Bilgi Sistemleri ve Teknolojik Altyapı
TÜBİTAK KVHS Hazırlığı
Kripto varlık hizmet sağlayıcılarının (KVHS) bilgi sistemleri ve teknolojik altyapısı için TÜBİTAK BİLGEM tarafından yayımlanan güncel kriterler, ürün mimarisinin başlangıç girdisi olarak ele alınır; hazırlık, kurulumla paralel ilerleyen planlı bir mühendislik çalışması olarak yürütülür.
Yönetici Bakışı
Değerlendirme, Takvimin Kritik Halkası
Kripto varlık hizmet sağlayıcılarının kuruluş ve faaliyet sürecinde yazılımın çalışıyor olması tek başına yeterli değildir; bilgi sistemleri ve teknolojik altyapı, TÜBİTAK BİLGEM tarafından yayımlanan kriterler üzerinden ayrı bir başlık olarak değerlendirilir. Bu değerlendirme, platformun arayüzünde görünmeyen alanları kapsar: kayıt düzeni, güvenlik yapılandırması, süreklilik planları ve operasyonel kontroller.
Hazırlığa geç başlayan projelerde teknik eksikler çoğunlukla değerlendirme aşamasına yaklaşıldığında görünür hale gelir. Bu noktada tespit edilen eksikler; altyapı değişikliği, yeniden yapılandırma ve ek geliştirme gerektirdiğinden takvimi uzatır, maliyeti büyütür ve yönetimin odağını faaliyet hedeflerinden altyapı sorunlarına kaydırır.
Serçe'nin yaklaşımında kriterler sonradan uygulanan bir kontrol listesi değil, mimarinin başlangıç girdisidir. Platformun yazılım, altyapı ve operasyon bileşenleri, TÜBİTAK BİLGEM tarafından yayımlanan güncel KVHS bilgi sistemleri ve teknolojik altyapı kriterleri dikkate alınarak geliştirilir ve proje bazında yapılandırılır; hazırlık, kurulumla aynı proje planında yürütülür.
Teknik Kapsam
Kriterlerin Beş Ana Alanı
TÜBİTAK BİLGEM kriterleri, kamuya açık üst düzey kapsamda beş ana alanı ele alır. Aşağıdaki başlıklar, her alanın Serçe'nin çalışma kapsamıyla nasıl ilişkilendiğini özetler; madde bazlı kesin kriter seti ve güncel revizyon, resmî yayınlar üzerinden proje başlangıcında doğrulanır ve uygulama kapsamı faaliyet modeline göre belirlenir.
Cüzdan güvenliği
Hot, cold ve multisig cüzdan modelleri; yetkilendirme ve işlem öncesi kontrollerle birlikte platform tarafında desteklenir. Yapılandırma, güncel kriterler esas alınarak müşterinin operasyon ve risk modeline göre proje kapsamında planlanır.
Bilgi sistemleri yönetişimi
Rol bazlı yetkilendirme, görev ayrımı ve değişiklik süreçlerinin izlenebilir biçimde yönetilmesi; backoffice ve audit log kabiliyetleriyle desteklenir. Organizasyonel yapı, müşterinin faaliyet modeline göre ele alınır.
Bilgi güvenliği
Erişim kontrolleri, ortam ayrımı, secret yönetimi ve merkezi loglama; güvenli geliştirme yaklaşımıyla birlikte uygulanır. Güvenlik çalışmalarında OWASP gibi yaygın uygulama çerçevelerinden yararlanılır.
İş sürekliliği
Otomatik ve şifreli yedekleme, restore testleri ile RTO/RPO planlaması proje kapsamında yapılandırılır; süreklilik senaryoları müşterinin altyapı tercihine göre birlikte planlanır.
Teknolojik altyapı
On-premises, private cloud veya dedicated veri merkezi üzerinde kontrollü deployment; izleme, kapasite planlaması ve ortam yönetimiyle birlikte kurulur. Altyapı yaklaşımının ayrıntıları teknoloji sayfasında açıklanır.
Kaynak koddan üretim altyapısına kadar teknik yapı, güncel KVHS bilgi sistemleri kriterleri doğrultusunda değerlendirilir. İç mimari, güvenlik yapılandırması ve anahtar yönetimi gibi uygulama ayrıntıları kamuya açık içerikte paylaşılmaz; bu başlıklar teknik toplantı ve sözleşmeli proje kapsamında ele alınır.
Uyum Yönetimi
Kayıt ve Kanıt Yaklaşımı
Değerlendirme sürecinde sistemin doğru çalışması kadar, doğru çalıştığının kayıtlarla gösterilebilmesi de belirleyicidir. Bu nedenle kayıt düzeni, dokümantasyon ve raporlanabilir çıktılar; hazırlığın sonunda derlenen belgeler olarak değil, sistemin günlük işleyişinin doğal ürünü olarak tasarlanır. Uyum ekibi, ihtiyaç duyduğu kayıtlara ayrı bir çalışma yürütmeden ulaşır.
Uçtan uca denetim hazırlığını inceleyin- Merkezi loglama ve audit log: kullanıcı, yönetici ve sistem olayları izlenebilir kayıtlarla tutulur.
- Raporlanabilir çıktılar: değerlendirme ve denetim süreçlerinde kullanılabilecek dışa aktarımlar sistemden üretilir.
- Teknik dokümantasyon: mimari, kurulum ve operasyon dokümanları devralınabilir biçimde teslim edilir.
- Politika ve prosedür yapısı: sistemin güvenli ve izlenebilir işletilmesi için gerekli operasyonel doküman yapısı proje kapsamında ele alınır.
- Mevcut durum değerlendirmesi: eksikler önceliklendirilir ve dönüşüm, değerlendirme takvimine göre planlanır.
İlgili Sayfalar
Hazırlık, Ürünle Birlikte İlerler
TÜBİTAK hazırlığı bağımsız bir doküman çalışması olarak değil, platformun kurulumu ve diğer düzenleyici başlıklarla aynı proje planında yürütülen bir mühendislik çalışması olarak ele alınır. İlgili ürün ve hazırlık sayfaları, kapsamın bütününü görmek için birlikte değerlendirilebilir.
-
Kripto para borsası yazılımı
Cüzdan, ledger, backoffice ve loglama modülleri; bilgi sistemleri gereksinimleri doğrultusunda yapılandırılan platformun parçası olarak kurulur.
-
SPK uyum hazırlığı
Kuruluş ve faaliyet sürecindeki teknik ihtiyaçlar, bilgi sistemleri hazırlığıyla aynı gereksinim haritasında ele alınır.
-
Teknoloji yaklaşımı
Altyapı, gözlemlenebilirlik ve iş sürekliliği yaklaşımının ayrıntıları teknoloji sayfasında açıklanır.
Çalışma Süreci
Hazırlık Sürecinin Adımları
Her proje aynı disiplinle yürütülür. Aşağıdaki adımlar sürecin genel akışını özetler; kapsam, mevcut sistemlerin durumu ve hedef takvim doğrultusunda proje bazında ayrıntılandırılır. Yeni kurulumlarda hazırlık, platform kurulumuyla paralel planlanır; mevcut sistemlerde ise çalışma, incelemeyle başlayan bir dönüşüm planına dönüştürülür.
-
Mevcut durum incelemesi
Yazılım, altyapı ve operasyon bileşenleri; TÜBİTAK BİLGEM tarafından yayımlanan güncel kriterler dikkate alınarak incelenir, mevcut kabiliyetler ve eksikler ortaya konur.
-
Önceliklendirme ve plan
Tespit edilen eksikler etki ve bağımlılıklarına göre önceliklendirilir; teknik ve operasyonel dönüşüm, hedef takvime göre bir proje planına dönüştürülür.
-
Yapılandırma ve geliştirme
Platform modülleri, altyapı ve operasyon süreçleri plan doğrultusunda yapılandırılır; gerekli geliştirmeler test edilerek devreye alınır.
-
Kayıt ve dokümantasyon düzeni
Loglama, raporlanabilir çıktılar ve teknik dokümantasyon; değerlendirme sürecinde ihtiyaç duyulan kayıtları üretebilecek biçimde düzenlenir.
-
Değerlendirme hazırlığı ve süreklilik
Değerlendirme sürecine teknik hazırlık tamamlanır; kriter revizyonları takip edilir ve gerekli güncellemeler sürekli mühendislik desteğiyle uygulanır.
SSS
Sık Sorulan Sorular
TÜBİTAK BİLGEM, kripto varlık hizmet sağlayıcıların bilgi sistemleri ve teknolojik altyapıları için kriter yayımlar. Kamuya açık üst düzey kapsam; cüzdan güvenliği, bilgi sistemleri yönetişimi, bilgi güvenliği, iş sürekliliği ve teknolojik altyapı alanlarını içerir. Madde bazlı kesin kriter seti ve güncel revizyon, TÜBİTAK BİLGEM'in resmî yayınları üzerinden takip edilir.
Bu hizmet kapsamında herhangi bir sertifika verilmez ve sertifika garantisi sunulmaz. Çalışmanın amacı; platformun yazılım, altyapı ve operasyon bileşenlerinin güncel KVHS kriterleri dikkate alınarak yapılandırılması ve değerlendirme sürecine teknik olarak hazırlanmasıdır. Resmî değerlendirme süreçleri ilgili kurumlar tarafından yürütülür; hazırlık çalışması bu süreçlerin sonucuna ilişkin bir taahhüt içermez.
Çalışma; mevcut durumun incelenmesi, eksiklerin önceliklendirilmesi, platform ve altyapı bileşenlerinin yapılandırılması, kayıt ve dokümantasyon düzeninin kurulması ile değerlendirme sürecine teknik hazırlığı kapsar. Kapsam; mevcut sistemlerin durumu, faaliyet modeli ve hedef takvim doğrultusunda proje bazında belirlenir.
Hazırlık yalnızca yeni kurulumlarla sınırlı değildir. Mevcut yazılım, altyapı ve operasyon yapısı güncel kriterler dikkate alınarak incelenir; eksikler önceliklendirilir ve gerekli teknik ve operasyonel dönüşüm hedef takvime göre planlanarak yürütülür.
SPK, MASAK ve TÜBİTAK BİLGEM; kripto varlık hizmet sağlayıcılar için farklı fakat birbirini tamamlayan alanları temsil eder. Bilgi sistemleri ve teknolojik altyapı hazırlığı; kuruluş, faaliyet ve AML tarafındaki çalışmalarla aynı proje planında paralel yürütülür. Böylece yazılım, operasyon ve kayıt düzeni tek gereksinim haritası üzerinde tutarlı biçimde ilerler.
Kuruluş ve faaliyet sürecinin bütününe ilişkin çalışmalar için uyum ve denetim hazırlığı sayfası incelenebilir.
Sonraki Adım
Hazırlık Toplantıyla Planlanır
Bilgi sistemleri ve teknolojik altyapı, güncel KVHS kriterleri üzerinden değerlendirilir; eksikler önceliklendirilir ve hazırlık çalışması kurulumla paralel yürütülür.