Düzenlemeye tabi kuruluşlar için

Uyumluluk,
MFA’nın bittiği yerde başlar.

Strong Customer Authentication (SCA) bir kimlik bilgisinin sunulduğunu kanıtlar. Telefondaki sesin o kimlik bilgisinin sahibine ait olduğunu kanıtlamaz. Hongi bu boşluğu bankalar, sigorta şirketleri ve kimliğe bürünmenin bir faturası olan her kurum için kapatır.

Ekiple görüşün Düzenleyici haritaya bakın →
  • $3B
    yıllık BEC ve CEO dolandırıcılığı zararı
    FBI IC3 2024
  • €40M
    Belçika’da phishing ve vishing zararı
    Febelfin 2024
  • Ara 2027
    EUDI Wallet kabul son tarihi
    Regulation (EU) 2024/1183
  • %80+
    yapay zekâ destekli sosyal mühendislik
    ENISA Threat Landscape 2025

Uyumluluk boşluğu.

SCA, müşteri etkileşiminin iki ucunu kapsar: oturum açma ve işlem imzalama. Arada kalan her şey, telefon görüşmesi, görüntülü oturum, e-posta yazışması, canlı kimlik kanıtından yoksundur. Vishing, deepfake video ve CEO dolandırıcılığı işte tam bu ara bölümde yaşıyor.

SCA kapsamında
Hongi’nin kapattığı boşluk

Düzenleyici harita.

Hongi’nin savunduğu kanallarda kimlik güvencesini ilgilendiren sekiz çerçeve. Her birinde Hongi’nin nerede durduğu ve ne yaptığı, birincil kaynağıyla birlikte.

  1. 2019 PSD2 RTS-SCA yürürlükte
  2. 2024 EBA dolandırıcılık raporlaması kılavuz güncellendi
  3. Eki 2024 NIS2 iç hukuka aktarıldı
  4. Oca 2025 DORA yürürlükte
  5. Ara 2027 EUDI Wallet kabulü zorunlu
Temel düzenlemeler 3
EU 2019’dan beri yürürlükte
PSD2 · RTS on SCA
Komisyon Yetkilendirilmiş Tüzüğü (AB) 2018/389
Kapsam

Güçlü müşteri kimlik doğrulaması: bilgi, sahip olma ve varlık unsurlarından en az ikisi; işleme bağlama.

Hongi’nin yeri

Hongi, ödeme yetkilendirmesini çevreleyen görüşme için tamamlayıcı, bant dışı bir sahip olma faktörüdür. SCA’nın yerine geçmez; geçerli bir SCA akışını başka türlü atlatan sosyal mühendisliğe karşı kalkan olur (dolandırıcılıkla tetiklenen işlemler, müşteri temsilcisi kılığındaki saldırganlar).

Birincil kaynak →
EU Oca 2025’ten beri yürürlükte
DORA
Tüzük (AB) 2022/2554
Kapsam

Finans sektörü için dijital operasyonel dayanıklılık. Md. 9 (koruma ve önleme), Md. 17-19 (BİT olay bildirimi). 17 Ocak 2025’ten beri yürürlükte.

Hongi’nin yeri

BİT olaylarını tetikleyen sosyal mühendislik saldırı yüzeyini daraltır. İsteğe bağlı denetim günlüğü (kimliksiz eşleşme hashlerinden oluşan bir Merkle ağacı), kişisel veri tutmadan olay sonrası yeniden yapılandırmayı destekler.

Birincil kaynak →
EU Ara 2027’de zorunlu
eIDAS-2 · EUDI Wallet
Tüzük (AB) 2024/1183
Kapsam

Aralık 2027’den itibaren güvenen tarafların AB Dijital Kimlik Cüzdanı’nı kabul etmesi zorunlu (Md. 5f). Güçlü kriptografik kimlik kanıtları.

Hongi’nin yeri

Hongi, EUDI’nin yanında yer alan canlı insan kanalı doğrulayıcısıdır: EUDI bir kimlik bilgisinin sunulduğunu kanıtlar, Hongi telefondaki sesin o kimlik bilgisinin sahibine ait olduğunu kanıtlar. İki ortogonal sorun, tek bir mimari.

Birincil kaynak →
Destekleyici çerçeveler 5
EBA Guidelines · fraud reporting
EBA/GL/2018/05 (2024’te güncellendi)
EU

Banka-müşteri görüşmesi sırasında başarısız bir Hongi çapraz kontrolü, mevcut kart dolandırıcılığı şemasının yetersiz raporladığı türleri (CEO dolandırıcılığı, vishing) besleyebilen, makine tarafından okunabilir net bir sinyaldir.

2024’te güncellendi Birincil kaynak →
NBB · ICT-veiligheid
Belçika Ulusal Bankası ihtiyati rehberi + DORA uygulaması
BE

BİT destekli hizmetlerin yönetişimine ilişkin NBB çerçevesiyle uyumlu; uzaktan banka-müşteri ve banka içi etkileşimler için operasyonel bir kimlik güvence katmanı.

aktif Birincil kaynak →
GDPR · tasarımdan gizlilik
Tüzük (AB) 2016/679, Md. 25
EU

İsim yok, telefon numarası yok, e-posta yok, kişi listesi yok, kod geçmişi yok, analitik yok. Ortak anahtar yalnızca iki eşleşmiş cihazda yaşar; sunucu yalnızca opak bir şifreli yük iletir. Olası bir veri ihlalinde sızdırılacak neredeyse hiçbir şey yoktur.

2018’den beri yürürlükte Birincil kaynak →
NIS2
Direktif (AB) 2022/2555
EU

Metin tabanlı MFA’nın kapsamadığı yüksek riskli uzaktan etkileşimler (işlem onayı, ihlal müdahalesi, satıcı işe alımı) için erişim kontrolüne bir kimlik güvence katmanı ekler.

2024’te aktarıldı Birincil kaynak →
NIST SP 800-63-4 + ENISA TL 2025
NIST Dijital Kimlik Kılavuzu, Temmuz 2025 · ENISA Threat Landscape 2025
GLOBAL

ENISA’nın listenin başına koyduğu tehdide doğrudan karşılık verir. NIST kimlik doğrulama güvence seviyelerini, oturum düzeyinde ve mekanizmadan bağımsız bir insan kanalı tasdikiyle tamamlar (telefon, video, yüz yüze).

sektör standardı Birincil kaynak →

Operasyonların hangi noktasında devreye giriyor.

B2B yol haritasında yol haritasına bakın →

Müşteriye dönük ve iç akışlardan altı operasyonel senaryo. Aşağıda anlatılan mekanizmalar, henüz teslim edilmemiş ve aktif B2B yol haritamızda yer alan kurumsal eşleşme ve denetim günlüklerini gerektirir. Bankalarla ilk pilotlara 2026 son çeyrekte başlıyoruz. Bu senaryoların herhangi birinde kaçırılan tek bir doğrulamanın bilinen altı haneli bir bedeli var.

01
€40M
Belçika phishing ve vishing · Febelfin 2024

Bankadan müşteriye giden aramalar

PSD2 RTS-SCAEBA fraud reporting
Hongi olmadan

Müşteriler, doğru bağlamı bilen bir vishing dolandırıcısını gerçek müşteri temsilcisinden ayıramaz.

Hongi ile

Müşterinin şifre kelimesi temsilcinin şifre kelimesiyle tutmak zorundadır. Tutmazsa görüşme de yok.

02
$25.6M
tek bir deepfake görüntülü görüşme · Arup 2024

Müşteri kabulü için görüntülü oturumlar

eIDAS-2GDPRKYC/AML
Hongi olmadan

Deepfake yüz değiştirmeler uzaktan KYC’yi vuruyor. Ekrandaki yüz yüklenen kimlikle eşleşmeyebilir.

Hongi ile

KYC incelemesi öncesi iki taraf da kameraya birbiriyle tutan şifre kelimelerini okur. Oturum içinde tasdiklenir.

03
$3B
yıllık BEC zararı · FBI IC3 2024

İç doğrulama (BEC / CEO dolandırıcılığı)

DORANIS2
Hongi olmadan

Acil CEO havale talebi, imza doğru, ses tanıdık. Para çıkıp gidiyor.

Hongi ile

Olağandışı her ödeme öncesi canlı şifre kelimesi kontrolü. Tek bir eşleşme açığı kapatır.

04
4h+
DORA olay bildirim penceresi

İhlal müdahalesi

DORA Md. 17-19NIS2
Hongi olmadan

Saldırganlar olay kaosundan beslenir: sahte BT, sahte destek, sahte IR sağlayıcıları.

Hongi ile

Her iç arama şifre kelimesi kontrolünden geçer. Tutmazsa hiçbir talimat uygulanmaz.

05
€100k+
tipik yüksek tutarlı havale eşiği

Yüksek tutarlı işlem onayı

PSD2 RTS-SCAEBA fraud reporting
Hongi olmadan

Müşterinin gerçek olduğuna dair bant dışı kanıt olmadan telefonla onaylanmış 100 bin EUR üstü havale.

Hongi ile

Müşteri o anki şifre kelimesini sesli okur. Temsilci eşleşmeyi onaylar. Ödeme tasdikli olarak gerçekleşir.

06
avg €40k
tedarikçi fatura dolandırıcılığı, olay başına

Tedarikçi / hizmet sağlayıcı KYB

DORA tedarik zinciriNIS2
Hongi olmadan

Tedarikçi aramalarında kimlik zayıf kalıyor. Fatura dolandırıcılığı tam bu boşluktan geçiyor.

Hongi ile

KYB sırasında eşleşin. Sonrasında her tedarikçi araması Hongi ile kontrol edilir. Tahmine yer yok.

DPO denetimine açık bir mimari.

Bir Hongi dağıtımı, DPO’nuzun bir öğleden sonrada denetleyebileceği kadar sade. Aşağıda, bir kurum Hongi’yi çalışanları ve müşterileri için devreye aldığında sunucuda tuttuğumuz her şeyi bulacaksınız.

  • Cihaz başına push tokenları. APNs/FCM tarafından verilen opak tanımlayıcılar. Kişi adıyla eşleştirme yok. Yalnızca sessiz ping bildirim yolu için gerekli; rutin şifre kelimesi doğrulamasında kullanılmaz (o tamamen çevrimdışı).
  • İsteğe bağlı eşleşme hash denetim günlüğü. DORA Md. 17 veya NBB rehberi kapsamında izlenebilirlik gerektiren B2B dağıtımlar için Hongi, eşleşme hashlerinden (kimliksiz, şifre kelimesi içermeyen) oluşan bir Merkle ağacı günlüğü tutabilir. Merkle kanıtıyla doğrulanabilir. Kamuya açık zincir yok.
  • Bahşiş ödemesi meta verisi. Yalnızca tüketici ürününde geçerlidir, B2B için değildir. Ödeme Stripe üzerinden yönlendirilir. Hongi yalnızca bir bahşişin gerçekleştiğini ve tutarını görür; kullanıcıya bağlayan hiçbir veri yoktur.

Tutmadıklarımız: isim, telefon numarası, e-posta, kişi listesi, şifre kelimesi geçmişi, çağrı kaydı, konum, döküm, biyometri, reklam tanımlayıcısı. Eşleşmiş iki cihaz arasındaki doğrulama anahtarı yalnızca o iki cihazda yaşar; yerelde türetilir.

Sonraki adım

30 dakikalık bir pilot görüşmesi planlayın.

Hongi ekibi; uyum, dolandırıcılık ve BT yöneticilerinizle oturup en yüksek etkili kullanım senaryonuzu birlikte gözden geçirir. Uyum sağlanırsa en fazla 500 müşteri ya da çalışanla 6 aylık ücretsiz bir pilot yürütürüz. Satın alma yok, lisans yok, maruziyet yok.

Kuruculara doğrudan yazın Önce SSS’ye göz atın →

Hongi (Lovit BV) · Vlaanderen, Belçika · info@hongi.io