İnternet hizmetlerinin KYC gereksinimleri için 4 günlük itiraz süresi

 (federalregister.gov)
1 puan yazan GN⁺ 2024-04-26 | 1 yorum | WhatsApp'ta paylaş

IaaS sağlayıcılarının Müşteri Tanıma Programı ve muafiyetlerle ilgili düzenlemelerinin özeti

  • ABD'deki tüm IaaS sağlayıcıları, asgari gereksinimleri karşılayan yazılı bir Müşteri Tanıma Programı (CIP) oluşturmak ve uygulamak zorundadır.
  • CIP; müşteri ve gerçek faydalanıcı kimlik bilgilerinin toplanması, yabancı müşteri ve gerçek faydalanıcıların kimlik doğrulaması, bilgi saklama ve bilgi paylaşımına ilişkin müşteri bildirimleri gibi prosedürleri içermelidir.
  • IaaS sağlayıcıları, potansiyel yabancı müşteriler ve gerçek faydalanıcılardan en az ad, adres, hesap ödeme yöntemi/kaynağı, e-posta, telefon numarası ve IP adresi gibi bilgileri toplamalıdır.
  • IaaS sağlayıcıları, yabancı müşteri ve gerçek faydalanıcıların kimliğini belgeye dayalı veya belge dışı yöntemlerle doğrulamak için risk temelli prosedürler oluşturmalıdır.
  • Müşteri kimliğinin doğrulanamadığı durumlara yönelik müdahale prosedürleri de CIP içinde yer almalıdır.
  • Müşteri bilgisi doğrulama sürecinde elde edilen tüm bilgilerin kayıtları en az 2 yıl boyunca güvenli şekilde saklanmalı ve üçüncü taraf erişimini sınırlayan prosedürler oluşturulmalıdır.
  • IaaS sağlayıcıları, yabancı reseller'ların da CIP'yi sürdürmesini ve uygulamasını şart koşmalı; istenmesi halinde reseller'ın CIP kopyasını 10 gün içinde Ticaret Bakanlığı'na sunmalıdır.
  • Uyumsuz yabancı reseller'larla yapılan işlemler 30 gün içinde durdurulmalıdır.

CIP raporlama gerekliliklerinin özeti

  • Tüm IaaS sağlayıcıları, kendilerinin ve yabancı reseller'larının CIP uygulamasını Ticaret Bakanlığı'na bildirmek için CIP sertifikasyon formu sunmalıdır.
  • CIP her yıl gözden geçirilmeli, güncellenmeli ve yeniden sertifikalandırılmalıdır; arada önemli değişiklikler olursa Ticaret Bakanlığı'na bildirilmelidir.
  • Yeni IaaS sağlayıcıları, hizmet sunmadan önce CIP sertifikasyon formu sunmalı; yeni bir yabancı reseller eklendiğinde de bildirim yapmalıdır.
  • Yabancı reseller'lardan CIP bilgileri toplanmalı ve her yıl Ticaret Bakanlığı'na sunulmalıdır.

CIP uyumluluk değerlendirmesinin özeti

  • Ticaret Bakanlığı, IaaS sağlayıcısının CIP kopyasını isteyerek inceleme yapabilir ve yetersiz görülen noktaların düzeltilmesini bildirebilir.
  • Ticaret Bakanlığı, kendi değerlendirmesi veya IaaS sağlayıcısının sunduğu bilgiler gibi kaynaklara dayanarak risk düzeyini değerlendirir ve uyumluluk incelemesi yürütür.
  • Uyum denetimi sonuçlarına göre risk azaltıcı önlemler veya özel tedbirler tavsiye edilebilir.

CIP muafiyet düzenlemelerinin özeti

  • Ticaret Bakanı; IaaS sağlayıcıları, hesap türleri, kiracılar ve yabancı reseller'lar için CIP gerekliliklerinden muafiyet tanıyabilir.
  • IaaS sağlayıcıları, IaaS ürünlerinin kötüye kullanılmasını önleme programı (ADP) oluşturarak CIP gereklilikleri için muafiyet başvurusunda bulunabilir.
  • ADP; risk göstergelerinin belirlenmesi, tespiti, müdahalesi ve düzenli güncellenmesi gibi politika ve prosedürleri içermelidir.
  • Muafiyetin sürmesi için ADP değişiklikleri her yıl Ticaret Bakanlığı'na bildirilmelidir ve muafiyet her an geri çekilebilir.

Belirli ülkeler veya yabancılar için özel tedbirlerin özeti

  • Ticaret Bakanı, belirli bir ülkenin veya yabancının ABD IaaS ürünlerini kötü amaçlı siber faaliyetlerde kullandığına karar verirse özel tedbirler uygulayabilir.
  • Bunlar arasında ilgili ülkedeki yabancılar için hesap açılmasının yasaklanması veya koşula bağlanması ile belirli yabancılar için hesap açılmasının yasaklanması veya sınırlandırılması gibi önlemler yer alır.
  • Özel tedbir uygulanıp uygulanmayacağı ve türü, ilgili unsurların birlikte değerlendirilmesiyle belirlenir.

Büyük ölçekli AI model eğitimi raporlama gerekliliklerinin özeti

  • IaaS sağlayıcıları, yabancıların kötü niyetli siber faaliyetlerinde kullanılabilecek büyük ölçekli AI model eğitimi işlemlerini fark etmeleri halinde bunu 15 gün içinde Ticaret Bakanlığı'na raporlamalıdır.
  • Yabancı reseller'lar için de aynı raporlama yükümlülüğü vardır ve IaaS sağlayıcıları bunu 30 gün içinde Ticaret Bakanlığı'na sunmalıdır.
  • Ticaret Bakanlığı'nın talebi halinde 15 gün içinde ek bilgi içeren takip raporu sunulmalıdır.
  • Hata tespit edilirse 15 gün içinde düzeltme raporu verilmelidir.
  • Raporlarda yabancı müşteri bilgileri ve eğitimle ilgili bilgiler yer almalıdır.
  • IaaS sağlayıcıları, yabancı reseller'ların bu gerekliliklere uyması için makul çaba göstermelidir.

Düzenleme ihlallerine yönelik yaptırımların özeti

  • Yasak fiiller arasında CIP oluşturmama/sürdürmeme, reseller CIP uyumsuzluğu ve büyük ölçekli AI model eğitimi yasağı/durdurma yükümlülüğünü yerine getirmeme yer alır.
  • Ticaret Bakanlığı'na yanlış beyanda bulunmak da ihlal sayılır.
  • IEEPA kapsamında, her ihlal için en fazla 250 bin dolar veya ihlale konu işlem tutarının 2 katı arasında hangisi daha büyükse o tutarda idari para cezası uygulanabilir.
  • Kasıtlı ihlallerde en fazla 1 milyon dolar para cezası veya 20 yıla kadar hapis cezası verilebilir.
  • Bunun dışında ABD yasalarına göre başka hukukî/cezaî yaptırımlar da mümkündür.

GN⁺ görüşü

Bu düzenleme, ABD'li IaaS sağlayıcılarına yabancı müşterileri tanıma ve doğrulama yükümlülüğü getirerek kötü amaçlı siber faaliyetlerde kötüye kullanımı önlemeyi hedefliyor gibi görünüyor. Özellikle büyük ölçekli AI model eğitimi için IaaS kullanımına yönelik kaygılar da buna yansımış görünüyor.

IaaS sağlayıcıları açısından müşteri bilgisi toplama ve doğrulama ile kayıt saklama gibi yüklerin artacağı anlaşılıyor. Yabancı müşterilerin doğrulanması kolay olmayabilir ve gizlilik sorunları da gündeme gelebilir. Yabancı reseller'larla olan sözleşme ilişkileri de bundan etkilenecektir.

Öte yandan devletin, bununla IaaS pazarındaki denetim gücünü artırmayı ve ulusal güvenlik tehditlerini engellemeyi amaçladığı anlaşılıyor. Belirli ülke veya aktörleri hedef alan özel tedbir maddeleri özellikle dikkat çekiyor; bu da jeopolitik gerilimlerin yansıması gibi duruyor.

Büyük ölçekli AI modeline ilişkin hükümler, AI'ın çift kullanımlı niteliğine dair farkındalığın artmasının bir sonucu gibi görünüyor. Devletin, IaaS üzerinden yürütülen AI geliştirme faaliyetlerini izleme niyeti seziliyor. Bu, teknolojik gelişmelerin doğurduğu yeni risklere karşı bir yanıt olarak yorumlanabilir.

Bu düzenleme, ulusal güvenlik ile teknolojik inovasyon arasında denge arayışının bir parçası gibi görünüyor. IaaS sağlayıcıları için yük oluşturacak olsa da uzun vadede pazarın sağlığına ve güvenilirliğine katkı sağlayabilir. Ancak aşırı düzenlemenin inovasyonu yavaşlatabileceğine dair endişeler de bulunduğundan dikkatli bir uygulama gerekecek gibi görünüyor.

İlgili okumalar

1 yorum

 
GN⁺ 2024-04-26
Hacker News görüşü
  • Bu yasa tasarısı, IaaS (altyapı) sağlayıcılarının, hizmetlerini yapay zeka eğitimi için kullanan kişilerin kimliğini doğrulamasını gerektiriyor gibi görünüyor. Amaç, yaptırım altındaki veya kötü niyetli aktörlerin yapay zeka eğitmesi, servisler arasında geçiş yapması ya da takma adlar kullanarak model eğitimine devam etmesini engellemek gibi görünüyor.
  • Bu bana bir ölçüde zararsız görünüyor ve HN tartışmasında başkalarının kurduğu benzerlikleri anlamakta zorlanıyorum. Bunun bir kaygan zemin olup olmadığını ya da yasa tasarısının kapsamı konusunda saf mı kaldığımı merak ediyorum.
  • IaaS sağlayıcıları buna şiddetle karşı çıkacaktır ve AWS KYC belgeleri istemeye başlarsa tüm bulut kaynaklarımı hemen başka bir yere taşırım. Bunu yapmak için gereken çaba neredeyse yok.
  • KYC, "müşterini tanı" (know your customer) anlamına gelir. Kısaltma ilk kez kullanıldığında açık yazmak iyi olur. Özellikle bağlantılı makalede kısaltmanın kendisi kullanılmadığı için. Ayrıca bu önerinin genel olarak "internet hizmetleri" için değil, ABD'deki IaaS ürünleri için olduğuna dikkat çekmekte fayda var.
  • Bankalar müşterilerini tanıyorsa, bunu bizim yapmamıza gerek yok. KYC'nin yolu her zaman ödemelere ve finansa çıkar. Hizmet bedellerini standart banka kartı işlemleri veya havale gibi yöntemlerle kabul ediyorsak, müşterinin tanınması bankalarda merkezi hale getirilebilir.
  • KYC gerekliliklerinin giderek daha fazla çevrimiçi hizmete eklenmesi eğilimi endişe verici. KYC, hizmet sunmak isteyenler için büyük bir yük oluşturuyor.
  • KYC sistemleri suçluları ayıklamada genelde pek başarılı değil. KYC sistemlerinin çoğu veri toplayıcılara (kişisel veri satın alanlara) dayanıyor ve genç, yoksul ya da gizliliğine önem veren kişiler şüpheli muamelesi görüyor.