TÜBİTAK BİLGEM, kripto varlık hizmet sağlayıcılarının bilgi sistemleri ve teknolojik altyapılarında uygulaması gereken teknik kriterleri 8 Mayıs 2025 tarihinde yayımladı. Kriter seti, Sermaye Piyasası Kurulu (SPK) mevzuatı uyarınca faaliyet izni almak isteyen kripto varlık alım satım platformları ile saklama kuruluşlarının teknik altyapısına ilişkin gereksinimleri tanımlıyor.

Yayımlanan çerçeve; kripto varlık cüzdan güvenliği, anahtar yönetimi, erişim kontrolü, bilgi güvenliği yönetişimi, değişiklik yönetimi, olay yönetimi, iş sürekliliği, yedekleme, izleme, kayıt tutma ve üçüncü taraf hizmetleri gibi kritik alanlara ilişkin kontroller içeriyor.

Düzenlemenin dayanağını, 13 Mart 2025 tarihli Resmî Gazete'de yayımlanan III-35/B.1 sayılı Tebliğ ile kurulan çerçeve oluşturuyor. Tebliğ, kuruluşların bilgi sistemlerinin bu teknik kriterlerle uyumlu olmasını öngörüyor; bağımsız bilgi sistemleri denetimlerinde de kuruluşların ilgili mevzuata ve uygulanabilir TÜBİTAK kriterlerine uyumu inceleniyor. Tebliğin geçici hükümleri uyarınca, geçiş sürecindeki mevcut kuruluşların bilgi sistemleri bağımsız denetim raporlarını 30 Eylül 2025 tarihine kadar Kurula sunması gerekiyor.

Kriter setinin yayımlanması tek başına bir yetkilendirme işlemi değildir. TÜBİTAK kriterleri teknik gereksinimleri tanımlıyor; faaliyet izni ise SPK tarafından veriliyor. Teknik çerçeveye uyum, faaliyet izni sürecinin bileşenlerinden birini oluşturuyor.

Öne Çıkanlar

  • Kripto varlık cüzdanları ve özel anahtar güvenliği için ayrıntılı kontroller yayımlandı.
  • Sıcak, ılık ve soğuk cüzdan mimarilerine ilişkin güvenlik beklentileri tanımlandı.
  • Yetkilendirme, görevler ayrılığı ve ayrıcalıklı hesap yönetimine ilişkin gereksinimler düzenlendi.
  • Loglama, izleme ve güvenlik olayı müdahale süreçleri kapsam altına alındı.
  • İş sürekliliği ve felaket kurtarma gereksinimleri belirlendi.
  • Dış hizmet alımı ve bulut kullanımına ilişkin kontroller getirildi.
  • Kriterlerin, faaliyet izni hazırlıkları ve bilgi sistemleri bağımsız denetimi açısından temel teknik referans olması öngörüldü.

İşletmeler İçin Anlamı

Kriterlerin yayımlanmasıyla birlikte, faaliyet izni hedefleyen kripto varlık hizmet sağlayıcılarının bilgi sistemlerini bu teknik çerçeveyle uyumlu hale getirmesi gerekiyor. Cüzdan mimarisi, anahtar yönetimi, erişim kontrolleri, merkezi kayıt tutma ve iş sürekliliği gibi başlıklar; yazılım ve altyapı tarafında sonradan eklenecek kontroller olarak değil, mimari düzeyde planlanması gereken gereksinimler olarak öne çıkıyor. Mevcut sistemlerin kriter setiyle karşılaştırılması ve tespit edilen eksikliklerin bir uyum planına bağlanması, bağımsız bilgi sistemleri denetimi öncesindeki temel hazırlık adımını oluşturuyor.

Bu kapsamdaki teknik hazırlık başlıkları TÜBİTAK KVHS hazırlığı sayfasında, bilgi sistemleri denetimini de içeren bütünsel hazırlık yaklaşımı ise regülasyon uyum ve denetim hazırlığı sayfasında ele alınmaktadır.

Kaynaklar