : 18-19/337-167
Karar Tarihi : 12.06.2018
A. TOPLANTIYA KATILAN ÜYELER
Başkan : Prof. Dr. Ömer TORLAK
Üyeler : Arslan NARİN, Adem BİRCAN
Şükran KODALAK, Mehmet AYAN
B. RAPORTÖRLER : Dr. Hakan BİLİR, Cüneyd DAL, Nazif IŞIK
C. BİLDİRİMDE
BULUNAN : - Bankalararası Kart Merkezi A.Ş.
Temsilcisi: Av. Dr. İ. Yılmaz ASLAN
Gazi Umur Paşa Sk. Bimar Plaza 38/7-8 Balmumcu,
Beşiktaş/ İSTANBUL
(1) D. DOSYA KONUSU: Bankalararası Kart Merkezi A.Ş. tarafından sunulan kart
saklama hizmetine 4054 sayılı Kanun’un 5. maddesi uyarınca bireysel muafiyet
tanınması talebi.
(2) E. DOSYA EVRELERİ: Rekabet Kurumu (Kurum) kayıtlarına 20.03.2018 tarih ve 2291
sayı ile intikal eden ve Bankalararası Kart Merkezi A.Ş. (BKM) tarafından yapılan
bildirimde, BKM tarafından sunulan kart verisi saklama hizmetine, Rekabet Kurulunun
(Kurul) 23.03.2017 tarih ve 17-11/134-61 sayılı kararı ile 4054 sayılı Rekabetin
Korunması Hakkında Kanun’un (4054 sayılı Kanun) 5. maddesi uyarınca bireysel
muafiyet tanındığı, muafiyet süresinin pazardaki gelişmelerin takibini teminen bir yıl
süre ile sınırlandırıldığı ve bu sürenin 23.03.2018 tarihinde sona ereceği ifade edilmiş,
bu sebeple ilgili Kurul kararı üzerine geliştirilen yeni özellikleri ile söz konusu
uygulamaya Kanun’un 5. maddesi uyarınca bireysel muafiyet tanınması talep edilmiştir.
(3) Başvuruda ayrıca, mevcut kart saklama hizmetinin anılan Kurul kararı üzerine
geliştirildiği ve bu yeniliklerin aşağıdaki şekilde özetlenebileceği ifade edilmiştir:
- BKM kart verisi saklama hizmetinin, tekrarlayan ödeme alma koşulu
aranmaksızın tüm üye işyerlerine ve kartlı ödemeler sektöründe yer alan diğer
kuruluşlara açılması,
- BKM kart verisi saklama hizmetini alan tarafın bu hizmeti, üçüncü kişilere
kullandırabilmesi,
- BKM kart verisi saklama hizmetinin farklı satış kanallarında (çağrı merkezi,
internet, acente, vb.) çalışabilmesi,
- BKM kart verisi saklama hizmetinin yeni nesil ödeme kurallarına uyumlu olması.
18-19/337-167
2/27

(4) Yapılan incelemeler kapsamında BKM’ye 30.03.2018 tarih ve 4161 sayılı bilgi isteme
yazısı gönderilmiştir. BKM tarafından gönderilen ve söz konusu yazıya cevabi
nitelikteki yazı 30.04.2018 tarih ve 3440 sayı ile Kurum kayıtlarına intikal etmiştir.
Bildirim konusu işlem hakkında görüşlerinin alınması amacıyla 30.03.2018 tarih ve
4151 sayılı yazı ile (…..), aynı tarihli ve 4173 sayılı yazı ile (…..) görüş talebinde
bulunulmuştur. (…..) cevabi yazısı 10.04.2018 tarih ve 2951 sayı ile Kurum kayıtlarına
intikal etmiştir. Ayrıca konuyla ilgili olarak (…..) 30.03.2018 tarih ve 4167 sayılı bilgi
isteme yazısı gönderilmiş, (…..)’in cevabi yazısı 27.04.2018 tarihli ve 3416 sayılı yazı
ile Kurum kayıtlarına girmiştir. İlave olarak, kart saklama hizmeti sunan teşebbüslerden
olan (…..)’ye (…..), (…..)’ye (….), (…..)’ye (…..), (…..)’ye (…..) ve (…..)’ye (…..)
30.03.2018 tarih ve 4168 sayılı bilgi isteme yazısı gönderilmiştir. Teşebbüslerin cevabi
yazıları sırasıyla, (…..)’dan 27.04.2018 tarih ve 3419 sayılı, (…..)’dan 27.04.2018 tarih
ve 3423 sayılı, (…..)’dan 30.04.2018 tarih ve 3462 sayılı, (…..)’dan 09.05.2018 tarih ve
3699 sayılı, (…..)’tan 28.05.2018 tarih ve 4163 sayılı yazı ile Kurum kayıtlarına intikal
etmiştir. Konuyla ilgili olarak ayrıca bazı (…..) da bilgi talebinde bulunulmuştur. Bu
doğrultuda (…..), (…..), (…..) ve (…..)’ye (GARANTİ) 30.03.2018 tarih ve 4166 sayılı
bilgi isteme yazısı gönderilmiştir. (…..) cevabi yazıları sırasıyla, (…..) 25.04.2018 tarih
ve 3347 sayılı, (…..) 30.04.2018 tarih ve 3449 sayılı, (…..) 02.05.2018 tarih ve 3505
sayılı, (…..) 03.05.2018 tarih ve 3530 sayılı, (…..) 03.05.2018 tarih ve 3548 sayılı yazı
ile Kurum kayıtlarına girmiştir.
(5) F. RAPORTÖR GÖRÜŞÜ: İlgili raporda, teşebbüs birliği niteliğindeki BKM'nin,
bankacılık ve ödeme sektöründeki rekabeti etkileyebilecek kart verisi saklama
hizmetinin 4054 sayılı Kanun’un 4. maddesine aykırılık teşkil ettiği için Kanun’un 8.
maddesi kapsamında menfi tespit belgesi verilemeyeceği, ilgili hizmetin, 4054 sayılı
Kanun’un 5. maddesi kapsamında muafiyet şartlarını karşılamaması nedeniyle söz
konusu hizmete muafiyet tanınamayacağı ifade edilmiştir. BKM’ye, Kurul’un 17-11/134-
61 sayılı kararı ile tanınan muafiyet süresinin 23.03.2018 tarihinde sona ermesi ancak
BKM tarafından Kurum kayıtlarına 20.03.2018 tarih ve 2291 sayı ile intikal eden
başvuruda yeniden bireysel muafiyet talep edildiği dikkate alındığında,
- Kurul kararının tebliğ tarihinden itibaren 30 gün içinde kararın gereğinin
yerine getirileceğinin Kuruma bildirilmesi gerektiği, aksi halde hem BKM
hem de ortakları olan Akbank T.A.Ş. (AKBANK), Finansbank A.Ş.
(FİNANSBANK), T. Halk Bankası A.Ş. (HALK BANKASI), T.C. Ziraat
Bankası A.Ş. (ZİRAAT), GARANTİ, İŞ BANKASI, VAKIFBANK, YAPI
KREDİ, ING ve Türk Ekonomi Bankası A.Ş. (TEB) hakkında ayrı ayrı
olmak üzere 4054 sayılı Kanun’un 41. maddesi kapsamında doğrudan
soruşturma açılması,
- BKM’nin kart verisi saklama hizmeti verdiği teşebbüslerin hizmetin
alımında aksama yaşamamasını teminen, kararın tebellüğ tarihinden
itibaren 90 gün içinde bu hizmeti sunmayı sonlandırması ve durumu
Kurum’a tevsik etmesi
gerektiği, BKM tarafından sunulan kart verisi saklama hizmetinin pazardaki rekabete
olumsuz etkilerinin kaynağı olan BKM ile bankalar arasındaki entegrasyonun, “BKM
Express” sistemi kapsamında tesis edilmesi nedeniyle 23.09.2016 tarih ve 16-31/525-
236 sayılı karar ile süresiz muafiyet tanınan “BKM Express” uygulamasının da 4054
sayılı Kanun’un 13. maddesinde yer verilen “Muafiyet ve Menfi Tespit Kararlarının Geri
Alınması” hükmü kapsamında muafiyet şartlarını taşıyıp taşımadığının yeniden
incelenmesi için BKM tarafından kararın tebellüğünü takip eden 30 gün içerisinde
18-19/337-167
3/27

bireysel muafiyet formu doldurularak yeniden başvuru yapılması gerektiği sonucuna
ulaşılmıştır.
G. İNCELEME, GEREKÇE VE HUKUKİ DAYANAK
G.1. BKM
(6) BKM, 1990 yılında 13 bankanın bir araya gelerek kurdukları anonim şirket statüsünü
haiz tüzel kişiliğe sahip bir yapıdır. BKM, anonim şirket olmakla birlikte, hissedar
olmaksızın ilgili pazarda faaliyet gösteren diğer bankalar ile birlikte ödeme ve elektronik
para kuruluşlarını da üye olarak kabul etmektedir.
(7) BKM’nin en önemli faaliyetleri, kredi kartı ve banka kartı uygulaması içinde bulunan
bankalar arasında uygulanacak prosedürleri geliştirmek, standardizasyonu sağlamaya
yönelik çalışmalar yaparak kararlar almak, Türkiye genelinde uygulamalar ile yurtiçi
kuralları oluşturmak, bankalar arasındaki takas ve hesaplaşmayı yürütmek, yurtdışı
kuruluş ve komisyonlarla ilişkiler kurmak ve gerektiğinde üyelerini bu kuruluşlarda
temsil etmek, halen her banka tarafından devam ettirilen işlemleri daha güvenli, süratli
ve daha az maliyetli hale getirmek, bu yönde çalışmalar yaparak hizmetler
geliştirmektir.
(8) BKM ayrıca sistem işleticisi olarak da faaliyet göstermektedir. BKM’ye, 19.06.2015 tarih
ve 29391 sayılı Resmi Gazete'de yayımlanan TCMB kararı ile 6493 sayılı Ödeme ve
Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları
Hakkında Kanun (6493 sayılı Kanun) kapsamında ödeme sistemi işleticisi olarak
faaliyet göstermek üzere izin verilmiştir. Bunun yanında 6493 sayılı Kanun uyarınca
TCMB tarafından çıkarılan ve 28.06.2014 tarih ve 29044 sayılı Resmi Gazete'de
yayımlanarak yürürlüğe giren Ödeme ve Menkul Kıymet Mutabakat Sistemlerinin
Faaliyetleri Hakkında Yönetmelik'in (Faaliyet Yönetmeliği) 17. maddesi uyarınca da
sistem işleticilerinin sistemin işletimi ile dolaylı olarak ilgili olan veya sistemin işleyişi ile
herhangi bir bağlantısı olmayan ancak sistem katılımcılarının faaliyetlerini geliştiren,
güvenli kılan ve kolaylaştıran diğer faaliyetlerde bulunabilecekleri, bunun için de söz
konusu faaliyetlerin TCMB tarafından onaylanarak sistem işleticisine verilen izin
kapsamına alınmasının gerekli olduğu belirtilmiştir. Bu kapsamda, söz konusu
maddeden de anlaşıldığı üzere BKM tarafından yürütülen sistem işletimi dışındaki
faaliyetler TCMB iznine tabidir.
(9) BKM bankalar tarafından kurulmuş bir teşebbüs birliğidir. Asıl kuruluş amacı sistem
işleticisi olarak bankalar arasındaki otorizasyon (doğrulama), takas ve hesaplaşma
işlemlerini yürütmek olan BKM zamanla, online ödeme çözümleri, dijital cüzdan
hizmetleri, kart verisi saklama hizmetleri gibi çeşitli alanlarda ürün ve hizmet
geliştirerek faaliyet alanlarını genişletmiştir.
(10) BKM tarafından sunulan hizmetler ve BKM yönetim kurulu kararları çeşitli Kurul
kararlarına konu olmuş ve yapılan değerlendirmeler neticesinde teşebbüs birliği
niteliğindeki BKM'nin, rakip konumunda bulunan kendi ortakları/üyelerinin bankacılık
sektöründeki rekabetini etkileyebilecek uygulamalarının rekabet ortamını olumsuz
etkileyebileceği, bu yönde alınan BKM kararlarının 4054 sayılı Kanun kapsamında bir
teşebbüs birliği kararı olduğu ve Kanun'un 4. maddesine aykırılık oluşturduğu
değerlendirilmiştir. Bununla birlikte yine çeşitli Kurul kararlarında yapılan muafiyet
değerlendirmeleri sonucu BKM’nin uygulama ve kararlarına bireysel muafiyet
getirilmiştir.1

1 09.08.2017 tarih ve 17-26/405-182 sayılı, 23.09.2016 tarih ve 16-31/525-236 sayılı, 16.01.2014 tarih
ve 14-02/42-20 sayılı, 21.08.2013 tarih ve 13-48/672-288 sayılı, 21.08.2013 tarih ve 13-48/691-292
18-19/337-167
4/27

(11) BKM’ye üye olan banka, ödeme kuruluşu ve elektronik para kuruluşu sayısı 33 olmakla
birlikte, BKM’nin ortakları BKM üyesi 10 bankadan oluşmaktadır. Tablo 1’de BKM’nin
ortaklık yapısına yer verilmektedir:
Tablo 1: BKM’nin Ortaklık Yapısı
Pay Sahipleri Pay Oranı (%)
AKBANK 9,98
FİNANSBANK 9,23
HALK BANKASI 18,95
ZİRAAT 17,99
GARANTİ 10,15
İŞ BANKASI 9,98
VAKIFBANK 9,70
YAPI KREDİ 9,98
ING 2,19
TEB 1,85
G.2. İlgili Pazar
G.2.1. İlgili Ürün Pazarı
(12) Bildirime konu olan kart verisi saklama / kart saklama hizmeti özetle, tekrarlayan
ödeme alan kuruluşların tahsil edecekleri ödemeler sırasında, ödeme için kullanılacak
kart bilgilerinin bir kuruluş (dosya kapsamında BKM) tarafından saklanması yoluyla,
ödeme alan kuruluşun kart bilgisi saklamasına gerek kalmaksızın ödemenin
yapılabilmesine imkân tanıyan bir hizmettir. Kart verisi saklama hizmeti, sigorta
şirketleri, gazeteler, dershaneler, spor salonları ve bunlar gibi faaliyetleri kapsamında
genellikle tekrarlı ödemeler alan kurumlara sunulmakta ve bu hizmet sayesinde kredi
kartı ve/veya banka kartı bilgilerinin işyeri sistemlerinde saklanması yerine, güvenli
sistemlere sahip kuruluşlarca saklanması sağlanmaktadır. Kart saklama hizmeti, kart
bilgilerini saklamak zorunda kalan işyerlerinin, kart bilgilerinin güvenli şekilde
saklanması ihtiyacıyla, gerekli güvenlik yatırım maliyetleri dikkate alınarak ortaya
çıkmıştır.
(13) Söz konusu hizmet, kart bilgilerinin işyeri sistemlerinde saklanması yerine kart saklama
hizmeti veren ve bilgileri PCI Veri Güvenliği Standartlarına (Payment Card Industry
Data Security Standard – PCI DSS) uygun olarak saklayan hizmet sağlayıcılarına olan
ihtiyaca paralel olarak gelişmiş bir hizmettir. PCI Veri Güvenliği Standartları, kredi
kartının işlenmesi, iletilmesi ve saklanması aşamalarında uyulması gereken mantıksal
ve fiziksel bilgi güvenliği kurallarını tanımlamaktadır. Bu kurallar VISA, Mastercard,
American Express, JCB, Discover gibi şirketlerin oluşturduğu konseyin (PCI Security
Standard Council) kart bilgisi ileten, işleyen, saklayan tüm kurumların uymasını
beklediği bilgi güvenliği standardı olup, BDDK’nın bilgi sistemleri ile ilgili
düzenlemelerinde de yer almaktadır.2

sayılı, 28.01.2010 tarih ve 10-10/89-39 sayılı, 19.8.2009 tarih ve 09-36/905-217 sayılı, 19.8.2009 tarih
ve 09-36/904-216 sayılı, 13.3.2008 tarih ve 08-24/249-82 sayılı, 17.1.2008 tarih ve 08-06/63-20 sayılı
Kurul kararları.
2 Örneğin, 10.03.2007 tarih ve 26458 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren “Banka
Kartları ve Kredi Kartları Hakkında Yönetmelik”in 27/A maddesinin ilgili bentlerinde banka ya da kredi
kartı ile kartlı ödeme sistemlerine ilişkin olarak banka ya da üye işyerlerinin teknik altyapılarına yönelik
hükümlerinde Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi (Payment Card Industry –PCI-
Security Standards Council) tarafından yayımlanan standartlara atıf yapılmaktadır.
18-19/337-167
5/27

(14) Bu hizmet kapsamında bir ödeme sırasında kullanılan “Token3 Oluşturma” yöntemiyle
çalışan çözüm çerçevesinde, müşterinin kartının karşılığı olan token değeri işyerine
iletilmekte ve kart verileri PCI Veri Güvenliği Standartlarına uyumlu sistemlerde
tutulmaktadır. Böylelikle işyeri, aynı müşteri için yapılacak daha sonraki tahsilat
işlemlerini sadece token değeri üzerinden gerçekleştirmekte ve müşterinin tekrar kart
verisi girmesine gerek kalmamaktadır. İlgili kuruluşta saklanan kart bilgisi sayesinde
işyeri sisteminde kart verileri tutulmamaktadır. Kurul’un işbu dosyanın konusunu teşkil
eden BKM kart verisi saklama hizmetine bir yıl süre ile muafiyet tanıdığı 23.03.2018
tarih ve 17-11/134-61 sayılı kararında ilgili ürün pazarı, “kart verisi saklama hizmeti
pazarı” olarak tanımlanmış olup, işbu dosya kapsamında da ilgili ürün pazarı, “kart
verisi saklama hizmeti pazarı” olarak belirlenmiştir.
G.2.2. İlgili Coğrafi Pazar
(15) Tekrarlayan ödemeler alan işyerlerinin, kart saklama hizmetinden ülkenin tamamında
faydalanma imkânına sahip olması ve söz konusu işyerlerinin müşterileri tarafından
gerçekleştirilecek ödemelerin herhangi bir coğrafi kısıtlamaya tabi olmaması
nedenleriyle ilgili coğrafi pazar, herhangi bir bölgesel daraltma söz konusu olmaksızın
“Türkiye” olarak belirlenmiştir.
G.3. BKM Kart Verisi Saklama Hizmetine Dair Bilgiler
(16) BKM kart saklama hizmeti, tekrarlayan ödeme alan kuruluşların tahsil edecekleri
ödemeler sırasında, ödeme için kullanılacak kart bilgilerinin BKM tarafından
saklanması yoluyla, ödeme alan kuruluşun kart bilgisi saklamasına gerek kalmaksızın,
ödemenin yapılabilmesi için söz konusu kuruluşlara sunulan bir hizmettir. Kart saklama
hizmetini kendisi sunan işyeri, müşterisinin kart numarası (16 hane) ve son kullanma
tarihi (dört hane) bilgilerini alarak genellikle kendi bilgi sistemleri altyapısında
saklamakta ve ödeme almak istediğinde tahsilatını, bu kart bilgileri ile anlaşmalı olduğu
bankalardan sanal POS veya mail-order işlemi olarak gerçekleştirmektedir.
(17) Bildirim Formunda yer verilen bilgilere göre kart saklama hizmeti sayesinde, hem kart
bilgisinin tekrarlayan ödeme alan işyerlerinde, kart bilgilerinin sektör standartlarına
uygun olmayan koşullarda kaydedilmesi (poliçe formları, mail order gibi formlarda veya
işyerlerinin bilgi teknolojileri sistemlerinde) riskini bertaraf etmek, hem de söz konusu
işyerlerinin PCI Veri Güvenliği Standartlarına uyum yükümlülüğünü sağlamasını
kolaylaştırarak bunun için gerekli yatırım ve bakım maliyetlerinden tasarruf sağlamak,
ayrıca tahsilat başarı oranını ve güvenliğini artırmak hedeflenmektedir. Özetle, ödeme
alan işyerlerinin kartlı tahsilatlarında, üye işyeri anlaşması yapan kuruluşlarla olan
mevcut finansal iş modelini değiştirmeden, işlem başarı oranını yükselten, operasyonel
maliyetleri ve güvenlik açığı risklerini azaltan bir platform sunmak amaçlanmaktadır.

3 Token: Üye işyeri adına kart verisini saklayan kuruluş tarafından üretilen, kart numarasını, kart
hamilini ve üye işyerini temsil eden, belirli bir ömrü olan, herhangi bir işlemden geçirilerek hassas kart
verisine ulaşılması mümkün olmayan ve ele geçirilmesi halinde kart hamili adına sahte işlem
yapılamayacak referans kodu.
18-19/337-167
6/27

G.3.1. BKM Kart Verisi Saklama Hizmetinin İşleyişi
(18) BKM kart verisi saklama hizmeti çerçevesinde kartlı ödeme alan işyerlerine, kart kayıt
servisi (token alma), ödeme servisi, işlem sorgulama hizmeti, raporlama ile iptal ve
iade servisi sunulmakta olup, hizmetin işleyişi kısaca aşağıdaki gibidir:
a. İşyeri, müşterilerinden ödeme veya kart bilgilerinin saklanması talebi alma
esnasında,
i. (BKM Express sistemine kayıtlı kartlar için) kart numarasının ilk altı ve son
dört hanesiyle birlikte Türkiye Cumhuriyeti Kimlik Numarası (TCKN) bilgisini
veya
ii. kart numarasının tamamı ve son kullanma tarihi bilgilerini alır.
b. İşyeri bu bilgiyi BKM’ye gönderir.
c. Madde a.i. ile saklanan kartlar için, işyeri isteğe bağlı olarak bu bilgilerin SMS
OTP4 ile doğrulanmasını isteyebilir.
(19) Madde a.i.’deki bilgiler iletilirse, BKM bu kısmi kart bilgisi ve TCKN bilgisini kartı
çıkartan kuruluşun sisteminden kontrol etmektedir. Verilerin kartı çıkaran kuruluş
sistemiyle uyumlu olması durumunda, kartın tamamı ve güncel son kullanma tarihi
bilgisi kart çıkaran kuruluştan alınmaktadır. İşyeri SMS OTP ile doğrulama istemezse,
TCKN, kart ve son kullanma tarihi bilgileri BKM sistemlerinde saklanmakta ve BKM
tarafından her bir karta karşılık bir “token” oluşturularak, ilgili kuruluşa gönderilmektedir.
Eğer işyeri madde c’deki gibi isteğe bağlı olarak kullanılabilen SMS OTP ile doğrulama
isterse, BKM, kart çıkaran bankadan kart sahibinin bankada tanımlı cep telefonuna
SMS OTP göndermesini sağlamaktadır. Kart çıkaran bankanın gönderdiği kısa
mesajdaki tek kullanımlık SMS OTP, kart sahibi tarafından doğrulanırsa, TCKN, kart ve
son kullanma tarihi bilgileri BKM sistemlerinde saklanmakta ve BKM tarafından her bir
karta karşılık bir “token” oluşturularak işyerine gönderilmektedir.
(20) Madde a.i.’deki bilgiler iletilmesine rağmen, bu veriler kart çıkaran kuruluş sisteminde
doğrulanamazsa veya BKM sisteminin (BKM Express Sistemi) desteklediği bir kart
mevcut değilse, kart numarasının ilk altı ve son dört hanesi dışında, ortadaki altı hanesi
ve son kullanma tarihi bilgisi BKM’nin hazırladığı kullanıcı ara yüzü aracılığıyla
doğrudan BKM’ye iletilmekte ve BKM tarafından her bir karta karşılık bir token
oluşturularak ilgili işyerine gönderilmektedir.
(21) Madde a.ii.’deki bilgiler iletilirse, BKM tarafından her bir karta karşılık bir token
oluşturularak hizmet alan kuruluşa gönderilmektedir.
d. Ödeme işlemi bakımından, işyeri tahsilat işlemini başlatacağı zaman tahsilatın
gerçekleştirileceği (işyerinin banka anlaşması olduğu) sanal POS, token ile
tutar bilgilerini BKM’ye göndermekte ve ödeme süreci BKM tarafından işyerinin
anlaşmalı olduğu sanal POS üzerinden tamamlanmaktadır. BKM, işyeri ile üye
işyeri anlaşması yapan kuruluş arasında ticari anlamda bir etkide
bulunmamakta, işyeri dilediği üye işyeri anlaşması yapan kuruluş ile çalışma
özgürlüğüne sahip olmaya devam etmektedir.
e. İhtiyaç halinde iade ve iptal işlemleri de BKM’nin sağladığı servisler üzerinden
yapılmaktadır.
f. BKM işyeri adına, bu hizmet için gerekli arşiv ve kayıtları tutmaktadır.

4 OTP: “One Time Password” (Tek Kullanımlık Şifre)
18-19/337-167
7/27

G.3.2. Kart Kayıt Servisi (Token Alma)
(22) Kart kayıt servisi, işyerleri tarafından BKM’ye iletilecek kart bilgileri karşılığında
BKM’nin token üretmesi için sağlanacak olan web servisidir. Kart numarasını
içermeyen token değerleri, işyerleri için BKM ile akdettikleri sözleşme süresince geçerli
olmaktadır. İşyerleri, kart bilgilerini BKM’ye ilettikten sonra BKM tarafından iletilen
token bilgisini sistemlerinde saklayarak, bir sonraki ödeme işlemini token aracılığıyla
başlatma imkânına sahip olmaktadır. Böylelikle işyerleri, müşterilerine ait hassas kart
bilgilerini sistemlerine kaydetmeden sadece BKM tarafından kendilerine iletilen müşteri
veya kart bilgilerini içermeyen tokenları sistemlerinde saklayarak ödeme işlemini
gerçekleştirebilmektedirler. İşyerleri üç farklı model ile token temin edebilmektedir.
(23) Bu modellerin ilkinde işyerleri, BKM Express sistemine uyumlu kartlar bakımından, kart
numarasının ilk altı ve son dört hanesi ile kart sahibinin TCKN’sini BKM’ye iletmektedir.
Bunun üzerine BKM, bankalarla yapmış olduğu anlaşmalar ile sahip olduğu
entegrasyon sayesinde kart çıkaran kuruluştan kartın 16 hanesi, TCKN ile son
kullanma tarihi bilgilerini temin ederek tokeni üretip işyerine iletmektedir. Bu yöntemde
ayrıca işyeri tarafından tercih edilmesi halinde kart bilgilerinin saklanması sırasında
kart sahibine SMS OTP yolu ile kartı çıkaran banka tarafından tek kullanımlık şifre
gönderilerek söz konusu şifrenin kart sahibi tarafından BKM’nin oluşturduğu
ekran/arayüz’e girilmesi neticesinde kart bilgileri kaydedilmektedir.
(24) Token temin edilmesine yönelik ikinci modelde ise işyerleri, BKM Express sistemince
desteklenmeyen veya kart çıkaran kuruluş tarafından doğrulanamayan kartlar
bakımından, kartın ilk altı ve son dört hanesi ile kart sahibinin TCKN’sine ilave olarak,
kartın ortadaki altı hanesini ve son kullanma tarihi bilgilerini de BKM’nin oluşturduğu
ekran/arayüz aracılığıyla girmekte ve bu bilgilere karşılık olan token üretilip işyerine
iletilmektedir.
(25) Söz konusu hizmetin sunulmasına ilişkin üçüncü modelde ise özellikle sistemce
desteklenen bir kart olmasına rağmen kart sahibinin TCKN’sinin bilinmediği durumlarda
(örneğin ödeme talimatı olan eski tarihli veriler) işyerleri, doğrudan kartın 16 hanesini
ve son kullanma tarihi bilgilerini BKM’ye ileterek token temin etmektedir.
G.3.3. Ödeme Servisi
(26) Ödeme işlemi, işyeri tarafından token bilgisi içeren bir web servisi aracılığıyla
başlatılmaktadır. Ödemelerde kartlı sistem kuruluşlarına ait yurtiçi kartlar
kullanılabileceği gibi, yurtdışı kartlar da kullanılabilmektedir. Söz konusu kartların
ödeme kabulünde, BKM tarafından kartın varlığı veya statü kontrolü yapılmayıp, kart
çıkaran kuruluşun yapacağı kontroller geçerli olmaktadır. BKM, yalnızca kart çıkaran
kuruluşun onay ya da ret kodunu ilgili işyerine iletmektedir. İlave olarak işyerinin
tercihine bağlı olarak kart numarasının ilk altı ve son dört hanesi ile kart sahibinin
TCKN’si ile saklanmış olan kartlar ile yapılacak ödemeler sırasında her bir ödeme
işlemi için kart sahibine SMS OTP ile tek kullanımlık şifre gönderilebilmektedir.
G.3.4. İptal ve İade Servisi
(27) İptal veya iade işlemi, işyeri tarafından sipariş numarasının iletilmesiyle bir web servisi
aracılığıyla başlatılmaktadır. BKM söz konusu talebi ilgili sanal POS’a iletmekte ve
işlem sonucunu işyerine bildirmektedir. İptal ve iade işlemlerinin finansallaştırılması ise,
sanal POS’un bağlı olduğu üye işyeri yapan kuruluş tarafından belirlenen kurallara
göre yürütülmekte olup, bu aşamada BKM’nin herhangi bir sorumluluk veya
yükümlülüğü bulunmamaktadır.
18-19/337-167
8/27

G.4. Bankalar ve Ödeme Hizmeti Sağlayıcılarından5 Elde Edilen Bilgiler
(28) (…..) markası altında faaliyet gösteren (…..) tarafından gönderilen cevabi yazıda, BKM
tarafından sunulan ve Kurul’un bir yıllık süre ile muafiyet tanıdığı kart saklama
hizmetinin piyasadaki etkilerine ilişkin olarak özetle aşağıdaki ifadelere yer verilmiştir:
“BKM'nin kart saklama hizmeti alanına girmesi ve daha önce Rekabet
Kurulu'nun 23.03.2017 tarihi ile kendisine tanınan muafiyet ile sigorta
sektöründeki firmalarla çalışmaya başlaması ile (…..) ve diğer firmaların bu
sektörde hizmet verebilme şansı ortadan kalkmıştır. Bu alanda BKM'ye
sağlanan muafiyet bankalar tarafından BKM'ye sağlanan teknik avantajların da
ötesinde bankaların zaten BKM'ye ortak ve üye olması nedeni ile BKM'nin
hizmetlerini öne çıkarıcı uygulamalarda bulunmasına yol açarak, bu pazarda
faaliyet gösteren diğer tüm firmaların bu haksız rekabetten dolayı ciddi şekilde
olumsuz olarak etkilenmesine sebebiyet vermiştir. Söz konusu haksız rekabet
koşulları özellikle firmamızı etkilemiştir, zira bu pazardaki ödeme hizmeti
sağlayıcıları başta olmak üzere diğer oyuncular için kart saklama hizmeti bir
"yan hizmet" iken, kart saklama hizmeti (…..)'in en temel hizmeti ve faaliyet
alanıdır. (…)
BKM'ye sigorta sektörü için sağlanan bir senelik muafiyetin tüm sektörler için
geçerli olması durumunda, (…..)'in mevcut iş ortaklarını kaybetmek ve yeni iş
ortağı edinememek nedeni ile ciddi ticari kayba uğraması ve hatta pazar dışına
itilme riski ile karşı karşıya kalması söz konusu olacaktır. (…)
Hizmet alan firmanın talebine bağlı olarak kart sahibine SMS OTP doğrulama
mesajı gönderilerek işlem öncesi güvenliği arttıran bir doğrulama yapabilir hale
getirilmesi ile bankalar üzerinden bu hizmeti alamadığı için kart saklama
hizmetinin bir parçası olarak sunamayan (…..) gibi firmalara karşı BKM ve
BKM'nin kart saklama altyapısı üzerinden hizmet verecek diğer firmaların
haksız rekabet ile avantaj sağlaması sonucunu doğuracaktır. (…)”
(29) Yine (…..) tarafından, BKM kart saklama hizmetinde kart numarasının ilk altı ve son
dört hanesi ile TCKN numarası alınarak işlem yapılmasının mümkün olmasına ilişkin
olarak özetle şu açıklamalarda bulunulmuştur:
“BKM tarafından sunulan BKM Express hizmeti başta olmak üzere kart verisi
saklama ve tek tıkla ödeme çözümlerinin başladığı günden bu yana pazardaki
rekabeti oldukça olumsuz olarak etkilediği ve etkilemeye devam edeceği
görüşündeyiz. Kar amacı gütmeyen bir kuruluş olarak BKM'nin 2012 yılında
dijital cüzdan ile ödemelere ilişkin piyasaya girmesi, (…..) dâhil piyasadaki diğer
oyuncular tarafından ilk zamanlarında sektörü teşvik edici ve büyütücü bir
amaca hizmet edeceği yönünde değerlendirilmiştir. Fakat ilerleyen süreçlerde,
aşağıda açıklanan sebeplerden dolayı, BKM'nin faaliyetleri sektöre ve diğer
hizmet sağlayıcılara ticari zarar vermeye başlamış olup, günümüzde de bu
zarar devam etmektedir.
Özellikle BKM'nin ortaklarının Türkiye'nin en büyük 10 bankası olması ve
Türkiye'de faaliyet gösteren 29 bankanın tamamının da BKM üyesi olması,
bankaların BKM'nin uygulamalarını öne çıkarmalarına ve diğer kart saklama
hizmeti veren firmaların çalışmalarının gitgide zorlaşmasına sebep olmaktadır.

5 İşbu dosyanın ilerleyen bölümlerinde “ödeme hizmeti sağlayıcısı kuruluşlar” terimi, 6493 sayılı Kanun
kapsamındaki tanımından daha geniş olacak şekilde kart verisi saklama gibi tali hizmetleri veren
kuruluşları da kapsayacak şekilde kullanılacaktır.
18-19/337-167
9/27

Bankaların kart verisi saklama süreçleri ile ilgili bazı direkt entegrasyon
opsiyonlarını (kullanıcıdan kart bilgisinin sadece bir kısmının alınıp devamının
bankadan temin edilmesi, SMS ile doğru/ama kodunun direkt banka üzerinden
kullanıcıya gönderilmesi gibi) sadece BKM'ye sunması ve bu alanda hizmet
veren diğer firmalara sunmaması nedeni ile BKM, iş ortaklarının gözünde
güvenlik açısından daha avantajlı bir imaja büründürülmüştür. (… ) Daha da
ötesi, BKM'nin, bankadan gönderilen bu SMS doğrulama kodlarının, ödeme
işleminin 3D Secure olarak gerçekleşmiş sayılması için yeterli olacağını
savunması ve bu durumun doğru olmamasına rağmen bankalarca da
desteklenmesi (…..) ve diğer hizmet sağlayıcılarını iş ortaklarının gözünde
dezavantajlı konuma düşürmüştür.
Kart verilerinin sadece ilk altı ve son dört hanesinin kullanıcıdan alınarak diğer
kısımların banka entegrasyonu üzerinden temin edildiği bir yapı bankalar
tarafından sadece BKM'ye sağlanmaktadır. Bunun dışındaki tüm kart saklama
hizmeti veren teşebbüsler ((…..) dâhil) bu bilgilerin tamamını kullanıcıdan
almakta ve kaydetmektedir.
Bankaların BKM'ye bu alanda sağladığı entegrasyon imkanını diğer hizmet
sağlayıcılara da sağlaması rekabetçi ortamın sağlıklı işleyişi için kritik bir unsur
olacaktır. Bu nedenle, kart bilgisinin sadece ilk 6 ve son 4 hanesi ve TCKN
alınarak bankadan kart bilgilerinin temin edileceği entegrasyon da dahil olmak
üzere, kartın son kullanma tarihinin bankadan otomatik olarak güncellenebildiği
ve BKM ve Masterpass'e özel uygulanan kart sahibine banka üzerinden SMS
OTP doğrulama mesajı gönderiminin yapılabildiği (kart kayıt ve işlem
sırasında) entegrasyonları da firmamız için gerçekleştirmeyi talep etmekteyiz.”
(30) (…..) tarafından gönderilen cevabi yazıda, kart saklama hizmetinin sunulmasına ilişkin
olarak bankalar tarafından BKM ve diğer ödeme kuruluşlarına farklı uygulamalar
sunulup sunulmadığına ilişkin olarak ise şu açıklamalara yer verilmiştir:
“Bankalar ayrıca (…..) gibi bağımsız kart verisi saklama hizmet sağlayıcılarının
hizmet verdiği firmaların sanal poslarını CVV’siz işleme açmayı reddederek
(kayıtlı kartlarla yapılan tek tıkla ödeme ve düzenli ödeme işlemleri için bu konu
teknik bir zorunluluktur), (…..) gibi firmaların hizmet vermesini zorlaştırmış ve
dolaylı olarak çıkartılan bu zorluk, BKM'nin faaliyetlerini sorunsuz olarak
yürütmesine fayda sağlamıştır.
Kart verisi saklama hizmeti sağlanan iş ortaklarının en önem verdiği konulardan
bir tanesi de yukarıda da belirtildiği üzere son kullanma tarihi dolan kartların
bilgilerinin güncellenmesi konusudur. Özellikle müşterilerinin kart verisini
saklayarak uzun dönemli düzenli ödeme talimatı ile müşterilerinden periyodik
olarak ödeme alan iş ortaklarında bu konu azami önemli hale gelmektedir. (…)
BKM'ye bankalar tarafından son kullanma tarihi dolan kartların bilgilerinin
otomatik olarak güncellenmesi ile ilgili bir imkan tanınması bu sektördeki diğer
firmaları ciddi anlamda olumsuz olarak etkilemekte ve pazar kaybı
yaşanmasına yol açmaktadır.
Yine bankalar tarafından BKM ve Masterpass'e özel uygulanan kart kaydetme
ve işlem sırasında kart sahibine banka üzerinden SMS OTP doğrulama mesajı
gönderiminin yapılabildiği entegrasyonların bu sektördeki diğer hizmet
sağlayıcıları sağlanmaması, bu firmaları ciddi anlamda olumsuz olarak
etkilemekte ve pazar kaybı yaşanmasına yol açmaktadır.”
18-19/337-167
10/27

(31) (…..) tarafından gönderilen cevabi yazıda, BKM tarafından sunulan kart saklama
hizmetine ve bu hizmetin piyasaya etkisine ilişkin olarak özetle aşağıdaki ifadelere yer
verilmiştir:
“BKM tarafından sunulan BKM Express başta olmak üzere kart saklama hizmeti
başladığı günden beri zaten hassas dengeler üzerinde olan pazardaki rekabeti
daha da olumsuz etkilemiştir ve etkilemeye de devam etmektedir.
Bankalar BKM uygulamalarını ön plana çıkarmakta ve kullanımını
desteklemektedirler. Bu da müşteriler (üye iş yerleri) ve kart hamilleri (son
kullanıcılar) nezdinde BKM'nin rakiplerine göre daha güvenilir olduğuna yönelik
gerçeğe aykırı bir algı yaratmaktadır.
BKM'nin sahip olduğu ve diğer kartlı ödeme sektörü oyuncularına tanınmayan
entegrasyon imkanı sayesinde, yani kart bilgisinin bir kısmı ve TCKN ile diğer
bilgilerin bankadan temin edilmesi, SMS ile doğrulama kodunun doğrudan ilgili
banka üzerinden gitmesi özelliklerinin sadece BKM'ye sunulması sebebiyle
BKM'nin daha güvenli olduğuna dair gerçeğe aykırı bir algı yaratılmıştır.
BKM'nin sunduğu avantajlarmış gibi gösterilmeye çalışılarak söz konusu kart
verisi saklama hizmeti ile 4054 Sayılı Kanun'un 5. maddesindeki koşulları
sağladığı iddia edilmiştir ancak kart verisinin saklanması hizmeti ile elde edilen
avantajların büyük bir bölümü, bu hizmeti veren diğer teşebbüsler tarafından da
sağlanabilmektedir.
(…) BKM'yi diğer teşebbüslerden ayıran tek husus, bankalar ile olan münhasır
entegrasyonudur. Aynı entegrasyonun tüm kart saklama hizmeti veren
teşebbüslere açılması, hem daha fazla kullanıcının yararına olacak hem de
sektördeki rekabetin adil olmasını sağlayacaktır.
BKM kart saklama hizmetinin şirketimizin pazardaki rekabet gücünü ortadan
kaldırdığını kanıtlayan somut örnekleri dikkatinize sunmak isteriz. Şirketimizden
hâlihazırda ödeme hizmeti ve bunun yanında kart saklama hizmeti alan
müşterilerinden bir kısmı, BKM kart saklama hizmetine dair duyumlar almış ve
bu kart saklama hizmetinin sağladığı avantajlardan faydalanmak istediklerini
iletmişlerdir.”
(32) BKM tarafından sunulan kart saklama hizmetinin diğer ödeme kuruluşlarına da
açılmasına ilişkin olarak (…..) tarafından gönderilen cevabi yazıda özetle şu ifadeler
yer almıştır:
“BKM kart saklama hizmetinden hizmeti üçüncü kişilere kullandırmak üzere
faydalanmak için teknik gereksinimlere bakıldığında BKM sistemine sahip
olduğunuz sanal POS'Iarın tanımlanması gerekmektedir. Söz konusu sanal
POS'Iar şirketimiz gibi ödeme kuruluşları için oldukça hassas ve rakiplerle
paylaşılması sakıncalı ticari bilgiler içermektedirler. Bu nedenle söz konusu bu
teknik gereklilik sebebi ile BKM kart saklama hizmetinin kullanılması şirketimizin
ticari sırlarının rakibine açıklanması sonucunu doğuracaktır. (…) Şirketimiz ile
sanal POS'Iar arasında teknik olarak bir üçüncü tarafın, yani BKM'nin girecek
olması, ödeme işlemlerinin süresini artıracak, şirketimizin söz konusu
taahhütlerini riske sokacak ve BKM tarafında yaşanacak teknik bir aksaklık
şirketimizin sunduğu ödeme hizmetinin de performansını doğrudan
etkileyebilecektir.”
18-19/337-167
11/27

(33) Yine (…..) tarafından gönderilen cevabi yazıda, bankalarla BKM arasındaki
entegrasyona ilişkin olarak ise özetle şu açıklamalarda bulunulmuştur:
“BKM kart saklama hizmetini, diğer teşebbüslerin hizmetlerinden ayıran yegâne
unsur bankalar ile arasında olan entegrasyondur. Kart Saklama Hizmeti
Muafiyet Kararı'nda bireysel muafiyet verilmesine gerekçe olarak gösterilen ve
4054 Sayılı Kanun'un 5. Maddesindeki koşulları sağladığı şeklinde yorumlanan
tüm özellikler kart saklama hizmetinin olağan sonuçlandır. BKM kart saklama
hizmetinin taşıdığı ekstra avantajlar ise yine söz konusu entegrasyonun BKM'ye
sağladığı avantajlardan öteye geçememektedir.
Bunun yanında BKM'nin sahip olduğu ve kartlı ödeme pazarındaki teşebbüslere
tanınmayan bankalar ile entegrasyon imkanı yani kart bilgisinin bir kısmı ve
TCKN ile diğer bilgilerin bankadan temin edilmesi, SMS ile doğrulama kodunun
doğrudan ilgili banka üzerinden gitmesi özelliklerinin sadece BKM'ye sunulması
sebebiyle BKM'nin daha güvenli olduğuna dair gerçeğe aykırı bir algı
oluşmasına sebep olmaktadır.
Şirketimizin kart verisi saklama hizmeti verebilmesi için son kullanıcıdan kredi
kartı bilgilerinin tamamını yani hassas ödeme verisini alması gerekmektedir. Bu
sebeple de şirketimizin yıllık olarak mutlaka PCI DSS uyumluluk denetiminden
geçerek uyumluluk sertifikası alması gerekmektedir. Bu sertifikanın alınabilmesi
ise oldukça uzun süren çalışmalar ve maliyetli bir yatırım yapılmasına bağlıdır.
Bu durum hassas ödeme verisi almayan, dolayısıyla PCI DSS uyumluluğuna
gereksinim duymayan BKM karşısında kart verisi saklama hizmeti açısından
daha fazla maliyete katlanması gereken ve dolayısıyla bu maliyeti müşterilerine
yansıtan bu teşebbüslerin rekabet gücünü ortadan kaldırmaktadır.
BKM ile bankalar arasındaki böylesi bir entegrasyonun şirketimiz ile bankalar
arasında da kurulabilmesi için farklı bankalara talepler iletilmiştir, ancak henüz
bu talebimiz kabul görmemiştir.”
(34) (…..) tarafından gönderilen cevabi yazıda, BKM tarafından sunulan kart saklama
hizmeti, bu hizmetin piyasaya etkileri ve diğer ödeme kuruluşlarının da BKM’nin
altyapısını kullanabilecek olmasına ilişkin şu açıklamalar yapılmıştır:
“Kart saklama hizmetlerine yönelik olarak sadece BKM'nin sahip olduğu bazı
entegrasyonlar sebebiyle örneğin kart bilgisinin ilk 6 ve son 4 hanesine ek
olarak TCKN bilgisiyle ödeme alınması, son kullanım tarihinin otomatik
güncellenmesi, SMS ile doğrulamanın direkt ilgili banka üzerinden gitmesi gibi
BKM dışında diğer oyuncuların sağlayamayacağı özellikleri sağlamak mümkün
olmaktadır.
Kartların ilk 6 ve son 4 hane bilgisi ve TCKN ile ödeme alınması ve bunun
pazarda bankaların ortaklığı ya da üyeliği bulunan bir kurum tarafından
yapılması müşteriler nezdinde 'daha güvenilir ödeme yöntemi' algısı
oluşturmaktadır. Diğer oyuncular/kuruluşlar tarafından sağlanamayacak olan bu
hizmet ve özellikler ile de BKM'nin çok daha avantajlı ve pazarda hâkim duruma
gelmesi, diğer kurumların rekabet edemeyecek pozisyona itilmesi doğal
olacaktır.
18-19/337-167
12/27

Pazarda kart saklama hizmeti sunan şirketimizin sistemlerini BKM sistemlerine
uyumlu hale getirilebilmesi için, müşterilerimizin "ticari sır" niteliğindeki hassas
ve rakiplerle paylaşılması sakıncalı verilerin de BKM ile paylaşılmasını
gerektirecektir. Yapılması gerekecek bu teknik uyumluluk çalışmaları, şirketimiz
ile müşterileri arasına bir üçüncü kişi olacak olan BKM'nin girmesi, ödeme
işlemlerinin süresini uzatacak olup, ilgili üyelerimizin performanslarında düşüşe
ve müşteri memnuniyetsizliğine sebebiyet verecektir.”
(35) (…..) tarafından gönderilen yazıda, BKM ile bankalar arasındaki entegrasyona ilişkin
olarak ise özetle şu değerlendirmeler yapılmıştır:
“BKM altyapısına kart kaydederken, müşteriden sadece ilk 6 ve son 4 hane
bilgisine ek olarak TCKN bilgisi istemekte, bu bilgilerle banka üzerinden kurulan
doğru