BloombergHT’de yayınlanan Seans Notları programına konuk olan Paribu Hukuk Müşaviri Aysu Düz, TÜBİTAK tarafından belirlenen kripto varlık hizmet sağlayıcıların (KVHS) bilgi sistemleri ve teknolojik altyapı kriterlerini değerlendirdi.
Öne çıkan gelişmeler şöyle:
Cüzdan güvenliği kriterleri sıkılaştırıldı
Kripto varlıkların tutulduğu sıcak ve soğuk cüzdanlara ilişkin kriterler, teknolojik izolasyon ve yetki kontrolü çerçevesinde sıkılaştırıldı. Soğuk cüzdanların hava boşluğu (air gap) veya ağlar arası geçiş sistemleriyle internete tamamen kapalı tutulması zorunlu hale geldi. Sıcak cüzdanların özel anahtarlarının güvenli donanım modülleriyle veya güvenli ortamlarda korunması gerektiği vurgulandı. Cüzdanlarda kullanılan tüm özel anahtar ve anahtar parçalarının sadece ilgili KVHS tarafından üretilmesi, korunması ve yönetilmesi gerekiyor.
Yetkili kimlik doğrulamasının çoklu imza veya eşik kriptografisiyle güçlendirilmesi gerekiyor
Kriterlere göre transfer işlemlerinde güvenliğin çoklu imza (multisig) veya eşik kriptografisi (thresold cryptography) gibi yöntemlerle güçlendirilmesi bekleniyor. Bu yapılar, işlemlerin ancak birden fazla yetkilinin ortak onayıyla gerçekleştirilebilmesini sağlıyor. Diğer yandan yetkili kullanıcıların belirlenmesi ve bu kullanıcıların kimlik doğrulamalarının uluslararası standartlara uygun, çok faktörlü kimlik doğrulamayla sağlanması önem arz ediyor.
Bilgi güvenliği politikaları oluşturulacak
Bilgi güvenliğiyle ilişkili kriter, KVHS’lerin üst yönetimin sorumluluğunda bilgi güvenliği politikaları oluşturmasını şart koşuyor. Bu kriter, Sermaye Piyasası Kurulu (SPK) tebliğlerinde vurgulanan”gerekli organizasyonel yapıyı kurma yükümlülüğü” ile doğrudan ilişkileniyor.
Her işlem denetlenebilir şekilde kayıt altına alınmalı
Kritik yazılım ve donanım denetimine odaklanan kriter, cüzdan sistemlerini ve anahtar yönetimi yazılımlarını “kritik yazılım” olarak tanımlıyor ve bu yazılımların güvenli ortamlarda çalışmasını, düzenli olarak denetlenmesini, periyodik bağımsız denetime açık olmasını gerektiriyor. Denetim izleri kriteriyle KVHS’lerin tüm sistem hareketlerinin ayrıntılı ve değiştirilemez biçimde kayıt altına alması, iç ve dış denetimler için kaçınılmaz hale geliyor. KVHS’lerin özellikle dış kaynaklı yazılım bileşenlerinin risklerini kontrol altına alması gerekiyor.
Net politikalar şart
Politika ve prosedür yönetiminin uygulanış şekli kriteri ise onaylı adres listesi, anahtar sahipliği, transfer limiti gibi operasyonel ayrıntıların net politikalarla tanımlanmasını gerekli kılıyor. Bu politikaların platform, saklama kuruluşu ve müşteri arasındaki sözleşmelerle uyumlu yürütülmesi bekleniyor.
Bu içerik en son 24 Temmuz 2025 tarihinde güncellenmiştir.
