Fin ve Tech: Enterprise Core Banking Architecture — Ölçek, Hız ve Güvenlik İçin Tasarlandı
Fin ve Tech serisinin bu bölümünde, modern fintech dünyasının belki de en karmaşık ve en kritik altyapısına odaklanıyoruz: Enterprise Core Banking Architecture.
Çoğu kişi core banking’i sadece hesaplar ve işlemler olarak düşünür. Oysa gerçek çok daha derin: bu sistemler, var olan en karmaşık, yüksek riskli dağıtık sistemlerden biridir.
Core Banking Nedir ve Neden Bu Kadar Kritik?
Core banking sistemi, bir bankanın veya fintech şirketinin tüm temel bankacılık işlemlerini yürüten çekirdek yazılım platformudur.
Müşteri hesapları, para transferleri, kredi yönetimi, mevduat işlemleri — bunların hepsi core banking engine üzerinden akar.
Ancak modern mimaride bu sistem artık tek bir monolitik yapı değil; birbirine entegre servislerden oluşan, API-first ve cloud-native bir ekosistemdir.
Katmanlı Mimari: Sistemin Anatomisi
Modern bir enterprise core banking sistemi birden fazla katmandan oluşur. Her katmanın kendine özgü sorumluluğu vardır ve bu katmanlar birlikte 7/24 kesintisiz çalışır.
Kanallar (Channels)
Kullanıcıların sisteme eriştiği tüm noktalar bu katmanda yer alır:
- Mobile Banking
- Internet Banking
- Branch / Teller
- ATM / POS
- Contact Center
- Corporate Portal
- Third Party Apps
Her kanal, aynı backend servisleri kullanır. Bu, tutarlı bir kullanıcı deneyimi ve tek bir güvenlik politikası anlamına gelir.
Edge & Security Layer: Saldırı Başlamadan Önce
Kanallardan gelen tüm trafik önce güvenlik katmanından geçer. Bu katman şunları içerir:
- WAF (Web Application Firewall) — uygulama katmanı saldırılarına karşı
- DDoS Protection — servis dışı bırakma saldırılarına karşı
- API Gateway — merkezi trafik yönetimi
- Rate Limiting — kötüye kullanımın önlenmesi
- OAuth 2.0 / OpenID Connect — kimlik doğrulama
- IP Filtering — coğrafi ve kural tabanlı erişim kısıtlaması
- TLS 1.3 Encryption — tüm veri transferi şifreli
Temel prensip: Zero Trust. Güven varsayılmaz, her istek doğrulanır.
Application Services Layer: Mikro Servisler Katmanı
Bu katman, tüm bankacılık yeteneklerinin bağımsız servisler olarak çalıştığı yerdir:
| Servis | Görev |
|---|---|
| Customer Onboarding & KYC | Müşteri kaydı ve kimlik doğrulama |
| Account Management | Hesap işlemleri |
| Deposits Management | Mevduat yönetimi |
| Loans Management | Kredi süreçleri |
| Payments & Transfers | Ödeme ve para transferleri |
| Cards Management | Kart işlemleri |
| Trade Finance | Ticaret finansmanı |
| Limits & Collateral Management | Limit ve teminat yönetimi |
| Fee & Charges Management | Ücret ve komisyon yönetimi |
| Interest & Pricing Engine | Faiz ve fiyatlama |
| Alerts & Notifications | Bildirim sistemi |
| Customer Communication Service | Müşteri iletişimi |
Her servis bağımsız deploy edilebilir. Bu, sıfır kesinti güncellemeleri ve daha hızlı release döngüleri anlamına gelir.
Workflow / BPM Engine: Gerçek Bankacılık Mantığı Burada
Çoğu zaman göz ardı edilen ama sistemin gerçek beyni olan bu katman, karmaşık iş süreçlerini yönetir:
- Kredi onay süreçleri
- KYC akışları
- Uyum ve regülasyon süreçleri
BPM engine olmadan, her servis kendi iş mantığını taşımak zorunda kalır — bu da büyük bir karmaşıklık demektir.
Integration Layer: Her Şeyi Birbirine Bağlayan Yapı
Mikro servisler ve dış sistemler bu katman üzerinden haberleşir:
- Enterprise Service Bus (ESB) — servisler arası orkestrasyon
- Message Queue (Kafka / RabbitMQ) — asenkron mesajlaşma
- Event Streaming (Kafka) — gerçek zamanlı olay akışı
- API Management — API yaşam döngüsü yönetimi
Bu katman sayesinde sistem, hem iç servislerle hem de dış ortaklarla (Visa, SWIFT, kredi büroları, kamu sistemleri) sorunsuz entegre olur.
Core Banking Engine: Sistemin Kalbi
Tüm mimarinin merkezinde Core Banking Engine bulunur.
Core Banking Database ACID uyumludur — yani her işlem ya tamamen gerçekleşir ya da hiç gerçekleşmez. Veri tutarlılığından ödün verilmez.
Veritabanı altyapısı şu özelliklerle çalışır:
- High Availability — kesintisiz erişim
- Active-Passive / Active-Active Replication — veri kaybı toleransı sıfır
Business Capabilities katmanı ise motorun üzerinde çalışan iş yeteneklerini barındırır:
- Multi-Currency (çoklu para birimi)
- Multi-Branch (çok şubeli yapı)
- Multi-Company (çok şirketli yapı)
- Multi-Language (çok dil desteği)
- Product Configurator
- Interest Calculation (faiz hesaplama)
- Tax & Regulatory (vergi ve regülasyon)
- Accounting Rules (muhasebe kuralları)
- Parameter Management (parametre yönetimi)
Data & Platform Layer: Analitiğin Temeli
Core banking verisi bu katmanda işlenerek değere dönüştürülür:
- Data Lake (S3 / ADLS) — ham verinin depolanması
- Data Warehouse (Snowflake / BigQuery) — analitik sorgular
- Cache (Redis) — düşük gecikmeli veri erişimi
- Search (Elasticsearch) — hızlı arama
- Object Storage (MinIO / S3) — dosya ve doküman depolama
Bu katman; analitik, yapay zeka ve kişiselleştirme uygulamalarının temelini oluşturur.
Infrastructure Layer: Bulut ve Hibrit
En altta tüm sistemi taşıyan altyapı katmanı bulunur:
- Compute: Kubernetes / VMs
- Containerization: Docker
- Service Mesh: Istio / Linkerd
- CI/CD Pipeline: Jenkins / GitLab
- Secrets Management: HashiCorp Vault
- Backup & DR: Site Replication
Sistem, cloud, on-premise veya hibrit ortamlarda çalışabilir.
Observability & Operations: Görünmez Olanı Görünür Kılmak
Milyonlarca işlemi yöneten bir sistemde, neyin nerede yanlış gittiğini anlık olarak görebilmek kritiktir:
- Monitoring (Prometheus / Grafana) — metrik toplama ve görselleştirme
- Logging (ELK Stack) — merkezi log yönetimi
- Tracing (Jaeger / OpenTelemetry) — uçtan uca istek takibi
- Alerting (Alertmanager) — anlık uyarı sistemi
- APM (New Relic / Dynatrace) — uygulama performans izleme
- Health Checks & Dashboards — sistem sağlık takibi
- Audit & Compliance Reports — denetim ve uyum raporları
Her işlemin yaşam döngüsü uçtan uca izlenebilir olmalıdır.
Risk & Compliance: Regülasyonun Teknolojiye Yansıması
Bankacılıkta risk ve uyum, opsiyonel değil zorunludur:
- AML / KYC Monitoring — kara para aklamayla mücadele
- Transaction Monitoring — şüpheli işlem tespiti
- Sanctions Screening — yaptırım listesi kontrolü
- Fraud Detection — dolandırıcılık önleme
- Regulatory Reporting (RBI, FATCA, CRS) — yasal raporlama
- Data Privacy (GDPR) — veri gizliliği uyumu
- Audit Trail — değiştirilemez işlem geçmişi
Bu bileşenler olmadan sistem yasal çerçevede çalışamaz.
Enterprise & Integration Systems: Dış Dünyayla Bağlantı
Core banking sistemi izole çalışmaz. Dış sistemlerle derin entegrasyonlar gerekir:
- Payment Switches — NPCI, Visa, MC, Amex
- E-Wallets & Fintech Partners
- Core Insurance Systems
- Credit Bureau — CIBIL, Experian
- Government Services — Aadhaar, PAN, GST
- SWIFT / NACH / RTGS / NEFT / IMPS
- ERP / HR / CRM Systems
Temel Non-Functional Gereksinimler
Sistem ne kadar iyi tasarlanırsa tasarlansın, bu gereksinimler karşılanmadan üretim ortamına girilemez:
- Availability: %99.99+
- Scalability: Yatay ve elastik ölçekleme
- Performance: Düşük gecikme, yüksek TPS (saniyede binlerce işlem)
- Security: Encryption, IAM, Audit
- Compliance: PCI-DSS, RBI, GDPR, ISO 27001
Teknoloji Yığını (Örnekler)
| Katman | Teknoloji |
|---|---|
| Backend | Java / Spring Boot, .NET, Go |
| Database | Oracle, Postgres, DB2 |
| Messaging | Kafka, RabbitMQ |
| API Gateway | Kong, Apigee, AWS API GW |
| Cloud | AWS, Azure, GCP, Private Cloud |
Sonuç: Core Banking Artık Bir Monolith Değil
Modern core banking mimarisi hakkında şunu net söyleyebiliriz:
Bankacılığın geleceği Composable + Event-Driven + AI-Augmented.
Geleneksel monolitik sistemler yerini; bağımsız servislerden oluşan, gerçek zamanlı olay akışlarıyla çalışan ve yapay zeka ile güçlendirilmiş platformlara bırakıyor.
Core banking artık sadece bir yazılım değil — gerçek zamanlı bir finansal işletim sistemi.
Bu sistemleri tasarlamak ve ayakta tutmak, yazılım mühendisliğinin en zorlu ve en kritik problemlerinden biri olmaya devam edecek. Her zaman olduğu gibi kaynaklara mutlaka göz atılmasını tavsiye ediyorum. ⬇️
Kaynaklar
- Manish Kala Jain — Enterprise Core Banking Architecture Diagram
- Martin Fowler — Patterns of Enterprise Application Architecture
- PCI Security Standards Council
- OWASP API Security Top 10
- AWS Well-Architected Framework for Financial Services
