Uyum ve Denetim Hazırlığı
Uçtan Uca Regülasyon Hazırlığı
Düzenleyici ve denetim gereksinimleri hukuk danışmanlığı olarak değil; yazılıma, bilgi sistemlerine, üretim altyapısına, kayıt düzenine ve operasyona uygulanan bir mühendislik çalışması olarak ele alınır. Sistem yalnızca dokümante edilmez; denetlenebilir biçimde çalışır hale getirilir.
Yönetici Bakışı
Hazırlık, İş Planının Parçasıdır
Regüle bir fintech projesinde denetim hazırlığı, teknik ekibe devredilen bir ayrıntı değil; takvimi, bütçeyi ve faaliyet planını doğrudan etkileyen bir yönetim konusudur. Eksikliklerin denetim döneminde fark edilmesi en maliyetli senaryodur. Bu hizmet, teknik ve operasyonel hazırlığın baştan planlanmış bir proje olarak yürütülmesini sağlar.
-
Proje riskinin erken görünürlüğü
Yazılım, altyapı ve operasyondaki eksikler proje başında değerlendirilir; risklerin denetim döneminde sürpriz olarak ortaya çıkması yerine, yönetilebilir bir aksiyon planına dönüştürülmesi sağlanır.
-
Takvim kaymalarının önlenmesi
Denetime veya kritik değerlendirmeye kalan süre çoğu projede sınırlıdır. Eksiklerin önceliklendirilmesi ve dönüşüm çalışmalarının denetim takvimine göre planlanması, gecikme riskini azaltır.
-
Öngörülebilir maliyet yapısı
Son dakikada alınan acil müdahaleler ve plansız yeniden geliştirme, bütçeyi en çok zorlayan kalemlerdir. Kapsamı önceden netleştirilen bir hazırlık projesi, maliyetin kontrollü biçimde yönetilmesine imkân verir.
-
Tek sorumluluk noktası
Yazılım, bilgi sistemleri, DevOps, güvenlik ve operasyon hazırlığı ayrı tedarikçilere bölünmeden tek mühendislik ortağında toplanır; koordinasyon yükü yönetim ekibinin üzerinden alınır.
-
Kontrollü canlıya geçiş
Canlıya geçiş; kayıt düzeni, izleme ve operasyonel kontroller hazır olduğunda planlanır. Böylece sistem, faaliyetin ilk gününden itibaren denetlenebilir bir işletme olarak çalışır.
Teknik Kapsam
CTO Gündemindeki Sekiz Alan
Hazırlık çalışması, sistemin tamamını kapsayan sekiz teknik alanda yürütülür. Her alanda mevcut yapı incelenir, eksikler giderilir ve düzenli kayıt üretimi sağlanır. Uygulama yöntemleri ve kontrol detayları sözleşmeli proje kapsamında paylaşılır; aşağıdaki başlıklar çalışmanın sınırlarını yüksek seviyede özetler.
Yazılım ve mimari incelemesi
Servis sorumlulukları, veri akışları, entegrasyonlar ve güvenlik yapısı gözden geçirilir; mimari, denetlenebilirlik ve kayıt üretimi açısından değerlendirilir.
Bilgi sistemleri ve altyapı
Sunucu, ağ, uygulama ve veritabanı katmanları; envanter, sınıflandırma ve yaşam döngüsü yönetimiyle birlikte ele alınır ve bütünlüklü biçimde yapılandırılır.
DevOps ve üretim süreçleri
Ortam ayrımı, CI/CD, deployment onayları, secret yönetimi ve geri alma süreçleri; üretim ortamının izlenebilir ve tekrarlanabilir biçimde işletilmesini sağlayacak şekilde kurulur.
Merkezi loglama ve SIEM
Uygulama, sistem ve audit logları merkezi olarak toplanır; saklama, bütünlük ve alarm yapısı denetim gereksinimlerine göre yapılandırılır.
Erişim kontrolü ve görevler ayrılığı
Rol bazlı yetkilendirme, ayrıcalıklı erişim yönetimi, kritik işlem onayları ve çakışan yetkilerin ayrıştırılması; işe giriş ve çıkış süreçleriyle birlikte düzenlenir.
Yedekleme, felaket kurtarma ve süreklilik
Yedekleme kapsamı, RTO/RPO planlaması ve alternatif çalışma senaryoları tanımlanır; geri dönüş testleri ve iş sürekliliği tatbikatları düzenli hale getirilir.
Değişiklik yönetimi
Talep, onay, test, deployment ve geri alma adımları kayıt altında yürütülür; acil değişiklikler dahil tüm süreç raporlanabilir biçimde işletilir.
Olay müdahalesi
Olayların sınıflandırılması, müdahale ve kurtarma adımları, kök neden analizi ve gerektiğinde düzenleyici bildirim desteği; tanımlı bir müdahale düzeni içinde ele alınır.
Uyum Yönetimi
Kayıt ve Kontrol Yaklaşımı
Uyum yöneticisinin en zorlu görevi, doküman ile gerçek sistem arasındaki farkı kapatmaktır. Bu hizmette denetim dokümanları yalnızca düzenlenmez; prosedürlerde tanımlanan kontroller çalışan yazılım, altyapı, kayıt ve operasyon akışlarına dönüştürülür. Böylece denetim döneminde anlatılan sistem ile incelenen sistem aynı olur.
-
Politika ile sistemin tutarlılığı
Politika ve prosedürlerde tanımlanan her kontrol, sistemdeki karşılığıyla birlikte ele alınır; dokümanda yazan yapı ile üretimde çalışan yapı arasındaki farklar giderilir.
-
Gereksinim ve kontrol eşleştirmesi
Düzenleyici gereksinimler, teknik ve operasyonel kontrollerle eşleştirilerek takip edilir; hangi gereksinimin hangi sistem bileşeniyle karşılandığı proje boyunca izlenebilir kalır.
-
Kanıtların sistemden üretilmesi
Denetim kanıtları elle derlenen dosyalar yerine; log, rapor, konfigürasyon ve onay kayıtları gibi doğrudan sistemden üretilen çıktılarla hazırlanır.
-
Denetçi ve pentest koordinasyonu
Bağımsız denetçilerle teknik toplantılar, soru ve bulgu takibi yürütülür; sızma testleri bağımsız pentest firmalarıyla koordine edilir, bulgular giderilir ve yeniden test süreci yönetilir.
Uzmanlık Alanları
Dört Düzenleyici Çerçeve, Tek Yaklaşım
Hazırlık çalışması, işletmenin faaliyet modeline göre dört uzmanlık alanında derinleşir. Her alan kendi sayfasında ayrıntılı biçimde ele alınır; kurumların rolleri birbirine karıştırılmadan, her çerçevenin gereksinimleri kendi kapsamı içinde yazılıma, altyapıya ve operasyona uygulanır.
SPK Uyum Hazırlığı
Kripto varlık hizmet sağlayıcılarının kuruluş ve faaliyet sürecindeki teknik ihtiyaçları, kayıt düzeni ve operasyonel kontrolleri; güncel SPK düzenlemeleri dikkate alınarak ele alınır.
MASAK ve AML Hazırlığı
Müşteri tanıma, tarama, işlem izleme ve şüpheli işlem süreçlerinin teknik altyapısı MASAK kriterlerine göre kurulur; raporlanabilir kayıtlarla desteklenir.
TÜBİTAK KVHS Hazırlığı
Bilgi sistemleri ve teknolojik altyapı, TÜBİTAK BİLGEM tarafından yayımlanan güncel kriterler doğrultusunda değerlendirilir ve yapılandırılır.
TCMB E-Para ve Ödeme Hazırlığı
E-para ve ödeme kuruluşu altyapısı, TCMB düzenlemelerine uygun kayıt ve kontrol çıktıları üretecek şekilde hazırlanır.
Çalışma Süreci
Değerlendirmeden Denetim Dönemine
Her proje aynı disiplinle yürütülür. Aşağıdaki adımlar çalışmanın genel akışını özetler; kapsam, sıra ve yoğunluk, işletmenin mevcut durumuna ve denetim takvimine göre proje bazında planlanır. Kontrol detayları ve uygulama adımları, sözleşme kapsamındaki proje planında ayrıca tanımlanır.
-
Mevcut durum değerlendirmesi
Yazılım, bilgi sistemleri, DevOps süreçleri, kayıtlar ve operasyon; düzenleyici gereksinimler karşısında incelenir ve mevcut durumun bütünlüklü bir fotoğrafı çıkarılır.
-
Eksiklerin önceliklendirilmesi
Tespit edilen eksikler; risk, bağımlılık ve denetim takvimi dikkate alınarak önceliklendirilir; sorumluları ve hedefleri tanımlanmış bir aksiyon planına dönüştürülür.
-
Teknik ve operasyonel dönüşüm
Mimari iyileştirmeler, altyapı düzenlemeleri, loglama, erişim, yedekleme ve süreç değişiklikleri planlanan sırayla uygulanır; ilerleme yönetime düzenli olarak raporlanır.
-
Kanıt ve kayıt hazırlığı
Kontrollerin çalıştığını gösteren log, rapor, konfigürasyon ve onay kayıtları sistemden üretilir; denetimde sunulacak kayıt düzeni önceden hazır hale getirilir.
-
Denetim dönemi desteği
Denetçi soruları, teknik toplantılar ve sistem gösterimleri desteklenir; bulguların giderilmesi ve kapanış süreci proje ekibiyle birlikte yürütülür.
İlgili Ürünler
Hazırlık, Ürünle Birlikte Planlanır
Regülasyon hazırlığı; Serçe ürünleriyle kurulan yeni sistemlerde de, halihazırda çalışan veya başka tedarikçiden alınmış sistemlerde de yürütülebilir. Ürünlerin teknik temeli ve mühendislik yaklaşımı teknoloji sayfasında açıklanır.
-
Kripto Para Borsası Yazılımı
Spot işlem, cüzdan, ledger ve backoffice modülleri; denetlenebilir işletme gereksinimlerine göre yapılandırılmış bir platform olarak kurulur.
-
E-Para Platformu Yazılımı
Hesap, ledger, vIBAN ve mutabakat modülleri; TCMB hazırlığıyla paralel yürütülen projelerde tek plan altında devreye alınır.
-
AML Sorgulama Yazılımı
Kişi ve kurum taraması, PEP ve yaptırım kontrolleri ile cüzdan risk analizi; MASAK hazırlığının teknik altyapısını destekler.
-
KYC Doğrulama Yazılımı
Kimlik belgesi doğrulama, liveness ve yüz eşleşmesi kontrolleri; müşteri kabul akışının kayıt üreten bir parçası olarak entegre edilir.
SSS
Sık Sorulan Sorular
Hayır. Hizmet; düzenleyici ve denetim gereksinimlerinin yazılıma, bilgi sistemlerine, DevOps süreçlerine, kayıt düzenine ve operasyona uygulanmasını kapsayan bir mühendislik çalışmasıdır. Hukuki görüş üretilmez; gerektiğinde müşterinin hukuk ve uyum ekipleriyle koordinasyon sağlanır.
Denetim sonucu, bağımsız kurum ve denetçiler tarafından belirlenir; bu nedenle sonuç üzerine garanti verilmez. Hizmetin kapsamı; sistemin teknik ve operasyonel olarak denetime hazır hale getirilmesi, kanıtların sistemden üretilmesi ve denetim dönemindeki teknik koordinasyonun sağlanmasıdır.
Çalışma, faaliyet modeline göre SPK, MASAK, TÜBİTAK BİLGEM ve TCMB çerçevelerini kapsayabilir. Her alan ayrı bir uzmanlık sayfasında ele alınır; kripto varlık platformlarında SPK, MASAK ve TÜBİTAK çerçeveleri, e-para ve ödeme kuruluşlarında TCMB ve MASAK çerçeveleri öne çıkar.
Evet. Hazırlık çalışması yalnızca Serçe ürünleriyle sınırlı değildir; halihazırda çalışan veya başka tedarikçiden alınmış sistemler de mevcut durum değerlendirmesiyle kapsama alınır. Gerekli dönüşümler, mevcut mimari ve tedarikçi yapısı dikkate alınarak planlanır.
Sızma testleri bağımsız pentest firmaları tarafından gerçekleştirilir. Proje kapsamında test kapsamının tanımlanması, firma koordinasyonu, bulguların giderilmesi ve yeniden test süreci yönetilir; böylece test sonuçları denetimde kullanılabilir kayıtlarla belgelenir.
Hizmet; mevcut durum değerlendirmesi, sabit kapsamlı dönüşüm projesi, yönetilen uyum mühendisliği, denetim öncesi yoğunlaştırılmış çalışma ve denetim bulgularının giderilmesi gibi modellerle sunulur. Uygun model; denetim takvimi, iç ekip kapasitesi ve değerlendirme sonuçlarına göre birlikte belirlenir.
Sonraki Adım
Mevcut Durum Birlikte Değerlendirilir
Mevcut yapı, denetim takvimi dikkate alınarak değerlendirilir; eksikler önceliklendirilir ve dönüşüm planı yazılı kapsamla sunulur.