Kripto platformları hem kullanıcı varlıklarını hem kimlik, cihaz ve işlem verilerini tuttuğu için SPK bilgi sistemleri yükümlülükleri ile KVKK veri güvenliği yükümlülükleri kesişir.
Güvenlik yükümlülüğü yalnız parola ve iki aşamalı doğrulamadan ibaret değildir. Erişim yetkileri, olağandışı işlem kontrolleri, anahtar yönetimi, olay kayıtları ve ihlal sonrasındaki müdahale birlikte değerlendirilir.
Platform ve saklama kuruluşunun görevleri
III-35/B.1 ve III-35/B.2 sayılı Tebliğler bilgi güvenliği olayı konusunu kuruluş, hizmet, saklama, transfer ve bilgi sistemleri çerçevesinde düzenler. Değerlendirme, marka söylemi yerine fiilî hizmet ile yetkilendirme kapsamına dayanır.
SPK’nın güncel çerçevesi bilgi güvenliği olayı konusunu yalnızca tek bir işlem hatası olarak değil; organizasyon, kayıt düzeni, saklama ve bilgi sistemleri bütünü içinde ele alır. Kurum içindeki yetki ve kontrol dağılımı, ihlalin hangi birimde doğduğunu belirlemek için incelenir.
Platform ile saklama kuruluşunun anahtar yönetimi, transfer onayı, kayıt mutabakatı ve olay müdahalesi görevleri sözleşme ve mevzuat üzerinden ayrılmalıdır. Kullanıcı, yalnızca ekranda görünen markaya bakarak gerçek saklayanı belirleyemeyebilir.
Güvenlik kayıtlarının hukuki anlamı
Giriş IP’leri, cihaz değişiklikleri, parola sıfırlama, uygulama programlama arayüzü (API) anahtarı, adres beyaz listesi ve transfer onayları hesap ele geçirilmesini aydınlatabilir.
Bilgi güvenliği olayı sürecinde kimlik ve finansal hareket verileri aynı profilde birleşebilir. KVKK m.12 bakımından yalnız verinin tutulması değil, yetkisiz erişime karşı korunması ve kayıtların güvenilirliğinin sürdürülmesi de önem taşır.
Bilgi güvenliği olayı bakımından elektronik veriler önemli bir başlangıç noktasıdır. Oturum, cihaz, parola, API, transfer ve olay müdahale kayıtları HMK m.199 çerçevesinde belge olarak değerlendirilebilir; ancak her kaydın kaynağı, bütünlüğü ve ilgili kişiyle bağlantısı ayrıca kurulmalıdır.
Olayda önce varlığın hangi cüzdanda, kimin kontrolünde ve hangi kayıtla kullanıcıya tahsis edildiği belirlenir. Ardından transfer yetkisi, güvenlik olayı ve rezerv-kayıt uyumu incelenir.
Önleyici güvenlik kontrolleri
Güçlü kimlik doğrulama, yeni cihaz onayı, adres beyaz listesi, API yetkilerinin sınırlandırılması, kritik işlemlerde bekleme süresi ve olağandışı hareket izleme, kripto platformları için öne çıkan kontrollerdir. Hangi kontrolün zorunlu veya yeterli olduğu platformun hizmetine ve riskine göre değişir; yalnızca SMS doğrulamasına dayanmak her olayda yeterli güvenlik sağlamayabilir.
Yetki ayrımı yalnızca müşteri hesabında değil personel erişimlerinde de gereklidir. Destek çalışanının parola sıfırlama, cüzdan ekleme ve transfer onayı gibi kritik işlemleri tek başına yapabilmesi iç kontrol riskini büyütür. Güvenlik kayıtlarının temel işlevi, işlemi yapan hesabı ve kullanılan yetki seviyesini göstermektir.
Olay anında müdahale ve bildirim
Şüpheli giriş veya toplu yetkisiz transfer tespit edildiğinde oturumların sonlandırılması, kritik anahtarların devre dışı bırakılması, fon akışının izlenmesi ve kayıtların korunması gerekir. Müdahalenin gecikmesi zararı büyütebilir. Teknik ekip ile hukuk ve uyum birimlerinin aynı zaman çizelgesi üzerinden çalışması önemlidir.
Olay kişisel verilerin hukuka aykırı elde edilmesini içeriyorsa KVKK kapsamındaki ihlal bildirimi gündeme gelebilir. Her güvenlik olayı otomatik veri ihlali sayılmaz; değerlendirme etkilenen veri, gizlilik-bütünlük-erişilebilirlik sonucu ve ilgili kişilere doğan risk üzerinden yapılır.
Logların delil değeri ve saklanması
IP, cihaz, oturum, parola değişikliği, API anahtarı, cüzdan adresi ekleme ve transfer onay kayıtları olayın teknik zincirini kurar. Logların zaman damgaları farklı saat dilimlerinde tutuluyorsa kronoloji hatası oluşabilir. Kayıt bütünlüğü, erişim yetkisi ve saklama süresi teknik raporda açıklanmalıdır.
Platformun hiçbir log sunamaması kullanıcı iddiasını otomatik olarak doğrulamaz; ancak mevzuat ve sözleşme gereği tutulması gereken kayıtların yokluğu ispat değerlendirmesini etkileyebilir. Ekran görüntüleri, e-posta bildirimleri ve zincir verisi bu boşluğu kısmen tamamlayabilir.
Tedarikçi ve kimlik doğrulama riski
SMS sağlayıcısı, e-posta hizmeti, bulut altyapısı veya uzaktan kimlik doğrulama şirketindeki açık platform hesabını etkileyebilir. Platform, kritik tedarikçilerin güvenlik seviyesini, olay bildirimini ve veri erişimini sözleşmeyle yönetmelidir. Kullanıcı zararı yalnızca son görünen sistem katmanına bakılarak açıklanamaz.
Tedarikçinin olayı gizlemesi veya geç bildirmesi platformun kullanıcıya karşı müdahalesini geciktirebilir. Yedek doğrulama kanalları ve tedarikçi değişim planı iş sürekliliğinin parçasıdır.
Biyometrik ve kimlik verilerinin yüksek etkisi
Uzaktan kimlik tespitinde yüz görüntüsü, video ve kimlik belgesi işlenebilir. Bu verilerin sızması parola gibi kolayca değiştirilemeyen kalıcı risk doğurur. Erişim yetkisi, şifreleme, saklama süresi ve silme prosedürü finansal işlem kayıtlarından ayrı planlanmalıdır.
Kimlik doğrulama amacıyla toplanan verinin pazarlama veya profil çıkarma için kullanılması ayrıca hukuki sebep gerektirir. Bir amaç için zorunlu veri, başka amaçta sınırsız kullanılamaz.
Bilgi güvenliği olayı dosyasının omurgası
Bu tür bir dosyada oturum, cihaz, parola, API, transfer ve olay müdahale kayıtları işlem sırasına göre bir araya getirilmelidir. Aynı hesapta görünseler bile platform kaynaklı zarar ve makam kararına dayanan kısıt farklı hukuki yollar gerektirir.
İki aşamalı doğrulama tek başına sorumsuzluk yaratmaz
Hayır. Doğrulamanın nasıl devre dışı bırakıldığı, olağandışı işlem kontrolleri ve platformun diğer güvenlik yükümlülükleri incelenir.
Logların paylaşımı güvenlik ve usul sınırlarına tabidir
Her kayıt doğrudan paylaşılmayabilir; ancak uyuşmazlık ve yargılama sürecinde usulüne uygun şekilde istenebilir. Kişisel veri ve güvenlik sınırları gözetilir.
Sermaye piyasası ve veri güvenliği yükümlülükleri birlikte uygulanır
III-35/B.1 sayılı Tebliğ; bilgi sistemleri, teknolojik altyapı, iç kontrol, risk yönetimi, kayıt ve bağımsız denetim konularını kurumsal faaliyet şartı olarak düzenler. KVKK m. 12 ise kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önleme ile verilerin muhafazasını sağlama yükümlülüğü getirir. Aynı olay hem müşteri varlığı güvenliği hem de kişisel veri ihlali doğurabilir.
Bir saldırının gerçekleşmiş olması tek başına platformun kusurunu kanıtlamaz; fakat erişim kontrolleri, güçlü kimlik doğrulama, log bütünlüğü, olay müdahalesi ve kullanıcı bildirimleri somut olarak incelenir. Dış hizmet sağlayıcısı kullanılması platformun mevzuat ve sözleşmeden doğan yükümlülüklerini kendiliğinden ortadan kaldırmaz.
Bilgi güvenliği bakımından sonuç
Bilgi güvenliği sorumluluğu yalnız kullanıcı şifresine indirgenemez. Platformun erişim kontrolleri, anahtar yönetimi, olay müdahalesi ve veri güvenliği tedbirleri birlikte incelenir.
