TÜBİTAK – Kripto Varlık Hizmet Sağlayıcılarının (KVHS) Bilgi Sistemleri ve Teknolojik Altyapılarına İlişkin Kriterler Rehberi (Ekim 2025)

Yeni Düzenlemenin Arka Planı

Sermaye Piyasası Kurulu’nun (“SPK”) yetkisi doğrultusunda TÜBİTAK tarafından KVHS’lerin bilgi sistemleri ve teknolojik altyapısına ilişkin güvenlik kriterleri belirlenmiştir.

Amaç

Kripto varlık saklama kuruluşları, platformlar (borsalar), saklama hizmeti sunan bankalar ve diğer yetkili kuruluşlar.

Kapsam

Yatırımcı varlıklarının korunması, operasyonel risklerin azaltılması.

Hedef

İnternet bağlantısı olmayan, fiziksel olarak izole edilmiş güvenli ortam.

Tanımlar

Soğuk Cüzdan Nedir?

İnternet bağlantısı olmayan, fiziksel olarak izole edilmiş güvenli ortam.

Sıcak Cüzdan Nedir?

İnternete bağlı, anlık işlemlerde kullanılan cüzdan.

Güvenli Donanım Modülü (HSM) Nedir?

Kriptografik anahtarların üretimi, saklanması ve yönetimi için güvenli donanım.

Çoklu İmza / Eşik Kriptografisi Nedir?

İşlemlerin birden fazla yetkili taraf tarafından onaylanmasını sağlayan mekanizmalar.

Cüzdan Güvenliği – Genel Esaslar

Her işlem çoklu imza veya eşik kriptografisiyle doğrulanmalıdır.

İşlem emrinin yetkili kişilerce verildiği ve doğrulandığı teyit edilmelidir.

İşlem Güvenliği

Anahtar üretimi, yedekleme ve kurtarma süreçleri güvenli ortamlarda yapılmalıdır.

İş sürekliliği ve felaketten kurtarma planları hazırlanmalı ve test edilmelidir.

Sistem Güvenliği

Soğuk Cüzdan Güvenlik Kriterleri

Temel Gereksinimler

Yetkisiz erişim riskleri analiz edilerek fiziki, teknik ve idari kontroller yapılmalıdır.

Cüzdan sayısı, tipi ve içerdikleri varlık miktarları risk analizine göre belirlenmelidir.

Teknik Güvenlik

Cüzdanlar internete bağlı sistemlerden tamamen izole edilmelidir.

Veri iletimi sadece manuel veya TÜBİTAK onaylı araçlarla yapılmalıdır.

Anahtarlar yalnızca HSM içinde üretilebilir ve dışarıya çıkarılamaz.

Erişim Denetimi

Soğuk cüzdanlardan transferler sadece saklama kuruluşlarına ait cüzdanlara yapılmalıdır.

Onaylı adres listesi kontrolü zorunludur.

Kimlik Doğrulama

ISO/IEC 19790 veya FIPS 140-3 standartları uygulanmalıdır.

PIN ve biyometrik doğrulama zorunlu olmalıdır.

Denetim İzleri

Tüm erişim işlemleri kayıt altına alınmalı; denetim izleri bağımsız denetime açık olmalıdır.

Güvenli Donanım Modülü (HSM) Gereksinimleri

Güvenlik Sertifikaları

En az ISO/IEC 19790 Seviye 3 veya FIPS 140-3 sertifikalı HSM’ler kullanılmalıdır.

EN 419221-5 koruma profiline uygunluk önerilir.

Kurcalama ve Veri Koruma

HSM kurcalandığında anahtarlar otomatik olarak silinmelidir.

Anahtar kaybı yaşamadan yedekten geri yükleme prosedürü zorunludur.

Sıcak Cüzdan Güvenliği – Genel Esaslar

Anahtar Yönetimi

Özel anahtarlar sadece güvenli ortamlarda üretilmeli ve saklanmalıdır.

Veri tabanında saklanacak anahtarlar şifrelenmelidir.

İşlem Güvenliği

İşlemler, politika kontrolleri ve yetkili imzalar sonrasında HSM’de imzalanmalıdır.

Günlük otomatik işlemler limit aşımı durumunda manuel onay almalıdır.

Bilgi Güvenliği Kriterleri

Yönetim ve Organizasyon

Üst yönetim bilgi güvenliğinden doğrudan sorumludur.

Risk yönetimi ve erişim kontrolü düzenli olarak gözden geçirilmelidir.

Teknik Önlemler

Veri gizliliği, uygulama güvenliği ve değişiklik yönetimi süreçleri kurulmalıdır.

Bulut bilişim kullanımı risk analizi ve sözleşmesel güvenlik tedbirleriyle sınırlandırılmalıdır.

Dağıtık Defter (Blockchain) Entegrasyonu

Entegrasyon İlkeleri

KVHS sistemleri, blok zincir düğümleriyle güvenli şekilde çalışmalıdır.

Transfer ücretleri, çatallanma riskleri ve işlem doğrulama mekanizmaları izlenmelidir.

İzleme ve Raporlama

Gerçek zamanlı izleme ve kayıt zorunludur.

Kriptografik ve Yazılım Güvenliği – Geçici Hükümler

Geçiş Süreci

Mevcut HSM sertifikasyonları tamamlanana kadar geçici koruma uygulanabilir.

Yazılım güncellemeleri değişiklik yönetimi süreciyle kontrol altına alınmalıdır.

Uyum ve Denetim Süreci

Uyumun Belgelendirilmesi

TÜBİTAK kriterlerine uyum bağımsız denetimlerle doğrulanır.

Denetim raporları SPK ve ilgili kurumlara sunulur.

Şirket İçi Uyum Modeli

Hukuk, bilgi güvenliği ve teknik ekiplerin koordinasyonu sağlanmalıdır.

Uyum sorumlusu atanması önerilir.

Uyumun Önemi ve Yol Haritası

Uyumun Önemi

Teknik uyum eksiklikleri lisans iptali ve faaliyet durdurma sonucuna yol açabilir.

Güvenlik ve şeffaflık yatırımcı güvenini doğrudan etkiler.

KVHS’lerin rehberde yer alan 4, 5, 6 ve 7. maddelere uyum sağlamaları gereken son tarih 31.03.2026 olarak belirlenmiştir.

Yol Haritası

Mevcut durum analizi

Risk ve açıkların tespiti

Politika ve prosedür güncellemesi

Uyum denetimi ve eğitim

Sürekli izleme ve raporlama

Sıkça Sorulan Sorular (SSS)

Uyum rehberi nasıl kullanılır?

Başvurular için son tarih nedir?

Uyum gereksinimleri nelerdir?

Destek ve danışmanlık nasıl alınır?

İletişim

E-posta: info@balioglu.av.tr

Telefon: 0212 823 00 62

Daha fazla bilgi için bizimle iletişime geçebilirsiniz!