# Arge Çalışması ## Hedef Bir Dijital Finans Platformu oluşturarak finans kurumlarının iş süreçlerini, fonksiyonlarını kendi önyüz uygulamalarına, iş birlikteliği yaptığı kurumlara, müşterilerine sunabilecekleri bir yüksek güvenlikli ağ geçidi (API Gateway) destekli düşük kod (low code) platformu oluşturulması hedeflenmektedir. ## Dijital Bankacılık Platformu ### Kullanıcı Doğrulama ve Yetkilendirme Hali hazırda birçok organizasyonda olduğu gibi finans kurumlarında da farklı profillerdeki kullanıcıların yönetimi farklı çözümlerle sağlanmak durumunda kalmakta. Bu zorunluluğun temel nedenleri olarak aşağıdaki maddeleri sayabiliriz. * Farklı süreçlerin farklı kullanıcı doğrulama akışlarına ihtiyaç duyması * Kullanıcı doğrulamada kullanılan parametrelerin tüketicilere göre değişmesi * Kullanıcı yaşam döngünün kompleks iş akış modellerine ihtiyaç duyması * Farklı uygulamalar için kullanıcıların farklı rollere sahip olması * Güçlü kimlik doğrulamada yeni nesil yaklaşım ihtiyaçlarının olması * Vekalet sisteminin sistemler özelinde standartlaşmamış olması Bu noktada bu temel ihtiyaçları tek bir noktada çözebilecek bir çözüm planı üzerine odaklandık. * Outh2 standartlarını destekleyen, 3.Parti uygulamalarının rahatlıkla entegre olabileceği bir servis arabirimi sunmak. * [RFC 6749: The OAuth 2.0 Authorization Framework](https://www.rfc-editor.org/rfc/rfc6749) * [RFC 6750: OAuth 2.0 Bearer Token Usage](http://tools.ietf.org/html/rfc6750) * [RFC 7519: JSON Web Token (JWT)](https://www.rfc-editor.org/rfc/rfc7519) * [RFC 7636: Proof Key for Code Exchange](https://www.rfc-editor.org/rfc/rfc7636) * [RFC 7662: Token Introspection](http://tools.ietf.org/html/rfc7662) * [RFC 7009: Token Revocation](http://tools.ietf.org/html/rfc7009) * [RFC 8252: OAuth 2.0 for Mobile and Native Apps](http://tools.ietf.org/html/rfc8252) * Uygulama özelinde farklı çoklu faktör doğrulama senaryolarının iş akışı olarak tasarlanabilmesi. * Kullanıcıların birden fazla kapsam (scope) adına kullanıcı girişi sağlayabilmesi. Her bir kapsam özelinde rıza (consent) yönetiminin yapılması * Kapsam özelinde rol ağacının oluşturulmasına izin veren ve kaynaklara erişimleri [RBAC](https://en.wikipedia.org/wiki/Role-based_access_control) standartlarına uygun dinamik tanımlanabilir hale getirilmesi * Kullanıcılara geçici vekalet atama altyapısının oluşturabilmesi vekalet durumlarında ek güvenlik protokollerinin çalıştırılması sağlanması. * PSD2 ve Açık Bankacılık yönergelerinde belirlenmiş kullanıcı ve işlem güvenliği fonksiyonlarının tüm işlemler için gevşek bağlı (loosely coupled) olarak sağlanması. * https://www.berlin-group.org/nextgenpsd2-downloads * https://www.tcmb.gov.tr/wps/wcm/connect/8f5e4483-89b0-4eec-acbf-97904cd73d14/ÖdemeEmriveHesapBilgiHizmetleriAPIStandartlarıv1.0.0-accepted.pdf * Bulut veya Kurum içerisinde konteyner üzerinde çalışacak şekilde geliştirilerek satıcı bağımlığı oluşturmayacak mimari tekniklerin geliştirilmesi * İşlem başına kullanıcı erişim belirtecinin (Access Token) ve kaynak erişim yetki kontrolünün 100ms altında en az 1.000.000 TPM değerini sağlaması. #### Öngörülen Zorluklar * Belirteç (Token) oluşturma sürecinde kriptografi algoritmalarının hedeflenen süreye ulaşmaya engel çıkartma riski bulunmaktadır. Yüksek güvenlikli ve en hızlı çalışan algoritmanın tespiti ve belirtecin paralel işleme ile yüksek performanslı grafik işlemciler kullanılarak doğrulanması yapılarak zorluğun üstesinden gelinmesi için çalışmalar hedeflenmektedir. * Hedeflenen TPM değerlerine ulaşabilmek amacıyla paralel ve dağıtık çalışacak yapının özellikle süresinden önce kullanımdan düşürülen belirteçler, erişim yetkisi değiştirilen kaynaklarla ilgili güncellemeleri anında fark edebilmesi güvenlik açığı oluşturmamak açısından zorunludur. Bu risk için önbellekleme, bellek üzerinden çalışan veri tabanları, RAFT ve ACID algoritmalarından destek alarak çalışmalar hedeflenmektedir. #### Takvim | Tarih | Teslimat | Açıklama | | ----------- | -------- | -------- | | Temmuz 2024 | MVP | Kullanıcı kaydı ve doğrulamasını yapabilen, doğrulanmış kullanıcılar için belirteç verebilen, belirteçleri doğrulayabilen canlı sistemde kullanılabilir ürün. | | Temmuz 2025 | Open Banking | Açık Bankacılık kapılarına(gateway) entegre olabilen, PSD2 uyumlu istemcilerle ilgi konfigürasyonları içeren yapının devreye alınması | | Temmuz 2026 | Self Service | Kullanıcıların servisler üzerinden kaynaklara direkt erişimi için süreli belirteçler oluşturması, belirteçlerin kullanımı için IP kısıtı gibi ek güvenlik kontrolleri tanımlaya bilecekler yapının devreye alınması. Kullanıcı doğrulama sürecinde kullanılan faktörlerin (GSM numarası, güvenlik sorusu gibi.) güncellemesinin kullanıcı tarafından yapılması. | | Temmuz 2027 | AI | Kullanıcı doğrulama ve kullanıcı kanyak erişimlerinin yapay zeka ile izlenerek olası anomalilerin tespiti ve sahtekarlık girişimlerinin fark edilmesine destek sağlanması yapısının devreye alınması | Projenin Temmuz 2023 tarihinde başlayacağı öngörüsü ile hazırlanmıştır.* ### İş Akış Motoru Kullanıcıların fiziksel ve dijital ortamlarda başlayıp devam eden iş süreçlerini görsek olarak modeleyip dağıtık bir şekilde yüksek performans ve sağlamlıkla işletebilen bir iş akış motoru hedeflenmektedir. Hali hazırda kullanılan iş akış motorlarında bulunmayan ek özelliklerle diğer ürünlerden ayrışacak bir yapıda teknik tasarım ve özellikler sunması hedeflenmiştir. * Tamamen bulut ve microservice mimarisinde bir altyapı sunarak yüksek erişilebilir ve ölçeklenebilirlik sağlaması. * 100.000 TPM değerinde işlem karşılama kapasitesi sunması. * İşlem talebini 100ms'den daha kısa sürede kabul etmesi. * Asenkron işlem emri alma modelini desteklemesi. * Kompleks veri modellerini destekleyen sorgulanabilirliği yüksek veri saklama ortamı sunması. * Farklı teknolojilerle geliştirilen önyüz akışlarının da iş akışından yönetilmesinin sağlanması. * Hem [BPML](https://en.wikipedia.org/wiki/Business_Process_Modeling_Language) hem de [FSM](https://en.wikipedia.org/wiki/Finite-state_machine) iş akışlarını desteklemesi #### Öngörülen Zorluklar * Paralel ve dağıtık çalışma prensiplerini uygulayarak beklenen işlem kapasitesini karşılaması. İşlem bütünlüğünün korunması amacıyla Aktör modeli (Actor Model) dağıtık çalışma ve RAFT konsensus gibi teknikler üzerinde çalışarak işlem tekilliğini garanti altına alacak çalışmalar hedeflenmektedir. * İşlem talep mesajlarını hedeflenen sürede uygun olan iş akışlarına iletmek. Önbellekleme, kuyruk yönetimi ile paralel mesaj dağıtımı ve benzeri tekniklerle hedefe ulaşmak için çalışmalar hedeflenmektedir. #### Takvim | Tarih | Teslimat | Açıklama | | ----------- | ------------------- | -------- | | Temmuz 2024 | MVP | Web servisler aracılığı ile FSM ve BPML akışlarının tanımlarının yapılması ve calıştırılmasının sağlanması. Akış hareketlerinin [SignalR](https://github.com/dotnet/aspnetcore/blob/main/src/SignalR/docs/specs/HubProtocol.md?WT.mc_id=dotnet-35129-website) ile ara yüzlere iletilerek performans hedeflerini karşılayan ürünün sunulması. | | Temmuz 2025 | Human Task Manager | Kullanıcıların manuel olarak dahil olduğu operasyonlarda, kullanıcıların birden fazla akış üzerinden atanan işlemleri takip edip tamamlayacakları iş havuzu altyapısın devreye alınması | | Temmuz 2026 | Activity Monitoring | Tüm iş akışlarının izledikleri akışı görselleştirerek kullanıcıya sunup, akışlar, işlemler ve statülerle ilgili istatistiki veriler sunan yapının devreye alınması. | | Temmuz 2027 | AI | İş akılarını izleyerek süreci uzayan işlemleri, kapasite eksiği nedeniyle uzun kalan statüleri, talep yoğunlaşması durumlarında etkileri analiz edip süreç iyileştirme önerileri sunan yapının devreye alınması. | Projenin Temmuz 2023 tarihinde başlayacağı öngörüsü ile hazırlanmıştır.* ### Sözleşme ve Belge Yönetimi Kurumlar müşterileri ile dijital ve fiziksel olarak birçok sözleşme, talimat gibi belge tipleri ile onay, imzalama, beyan gibi fonksiyonlarla etkileşimde bulunmakta. Bununla birlikte kurum içerisinde çok farklı süreçlerde benzer veya aynı belgelerin istenmesi, sözleşmelerin imzalatılması, belgelerinin geçerliliklerinin takibi ciddi sorun olmaktadır. Ayrıca belge sayılarının artması ve büyüklükleri erişimde ve izlemede problemler yaratmaktadır. Proje kapsamında dijital ve fiziksel tüm belgelerin sürümler halinde saklanması sağlanacaktır. Belgelerle ilgili olarak otomatik tanıma ve doğrulama kurguları planlanmaktadır. Beklenen özellikler; * Her türlü dijital belgenin istenilen formattan dijital olarak oluşturulması. * Dijital olarak oluşturulmuş ve fiziksel olarak imzalatılmış belgelerin sahtekarlık girişimlerine karşı bütünlüğünün kontrolü. * Sürüm yönetimi yetkinlikleri için [Semantic Versiyon](https://semver.org) tekniği sağlanması. * Kredi başvuru süreci gibi birden fazla beyan edilen belge, talimat, sözleşmenin bulunduğu süreçlere özel belge kümelerinin tanımlanması ve süreç ile bütünleşmiş belge kontrollerinin yapılabilmesi * Çok sayfalı belgelerin parçalanarak erişilebilirliğin arttırılması. #### Öngörülen Zorluklar * Belgelerin saklanacağı veri deposunun yüksek yoğunluklu işlem kapasitesini verimli bir şekilde kaldıracak kurgulanması. * Belgelerin otomatik olarak anlaşılması, ayrıştırılması ve gerekli durumlarda doğru şekilde parçalanması amacıyla uygun yapay zeka algoritmaların tespiti ve uygulanması * Belge boyutlarından dolayı uzun süren belge işleme sürelerinin işlem bütünlüğünü bozabilecek altyapı hatalarına karşı dayanıklı algoritmaların tespiti. #### Takvim | Tarih | Teslimat | Açıklama | | ----------- | ------------------ | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Temmuz 2024 | MVP | Web servisler aracılığı ile süreçler tarafında kullanılacak belge yönetim altyapısının devreye alınması, Belge oluşturma, yükleme, kontrol etme gibi fonksiyonların kullanıma sunulması. | | Temmuz 2025 | Self Service, AI-1 | Belgelerin otomatik tanımlanması, yazdırılıp imzalatılan belgelerde bütünlük kontrolü yapılması için gereken yapay zeka entegrasyonlarının yapılması. Son kullanıcıların online belge onaylama, onayladıkları belgeleri izlemeleri için portal sunulması. | | Temmuz 2026 | AI-2 | Kimlik belgesi, pasaport, ehliyet gibi belgelerin sahtekarlık girişimlerine karşı yapay zeka desteği ile orijinallik kontrollerinin yapılması. | ## İhracat Hedefi Birçok süreç gibi finans sektörü de dijitalleşme sürecine hızlı bir giriş yapmıştır. Yeni ve hızla gelişen dijital bankacılık sektöründe ilklerden olarak pazarda söz sahibi olmak planlanmaktadır Burgan Bank A.Ş.'nin çatı şirketi olan **Burgan Bank Kuwait** ve grup şirketleri **Gulf Bank Algeria**, **Bank of Baghdad** ve **Tunis International Bank** şirketlerinde çözümün uygulanması ve ihracat geliri yaratmasında ciddi potansiyel bulunmaktadır. Diğer yandan grup şirketleri dışında da dijital bankacılık dönüşümünde ciddi avantajlar sunan çözüme satış hedefi konmuştur. ## Sinai Haklar, Lisanslama Modeli Çözüm tamamen açık kaynak kod (Open Source) olarak geliştirilmesi hedeflenmektedir. Gelir modeli için iki temel alan belirlenmiştir. * Ürünlerin desteğini ve güncellemelerini temel alan yıllık üyelik modeli * Kurumun ve lokal otoritenin yönetmeliklerine uygun uyarlama çalışmalarının bedellendirilmesi. ## Organizasyon Proje kapsamında yazılım geliştirme süreçlerinde aktif görev alacak **20 kişilik** teknik ekip hedeflenmektedir. Ayrıca teknik takımı destekleyecek **5 kişilik** yönetim ve destek ekibi hedeflenmektedir.