Konu: Kripto Varlık Hizmet Sağlayıcılarına Yönelik Getirilen TÜBİTAK Kriterleri

Sermaye Piyasası Kanununda Değişiklik Yapılmasına Dair Kanun Teklifinin yasalaşması ile TÜBİTAK, yasa kapsamında “Teknik Danışman” statüsü kazanmıştır. Bu bağlamda “teknik ve idari kriterleri belirleme” görevi bundan böyle TÜBİTAK tarafından üstlenilecektir. Yasa kapsamında Tübitak’a beş ayrı yerde atıf yapılmış, kuruma beş farklı temel görev verilmiştir:

  • Lisanslama için gerekli kriterlerin belirlenmesi,
  • Yenilikçi teknolojilere destek verilmesi ve bu alanlardaki çalışmaların teşvik etmek,
  • Bağımsız denetimin icra edilmesi,
  • Finansal kaynak yaratılması,
  • Hangi kripto varlığın listelenebileceği konusunda görüş ortaya konulması

Tübitak’ın Kripto Varlık Hizmet Sağlayıcıları İçin Belirlediği Teknolojik Altyapı Kriterleri

TÜBİTAK’ın 30/04/2025 tarihinde yayımladığı bilgi sistemleri ve teknolojik altyapı kriterleri ile Kripto Varlık Hizmeti Sağlayıcıları belli yükümlülüklere tabi tutulmuştur. Bu kriterler kripto varlık hizmet sağlayıcıların “dijital ve fiziksel altyapılarının” gelişmiş ve sürdürülebilir bir güvenlik stratejisi altında organize edilmesini amaçlamaktadır. Bilgi sistemleri ve teknolojik altyapı kriterleri, aşağıdaki kategoriler üzerinden değerlendirilebilir:

Cüzdan Güvenliği

TÜBİTAK kriterlerinin cüzdan güvenliğine ilişkin getirdiği standartlar teknik izolasyon ve yetki kontrolü konularını ele almaktadır. Söz konusu standartlar hem soğuk cüzdanlar hem de sıcak cüzdanlar için getirilmiş olan standartlardır.

  • Cüzdanlarda kullanılan tüm özel anahtar ve anahtar parçalarının sadece ilgili kripto varlık hizmet sağlayıcı tarafından üretilmesi, korunması ve yönetilmesi gerekmektedir. Anahtar üretiminin kriptografik güvenlik sağlayan Hardware Security Module cihazlarında yapılması, üretim sırasında erişime kapalı olması şarttır.
  • Erişim ve kullanım politikaları kapsamlı şekilde tanımlanmalıdır.
  • Kripto varlıkların saklanabileceği güvenli ortam oluşturulmalı ve bu varlıkların saklandığı alana ilişkin gerekli sertifikaların alınmasıyla birlikte “anahtarın korunması, yedeklenmesi, transfer edilmesi” gibi süreçler yürütülmelidir.
  • “Sunucu giriş-çıkış takibi ve ortam denetimini” içeren fiziksel güvenlik şartlarının sıkılaştırılması beklenmektedir.
  • Yeni potansiyel tehditlere karşı önlemler geliştirmeyi amaçlayan “güvenlik değerlendirmeleri ve risk analizi” devamlı şekilde yapılmalıdır.

Cüzdan güvenliğine dair kimi kriterler, “Soğuk (Kuru) Cüzdanlar” ve “Sıcak (İşlem) Cüzdanlar” arasında ayrımı göz önünde bulundurularak oluşturulmuştur.

  • Soğuk cüzdanların internet erişimine tamamen kapalı tutulması gerektiği belirtilirken sıcak cüzdanların özel anahtarlarının güvenli donanım modülleriyle veya güvenli ortamlarda muhafaza edilmesi zorunluluğu getirilmiştir.
  • Soğuk cüzdanlar ile ilgili düzenli denetim ve faaliyet incelemesinin altı çizilirken sıcak cüzdanlarda erişim kontrolü, kimlik doğrulama, aktarım, işlem ve güvenli iletişim protokolleri ön plana çıkmaktadır.
  • Soğuk cüzdanlardaki hesaplardan yalnızca saklama kuruluşların ve kripto varlık hizmet sağlayıcılarının kontrolü altında olan sıcak cüzdanlara transfer yapılabilecektir. Sıcak cüzdanlar için saklama kuruluşlarının müdahalesi söz konusu olabilir. Saklama kuruluşlarının nerede ne zaman müdahale edebileceği ilgili saklama kuruluşu politikasında yer almak durumundadır.
  • Soğuk ve sıcak cüzdanların güvenli donanım modüllerini kullanan, yetkili onaylarının verildiği/doğrulandığı, ağlar arası geçiş, hava boşluğu mekanizmaları ve politika kontrolünde kullanılan yazılımlar hakkında, TÜBİTAK tarafından ve uygun görülen ulusal/uluslararası koruma profillerine göre en az EAL4 seviyesinde olan Ortak Kriterler değerlendirmesine tabi tutulmuş test raporu alınmalıdır.
  • Sıcak cüzdanlar için var olması gereken en önemli sınırlama yetki sınırlamasıdır. Kullanıcılar ve diğer erişim sahipleri, belirli onay mekanizmalarından geçerek ve kimlik bilgilerini kullanarak bu cüzdanlara giriş yapabilmelilerdir. Sıcak cüzdanların işlem onaylarının ikili veya çok aşamalı doğrulama mekanizması ile gerçekleştirilmesi gerekmektedir.

Çok Faktörlü Kimlik Doğrulaması ve Kriptografi

Kripto varlık transferinde “yetkili kimlik doğrulaması” sürecinin güvenliğinin artırılması amacıyla “çoklu imza (multisig) veya eşik kriptografisi (threshold cryptography)” metotlarının kullanımı beklenmektedir. Bu düzenleme transfer işlemlerinin ortak onay yöntemi ile gerçekleştirilerek “yetkili kullanıcıları belirleme” sürecinin ve erişim kontrolünün uluslararası standartlar ile paralel olarak yürütülmesini sağlayacaktır.

  • İç Güvenlik ve Risk Yönetimi kapsamında çok faktörlü kimlik doğrulamasının sağlanması ve biyometrik verilerin kullanımı gerekli olacaktır. Özel nitelikli kişisel veri sıfatına haiz olan her iki veri kategorisinin de üst seviye güvenlikle korunması gerekecektir. Potansiyel riskler belirlenmeli be risk yönetimi kapsamında gerekli kontroller yapılmalıdır.
  • Anahtarların Saklanması ve Kullanım süreçlerinin “kimlik doğrulama ve yetkilendirme kuralları” ile uyumlu olması beklenmektedir. Cüzdanlara erişimi sağlayan özel anahtar ve anahtar parçaları sadece saklama işlemini yapacak olan kripto varlık hizmet sağlayıcılarında üretilecek, tutulacak, işlenecek ve kontrol edilecektir. Anahtarlar, güvenli donanım modülünün dışına ancak şifreli olarak çıkartılabileceklerdir.
  • Uzaktan Erişim güvenliğinin sağlanması için “çok faktörlü kimlik doğrulama, biyometrik doğrulama veya akıllı kartlar” kullanılması gerekmektedir.
  • Kimlik doğrulama mekanizmasının müşteriye sunulan hizmetlerin tamamında “birbirinden bağımsız bileşenlerden” oluşacak şekilde düzenlenmesi beklenmektedir. Bu bileşenlerin “müşterinin bildiği, sahip olduğu ve taklit edilemeyen veya müşterinin biyometrik karakteristiğini yansıtan en az iki farklı unsuru” içermesi gerekmektedir. Hem soğuk cüzdanlar için hem de sıcak cüzdanlar için kimlik doğrulama kriterleri geçerli olacaklardır.
  • Kimlik doğrulama sürecine dahil olan kriptografik anahtarların “güvenli yöntemlerle” üretilmesi ve saklanması gerekmektedir.

Bilgi Güvenliği

TÜBİTAK kriterleri, Kripto Varlık Hizmet Sağlayıcıları üst yönetiminin bilgi güvenliği politikaları oluşturmasını talep etmektedir. Söz konusu olan bilgi güvenliği kriteri, Sermaye Piyasası Kurulu’nun “gerekli organizasyonel yapıyı kurma yükümlülüğü” ile bağdaştırılmaktadır.

Kurumun “bilgi güvenliği düzenlemelerine” uyumunu gözlemlemek ve “üst yönetime raporlama yapmak” amacıyla bir Bilgi Güvenliği Komitesinin oluşturulması gerekmektedir. Buna ek olarak, bilgi güvenliği stratejileri ve yönetim bazında uygulamasında gözetim fonksiyonu üstlenecek bir “Üst Yönetim Gözetim Komitesi” oluşturulması öngörülmektedir. Bilgi güvenliğini tesis etmek amacıyla belirli periyotlarla tarama yapılacak, üçüncü taraf yazılım ve hizmetlerdeki zafiyetler hakkında bilgi toplayabilecek mekanizmalar kurulacak ve yılda en az bir kez tehdit simülasyon testleri yapılarak açıklar değerlendirilecektir.

  • Risk: Bilgi güvenliği kapsamında “kabul edilebilir risk seviyeleri ve risk kriterleri” tanımlanarak üst yönetimden onay alınması beklenmektedir. Tespit edilen risk faktörlerinin gelişimini denetlemek için “dinamik bir izleme sisteminin oluşturulması” zorunlu tutuluştur.
  • Bilgi Güvenliği Kontrolü sağlamak amacıyla belirli periyotlarla güvenlik taraması yapılarak üçüncü taraf yazılım ve hizmetlerindeki zafiyetleri belirleyecek mekanizmaların oluşturulması ve yılda en az bir kez tehdit simülasyon testleri yapılarak açıkların değerlendirilmesi beklenmektedir.
  • Erişim Kontrolü: Erişim politikalarının kurumun bilgi güvenliği seviyelerine uygun olarak belirlenmesi ve düzenli olarak güncellenmesi gerekmektedir. Veri merkezlerine fiziksel erişim yetkili ve onaylı personelle sınırlandırılmalı, girişler ve çıkışlar giriş kartları ve biyometrik sistemlerle kontrol edilmelilerdir.

Kritik Yazılım ve Denetimi

TÜBİTAK kriterlerinin konu alındığı bir diğer nokta ise, kritik yazılım (cüzdan sistemleri ve anahtar yönetimi yazılımları) ve donanımın denetimi ile ilgili süreçtir. Kriterler, bahsi geçen yazılımların güvenli ortamlarda çalışmasını, düzenli olarak denetlenmesini, periyodik bağımsız denetime açık olmasını gerektirmektedir.

  • Yazılım Güvenlik Standartlarını sağlamak amacıyla güvenlik açısından kritik yazılımların ilgili geliştirme metodolojileri ile uyumlu olarak hazırlanması beklenmektedir.
  • Hem fiziki hem de çevresel önlemler, periyodik denetimler, güncellemeler ve testlerle sürekli olarak izlenmeli ve iyileştirilmelidir.
  • Yazılım Geliştirme Süreçleri, ISO/IEC 27001, ISO/IEC 27034, OWASP ve ISO/IEC 12207 gibi uluslararası standartlara uygun olmalıdır.
  • Yazılım ve uygulamalar, en az ayrıcalık ilkesiyle tasarlanmalı; kullanıcı ve sistem erişimleri minimumda tutulmalıdır.

Politikalar

TÜBİTAK kriterleri, Kripto Varlık Hizmeti Sağlayıcılarının operasyonel alanlarındaki ayrıntıların net ve anlaşılır politikalar tarafından düzenlenmesini zorunlu kılmaktadır. Belirlenen politikaların platform, saklama kuruluşu ve müşteri arasındaki sözleşmelerle uyumlu olarak uygulanması gerekmektedir.

  • Güvenlik Sorumlulukları ve Yönetim Politikaları ile ilgili kriterler, Kripto Varlık Hizmet Sağlayıcılarının platform sağlayıcıları, hizmet sağlayıcıları ve kullanıcılarının görev ve sorumluluklarına dair net bir bilgilendirilme ve belgelendirme sağlamalarını gerektirmektedir.
  • Firewall Sistemleri ve Güvenlik Duvarları ağ trafiğinin izlenmesi ve kontörlü için kullanılmalılardır. Anormal ve olağanın dışında bir faaliyetin saptanması halinde bu sistemler aracılığıyla otomatik önlemler ve uyarılar devreye alınmalıdır.
  • Saldırı tespit sistemleri trafik analizi için kullanılmalıdır. Aynı zamanda tüm kripto varlık hizmet sağlayıcılarının saldırı olasılıklarını sürekli izleyen ve engelleyen bir altyapıya sahip olmaları gerekmektedir.
  • Felaket ve kesinti planları her kripto varlık hizmet sağlayıcı tarafından yapılması gereken planlardır. Olası doğal afet ve geniş çaplı siber saldırılara karşı geliştirilmesi gereken bu planlar, acil erişim ve kriz iletişim prosedürleri içermelidir.

Kripto Varlık Hizmet Sağlayıcılarına Yönelik Tübitak Kriterleri’ne yönelik detaylı hukuki değerlendirme ve diğer tüm hukuki danışmanlık hizmetleri için bizlerle iletişime geçebilirsiniz.

İletişim:

Av. Tuğçe Gültekin Av. Seda İlik Obut
tugce.gultekin@tr.ey.com seda.ilik@tr.ey.com
(212) 315 30 00 (212) 315 30 00

Saygılarımızla.
Kuzey YMM ve Bağımsız Denetim A.Ş.

Erkan Baykuş

Yukarıda yer verilen açıklamalarımız, konuya ilişkin genel bilgiler içermektedir. EY ve/veya Kuzey YMM ve Bağımsız Denetim A.Ş.’ye, işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz.