Criteria Regarding Information Systems and Technological Infrastructure for Crypto Asset Service Providers

The Informatics and Information Security Advanced Technologies Research Center of TÜBİTAK (Scientific and Technological Research Council of Turkey) has published the Information Systems and Technological Infrastructure Criteria for Crypto Asset Service Providers (“CASPs”) (“TÜBİTAK Criteria” or “Guide”).

General Security Criteria

In addition to general security criteria for hot and cold wallets, separate security criteria have been established within the TÜBİTAK Criteria for hot and cold wallets, separately.

Pursuant to the general criteria, CASPs are required to carry out the following processes before executing transaction orders, such as signing crypto asset transfers:

• Verification that transaction orders have been issued by authorized client representatives.
• Record-keeping of the review and approval of transaction orders by custodial authorities, in accordance with the wallet type and the agreement with the client.
• Control of compliance with communiqués, Board decisions, and relevant legislation.
• Control of compliance with system/policy configurations set by the client.
• Control of compliance with the CASP’s own policies.

In the event that cryptographic mechanisms such as multi-signature or multi-party threshold signing are used within the scope of crypto asset transfer transactions, CASPs shall conduct a business impact analysis regarding these mechanisms and implement controls to minimize risks. Corrective actions shall also be taken if security vulnerabilities are identified. Custodial institutions shall allow platform-type clients to define an approved address list. In the event that an approved address list is defined, transfers shall not be permitted outside of these addresses.

Before a transfer order is signed, it is essential that components performing the controls specified in the TÜBİTAK Criteria are subjected to a Common Criteria evaluation with a minimum level of EAL4, according to protection profiles deemed appropriate by TÜBİTAK and national/international standards, and a test report is obtained.

All private keys and key components related to crypto assets within the scope of custodial services shall be generated, held, processed, and controlled solely by the CASP providing the custody.

Cold Wallet Security

At a minimum, the devices housing private keys in cold wallets and the software systems managing them shall be isolated from the internet-connected systems through network air-gapping systems or air-gap mechanisms. Such communication shall only permit the passage of pre-determined data, such as transfer orders and the signed transfer data corresponding to those orders. It is further stipulated that the custodial institution shall only be permitted to transfer from accounts in its cold wallets to cold/hot wallet addresses under the custodial institution’s control.

Criteria have also been established regarding cold wallet access control. Minimum conditions required to be met for the custodial institution’s authorities to review and approve a transaction order are determined.

Furthermore, it is stipulated that multi-factor authentication mechanisms shall be used, at a minimum, in the authentication of authorities of platform-type clients and authorities of CASPs providing custodial services.

Direct access from internet-connected systems to the secure hardware module shall not be permitted, and access shall be prevented through physical/technical controls. The main key and private keys held in the cold wallet and used in crypto asset transfers shall be generated in secure hardware modules and shall only be present in unencrypted form within the secure hardware module. Operations with these keys shall only be performed within the secure hardware module.

Hot Wallet Security

It is stipulated that transfer orders may be executed through automated processes. The custodial institution shall only transfer from accounts in its hot wallets to crypto asset addresses included in its clients’ approved address list, if an approved address list has been defined, or to the custodial institution’s own wallet addresses. The signing of crypto asset transfers shall not occur without the use of a secure hardware module after policy controls by authorized personnel or automated tools.

Taking into account the profiles of platform-type clients and other custodial clients (transfer order time, transfer amount, and similar risk indicators), transactions requiring and not requiring the intervention of client and/or custodial institution authorities shall be determined during the process of issuing and approving transfer orders, and shall be added to the custodial institution’s policy.

Conditions required to be met for transaction orders and similar operations requiring authorized approvals are enumerated, and these conditions include aspects such as two-factor authentication, approval with digital signatures, and cryptographic controls. The authentication criteria to be used in cold wallet access control shall also apply to hot wallets.

Wallet Backups

Software utilizing secure hardware modules for cold and hot wallets, where authorized approvals are granted/verified, and used in network air-gapping, air-gap mechanisms, and policy control, shall be subjected to a Common Criteria evaluation with a minimum level of EAL4, according to protection profiles deemed appropriate by TÜBİTAK and relevant national/international standards, and a test report shall be obtained. The minimum requirements that the protection profile must contain are listed in Article 13/2 of the TÜBİTAK Criteria.

Initialization procedures shall be defined in such a way that no single authority can recreate or recover the keys generated during initialization, and the initialization procedures shall specify how recovery components for the recovery of secure hardware, if necessary, will be created, how many components it will consist of, and how many authorities must come together to perform the recovery operation.

The following conditions shall be met when backing up master keys, private keys, and similar keys created in the secure hardware module:

• Backups shall be made with tested mechanisms in the secure hardware module. Within the scope of the backup mechanism, keys shall only be extracted from the secure hardware module in encrypted form.
• The backup mechanism shall be of such a nature that it is possible to detect corruption of data in the backups and alteration of keys.
• Recovery from backup and restoration of encrypted keys to the hardware shall not be possible except by the assembly of the minimum number of authorities determined during initialization.

Furthermore, certain conditions are stipulated to prevent key loss, such as backup in a location where secondary systems are located.

Information Security

It is stipulated that an Information Security Committee shall be established to review compliance of CASPs’ activities with information security regulations and internal policies, and to report to senior management. Furthermore, a Senior Management Oversight Committee shall be established to conduct oversight activities related to the implementation of information systems strategies and information security management activities.

Acceptable risk levels and risk appetite criteria shall be determined and submitted to senior management for approval, and a dynamic monitoring system shall be established for the effective monitoring of risks. It is further stipulated that appropriate cyber security insurance may be procured to cover potential financial losses resulting from possible cyber-attacks, data breaches, and disruptions.

An authentication mechanism consisting of independent components shall be established for all services provided to customers. The components shall consist of at least two distinct elements, comprising elements the customer knows, elements the customer possesses, and elements that cannot be imitated or that reflect the customer’s biometric characteristics. It shall be mandatory for the customer to enter the element known to the customer. Furthermore, cryptographic keys used in authentication processes shall be generated and stored using secure methods.

Scans shall be performed periodically to establish information security, mechanisms shall be established to collect information about vulnerabilities in third-party software and services, and threat simulation tests shall be conducted at least once a year to evaluate vulnerabilities.

Implementation

Measures aimed at establishing application security are being implemented, such as the automatic locking of accounts and notification of relevant parties following three consecutive unsuccessful authentication attempts, alarm mechanisms for the detection of unexpected or out-of-limit activities, the use of masking techniques to prevent unauthorized persons from viewing sensitive data, necessary monitoring mechanisms to be aware of vulnerabilities in third-party libraries, and code obfuscation techniques to be resistant to reverse engineering attempts.

For the establishment of data security, the classification and marking of data according to its security level is stipulated, which includes minimum controls to be applied in the event that transfer orders are executed through network air-gapping systems, quarantine of data that does not comply with certain rules, compliance checks, and offline updates.

Similarly, the minimum controls to be applied during the conveyance of transfer orders in the event that an air gap is established between cold wallet components and other internet-connected systems have also been determined.

Measures are implemented to ensure data security in services obtained through outsourcing. It is indicated that servers hosting critical software related to cold wallets to be included within primary and secondary systems, and the secure hardware module to be used in the cold wallet service process, cannot be hosted externally. For other system components related to primary and secondary systems, obtaining data center services from external sources is allowed, provided that certain conditions are met.

Distributed Ledger Integration

The rapid transmission of transactions, detection of forking, accurate calculation of transfer fees, and transaction verification processes shall be determined by the CASPs. In this context, CASPs entities may procure external services rather than developing their own solutions; however, responsibility rests with the board of directors.

Potential risks shall be identified, and necessary controls shall be implemented within the scope of risk management. Prior to conducting critical activities, data obtained from at least two distinct distributed ledger nodes shall be reviewed. Business continuity and disaster recovery scenarios shall be prepared, tested, and backup systems shall be established to ensure the uninterrupted operation of systems. Support teams shall be established for the resolution of potential issues.

The performance, reliability, and isolation of distributed ledger networks shall be regularly monitored and evaluated, and an internal audit shall be conducted at least once a year to ensure the compatibility of the integration. Areas for improvement and issues related to system performance and security shall be reported to the board of directors on a quarterly basis, and necessary activities shall be planned.

Crypto Asset Locking

Certain rules are imposed on the custody institutions and platforms to comply with if they provide crypto asset locking services.

Accordingly:

• Locking services may only be performed within the scope of hot wallets.
• Locking mechanisms shall be categorized according to purpose, technical structure, and risk profile.
• A risk analysis and assessment shall be conducted for the locking service.
• Smart contracts and protocols used in locking shall have undergone security audits, and high-risk mechanisms shall not be used.
• Mechanisms to be used in locking shall be open-source.
• The integration of the locking and withdrawal mechanisms into CASPS’ systems, verification processes, monitoring of changes, and problem-solving processes shall be determined.

Transitional Provisions

It is fundamental that cryptographic mechanisms used for the purpose of crypto asset custody are tested, verified, and evaluated for correct and secure implementation in software/hardware within the scope of ISO/IEC 19790 and/or Common Criteria standards. However, for cryptographic mechanisms not being able to be included within the scope of said standards, such mechanisms may be utilized if certain minimum conditions are adhered to, with responsibility residing with the CASP entity that decides to utilize the mechanism. These conditions are: Obtaining security audits of the cryptographic mechanisms, ensuring sufficient and effective control, and conducting security audits.

It is fundamental that secure hardware modules undergo ISO/IEC 19790 (ISO 1970) testing by TÜBİTAK. However, until the testing of secure hardware modules is completed, ISO 19790 or FIPS 140-3 certified modules acquired from foreign sources may be utilized. Should TÜBİTAK prepare a protection profile for secure hardware modules, evaluation of the modules within the scope of Common Criteria may be required.

Critical software must be evaluated according to nationally or internationally recognized Protection Profiles.

CASPs entities may use the reference of international technical reports and industry standards specified in the Guide as supporting elements.

Kripto Varlık Hizmet Sağlayıcıları Bilgi Sistemleri ve Teknolojik Altyapı Kriterleri

TÜBİTAK Bilişim ve Bilgi Güvenliği İleri Teknolojiler Araştırma Merkezi tarafından Kripto Varlık Hizmet Sağlayıcıları(“KVHS”) Bilgi Sistemleri ve Teknolojik Altyapı Kriterleri (“TÜBİTAK Kriterleri” veya “Rehber”) yayımlanmıştır.

Genel Güvenlik Kriterleri

TÜBİTAK Kriterleri’nde sıcak ve soğuk cüzdanlar için genel güvenlik kriterlerinin yanında, sıcak ve soğuk cüzdanlar için ayrı ayrı güvenlik kriterleri belirlenmiştir.

Genel kriterler uyarınca, KVHS, kripto varlık transferinin imzalanması ve benzeri işlem emirlerini gerçekleştirmeden önce aşağıdaki süreçleri yürütmesidir.

• İşlem emirlerinin, müşteri yetkilileri tarafından verildiğinin doğrulanması
• İşlem emirlerinin, cüzdan tipi ve müşteri ile yapılan sözleşme kapsamında, saklama yetkilileri tarafından gözden geçirilerek uygun bulunduğunun kayıt altına alınması
• Tebliğlere, Kurul kararlarına ve ilgili mevzuata uyumun kontrol edilmesi
• Müşteri tarafından ayarlanan sistem/politika yapılandırmalarına uyumun kontrol edilmesi
• KVHS’lerin kendi politikalarına uyumun kontrol edilmesi.

Kripto varlık transfer işlemleri kapsamında çoklu imzalama, çok taraflı eşik imzalama gibi kriptogragik mekanizmaların kullanılması halinde KVHS’ler bu mekanizmalara ilişkin iş etki analizi gerçekleştirecek ve riskleri asgari seviyeye indirecek kontroller uygulayacaktır.  Güvenlik zafiyeti de tespit edilirse düzeltici faaliyetler yapılacaktır. Saklama kuruluşları, platform tipindeki müşterilerinin onaylı adres listesi tanımlamasına olanak sağlayacaktır. Onaylı adres listesi tanımlanması durumunda, bu adresler dışında transfer yapılamayacaktır.

Transfer emri imzalanmadan önce, TÜBİTAK Kriterleri’nde belirtilen kontrolleri yapan bileşenlerin, TÜBİTAK tarafından ve uygun görülen ulusal/uluslararası koruma profillerine göre en az EAL4 seviyesinde Ortak Kriterler değerlendirilmesine tabi tutularak test raporu alınması esastır.

Saklama hizmeti kapsamına giren kripto varlıklara ilişkin tüm özel anahtar ve anahtar parçaları sadece saklamayı yapan KVHS’de üretilecek, tutulacak, işlenecek ve kontrol edilecektir.

Soğuk Cüzdan Güvenlik

Asgari olarak soğuk cüzdanlardaki özel anahtarları barındıran cihazlar ve bunları yöneten yazılım sistemleri, ağlar arası geçiş sistemleri veya hava boşluğu mekanizmalarıyla internete bağlı sistemlerden izole edilecektir. Bu iletişimde transfer emri ve bu emir karşılığında imzalanmış transfer verisi gibi sadece önceden belirlenmiş verilerin geçişine izin verilecektir Ayrıca saklama kuruluşunun, soğuk cüzdanlarındaki hesaplardan sadece saklama kuruluşu kontrolündeki soğuk/sıcak cüzdan adreslerine transfer yapabileceği düzenlenmiştir.

Soğuk cüzdan erişim denetimine de ilişkin kriterler getirilmiştir. İşlem emrinin saklama kuruluşu yetkilileri tarafından kontrol edilip onaylanması için sağlanması gereken Asgari koşullar düzenlenmiştir.

Ayıca, platform tipindeki müşteri yetkililerinin ve saklama hizmeti veren KVHS yetkililerinin kimlik doğrulanmasında asgari olarak çok faktörlü kimlik doğrulama mekanizmalarının kullanılması öngörülmüştür.

İnternete bağlı sistemlerden güvenli donanım modülüne doğrudan erişim mümkün olmayacak ve erişim fiziksel/teknik kontrollerle engellenecektir. Soğuk cüzdanda tutulan ve kripto varlık transferinde kullanılan ana anahtar ve özel anahtarlar, güvenli donanım modüllerde üretilecek ve sadece güvenli donanım modülü içinde şifresiz halde bulunabilecektir. Bu anahtarlarla sadece güvenli donanım modülü içinde işlem yapılacaktır.

Sıcak Cüzdan’da Güvenlik

Transfer emirlerinin otomatik süreçlerle gerçekleştirilebileceği düzenlenmiştir. Saklama kuruluşu, sıcak cüzdanlarındaki hesaplarından, onaylı adres listesi tanımlanmış olması durumunda sadece müşterilerinin onaylı adres listesinde yer alan kripto varlık adreslerine veya saklama kuruluşunun kendi cüzdan adreslerine transfer yapacaktır. Kripto varlık transferinin imzalanması, yetkililerin veya otomatize araçların politika kontrolleri sonrası güvenli donanım modülü kullanılmadan gerçekleşmeyecektir.

Platform tipindeki müşteriler ile diğer saklama müşterilerinin profilleri (transfer emir zamanı, transfer miktarı ve benzeri risk göstergeleri) dikkate alınarak transfer emri verilmesi ve emirlerin onaylanması sürecinde, müşteri ve/veya saklama kuruluşu yetkililerinin müdahalesini gerektiren ve gerektirmeyen işlemler belirlenecek ve saklama kuruluşunun politikasına eklenecektir.

Yetkili onayı gerektiren işlem emirleri ve benzeri işlemlerde sağlanması gereken şartlar sayılmış olup bu şartlar çift taraflı kimlik doğrulama, dijital imza ile onay, kriptografik kontroller gibi hususları içermektedir. Soğuk cüzdan erişim denetiminde kullanılacak kimlik doğrulama kriterleri sıcak cüzdanlar için de geçerli olacaktır.

Cüzdanlarda Yedekleme

Soğuk ve sıcak cüzdanların güvenli donanım modüllerini kullanan, yetkili onaylarının verildiği/doğrulandığı, ağlar arası geçiş, hava boşluğu mekanizmaları ve politika kontrolünde kullanılan yazılımlar, TÜBİTAK tarafından ve uygun görülen ulusal/uluslararası koruma profillerine göre en az EAL4 seviyesinde Ortak Kriterler değerlendirmesine tabi tutularak test raporu alınacaktır. Koruma profilinin asgari olarak içermesi gereken hususlar, TÜBİTAK Kritleri’nin 13/2 maddesinde sıralanmıştır.

İlklendirme prosedürleri, hiçbir yetkilinin tek başına ilklendirmede üretilecek anahtarları tekrar oluşturamayacağı veya kurtaramayacağı şekilde tanımlanacaktır ve ilklendirme prosedürlerinde, gerekli durumlarda güvenli donanımın kurtarılmasına yönelik kurtarma bileşenlerinin nasıl oluşturulacağı, kaç bileşenden oluşacağı ve kaç yetkilinin bir araya gelmesiyle kurtarma işleminin gerçekleştirilebileceği belirtilecektir.

Güvenli donanım modülünde oluşturulan ana anahtar, özel anahtar ve benzeri anahtarların yedeklenmesinde aşağıdaki şartlar sağlanacaktır.

• Yedeklemeler güvenli donanım modülünde test edilmiş mekanizmalarla yapılacaktır. Yedekleme mekanizması kapsamında anahtarlar, güvenli donanım modülünün dışına ancak şifreli olarak çıkarılacaktır.
• Yedekleme mekanizması, yedeklerdeki verilerin bozulduğu ve anahtarların değişikliğe uğradığı anlaşılabilir nitelikte olmalıdır.
• Yedekten kurtarma ve şifreli anahtarların donanıma geri yüklemesi, ilklendirmede belirlenen asgari sayıda yetkilinin bir araya gelmesi dışında mümkün olmayacaktır.

Ayrıca anahtar kayıplarının önüne geçilmesi adına ikincil sistemlerin bulunduğu lokasyonda yedekleme gibi birtakım şartlar öngörülmüştür.

Bilgi Güvenliği

KVHS faaliyetlerinin bilgi güvenliği düzenlemelerine ve iç politikalara uyumunu gözden geçirmek ve üst yönetime raporlama yapmak üzere bir Bilgi Güvenliği Komitesinin oluşturulması öngörülmüştür. Ayrıca, bilgi sistemleri stratejileri ile bilgi güvenliği yönetimi faaliyetlerinin uygulanmasına ilişkin gözetim faaliyetlerini yürütmek üzere bir Üst Yönetim Gözetim Komitesi tesis edilecektir.

Kabul edilebilir risk seviyeleri ve risk iştahı kriterleri belirlenerek üst yönetim onayına sunulacak ve risklerin etkin izlenebilmesi için dinamik bir izleme sistemi oluşturulacaktır. Olası siber saldırı, veri ihlali ve kesintiler nedeniyle oluşabilecek mali zararlar için uygun bir siber güvenlik sigortasının da yaptırılabileceği öngörülmüştür.

Müşteriye sunulan hizmetlerin tamamında birbirinden bağımsız bileşenlerden oluşan kimlik doğrulama mekanizması oluşturulacaktır. Bileşenler; müşterinin bildiği, sahip olduğu ve taklit edilemeyen veya müşterinin biyometrik karakteristiğini yansıtan en az iki farklı unsurdan oluşacaktır. Müşterinin bildiği unsurun müşteri tarafından girilmesi zorunlu tutulacaktır. Ayrıca kimlik doğrulama süreçlerinde kullanılan kriptografik anahtarlar güvenli yöntemlerle üretilecek ve saklanacaktır.

Bilgi güvenliğini tesis etmek amacıyla belirli periyotlarla tarama yapılacak, üçüncü taraf yazılım ve hizmetlerdeki zafiyetler hakkında

bilgi toplayabilecek mekanizmalar kurulacak ve yılda en az bir kez tehdit simülasyon testleri yapılarak açıklar değerlendirilecektir.

Uygulama

Uygulamalarda üç kez art arda başarısız kimlik doğrulama denemesi sonucunda hesapların otomatik olarak kilitlenerek ilgililere bilgi verilmesi, beklenmedik veya limit dışı etkinliklerin tespiti için alarm mekanizmaları ve yetkisiz kişilerin hassas verileri görüntülemesinin engellenmesi için maskeleme teknikleri kullanılması, üçüncü parti kütüphanelerin güvenlik açıklarından haberdar olmaya yönelik gerekli takip mekanizmaları, tersine mühendislik girişimlerine karşı dirençli olacak şekilde kod gizleme teknikleri gibi uygulama güvenliğini tesis etmeye yönelik önlemler düzenlenmiştir.

Veri güvenliğinin tesisi için ise verilerin güvenlik seviyesine göre sınıflanıp işaretlenmesi öngörülerek ağlar arası geçiş sistemleri üzerinden transfer emirlerinin gerçekleştirilmesi durumunda uygulanacak asgari kontroller, belli kurallara uymayan verilerin karantinaya alınması, uygunluk kontrolleri, çevrim dışı güncelleme gibi hususları içermektedir. Benzer şekilde, soğuk cüzdan bileşenleri ile internete bağlı diğer sistemler arasında hava boşluğu tesis edildiği durumda transfer emirlerinin taşınması sürecinde asgari olarak uygulanacak kontroller de belirlenmiştir.

Dış kaynak yoluyla alınan hizmetlerde veri güvenliğinin sağlanması için de önlemler alınması düzenlenmiştir. Birincil ve ikincil sistemler kapsamında yer alacak soğuk cüzdan ile ilişkili kritik yazılımların barındırılacağı sunucular ve soğuk cüzdan hizmeti sürecinde kullanılacak güvenli donanım modülünün dış kaynaklarda barındırılamayacağı, birincil ve ikincil sistemlere ilişkin diğer sistem bileşenleri için ise birtakım şartların sağlanması koşuluyla dış kaynaklardan veri merkezi hizmeti alınabileceği düzenlenmiştir.

Dağıtık Defter Entegrasyonu

İşlemlerin hızlı iletilmesi, çatallanma tespiti, doğru transfer ücreti hesaplaması ve işlem doğrulama süreçleri KVHS tarafından belirlenecektir. Bu kapsamda KVHS’ler kendi çözümlerini geliştirmeyip dışarıdan hizmet alabilir, ancak sorumluluk yönetim kurulundadır.

Potansiyel riskler belirlenmeli ve risk yönetimi kapsamında gerekli kontroller uygulanmalıdır. Kritik faaliyetler öncesinde en az iki farklı dağıtık defter düğümünden alınan veriler incelenmelidir. Sistemlerin kesintisiz çalışmasını sağlamak için iş sürekliliği ve felaket kurtarma senaryoları hazırlanmalı, test edilmeli ve yedekleme sistemleri oluşturulmalıdır. Olası sorunların çözümü için destek ekipleri oluşturulmalıdır.

Dağıtık defter ağlarının performansı, güvenilirliği ve izolasyonu düzenli olarak izlenmeli ve değerlendirilmeli ve entegrasyonun uyumluluğunu sağlamak için yılda en az bir kez iç denetim gerçekleştirilmelidir. Sistem performansı ve güvenliği ile ilgili iyileştirme alanları ve sorunlar üç aylık periyotlarla yönetim kuruluna raporlanmalı ve gerekli faaliyetler planlanmalıdır.

Kripto Varlık Kilitleme

Saklama kuruluşları ve platformların kripto varlık kilitleme hizmeti vermeleri halinde uyması gereken bazı kurallar düzenlenmiştir.

Buna göre,

• Kilitleme hizmeti yalnızca sıcak cüzdanlar kapsamında yapılabilir.
• Kilitleme mekanizmaları amaç, teknik yapı ve risk profiline göre farklı kategorilere ayrılmalıdır.
• Kilitleme hizmetine ilişkin risk analizi ve değerlendirme yapılmalıdır.
• Kilitlemede kullanılan akıllı kontrat ve protokoller güvenlik denetiminden geçmiş olmalı ve yüksek riskli mekanizmalar kullanılmamalıdır.
• Kilitlemede kullanılacak mekanizmalar açık kaynak kodlu olmalıdır.
• Kilitleme ve geri çekme mekanizmasının KVHS sistemlerine entegrasyonu, doğrulama süreçleri, değişikliklerin izlenmesi ve sorun çözme süreçleri belirlenmelidir.

Geçici Hususlar

Kripto varlık saklama amacıyla kullanılan kriptografik mekanizmaların doğru ve güvenli olarak yazılım/donanıma uygulandığının ISO/IEC 19790 ve/veya Ortak Kriterler standartları kapsamında test edilmesi, doğrulanması ve değerlendirilmesi esastır. Ancak, söz konusu standartlar kapsamına alınamayan kriptografik mekanizmalar için, sorumluluk mekanizmanın kullanımına karar veren KVHS’de olmak kaydıyla, asgari bazı şartlara uyularak bu mekanizmalar kullanılabilecektir. Bu şartlar; kriptografik mekanizmalarının güvenlik denetimlerinin yaptırılması, yeterli ve etkin kontrol sağlanması ile güvenlik denetimlerinin yapılmasıdır.

Güvenli donanım modüllerine, TÜBİTAK tarafından ISO/IEC 19790 (ISO 1970) testlerinin yapılması esastır. Ancak, güvenli donanım modüllerinin testleri tamamlanıncaya kadar, yurtdışından alınan ISO 19790 veya FIPS 140-3 sertifikalı modüller kullanılabilecektir. TÜBİTAK’ın güvenli donanım modülleri için koruma profili hazırlaması durumunda, modüllerin ortak kriterler kapsamında değerlendirilmesi talep edilebilir.

Kritik yazılımların ulusal veya uluslararası kabul görmüş Koruma Profillerine göre değerlendirilmesi gereklidir.

 KVHS’ler Rehber’de belirtilen uluslararası teknik rapor ve endüstri standartlarını destekleyici unsur olarak referans alabilir.

Kripto Varlık Hizmet Sağlayıcıları Bilgi Sistemleri ve Teknolojik Altyapı Kriterleri

TÜBİTAK Bilişim ve Bilgi Güvenliği İleri Teknolojiler Araştırma Merkezi tarafından Kripto Varlık Hizmet Sağlayıcıları(“KVHS”) Bilgi Sistemleri ve Teknolojik Altyapı Kriterleri (“TÜBİTAK Kriterleri” veya “Rehber”) yayımlanmıştır.

Genel Güvenlik Kriterleri

TÜBİTAK Kriterleri’nde sıcak ve soğuk cüzdanlar için genel güvenlik kriterlerinin yanında, sıcak ve soğuk cüzdanlar için ayrı ayrı güvenlik kriterleri belirlenmiştir.

Genel kriterler uyarınca, KVHS, kripto varlık transferinin imzalanması ve benzeri işlem emirlerini gerçekleştirmeden önce aşağıdaki süreçleri yürütmesidir.

• İşlem emirlerinin, müşteri yetkilileri tarafından verildiğinin doğrulanması
• İşlem emirlerinin, cüzdan tipi ve müşteri ile yapılan sözleşme kapsamında, saklama yetkilileri tarafından gözden geçirilerek uygun bulunduğunun kayıt altına alınması
• Tebliğlere, Kurul kararlarına ve ilgili mevzuata uyumun kontrol edilmesi
• Müşteri tarafından ayarlanan sistem/politika yapılandırmalarına uyumun kontrol edilmesi
• KVHS’lerin kendi politikalarına uyumun kontrol edilmesi.

Kripto varlık transfer işlemleri kapsamında çoklu imzalama, çok taraflı eşik imzalama gibi kriptogragik mekanizmaların kullanılması halinde KVHS’ler bu mekanizmalara ilişkin iş etki analizi gerçekleştirecek ve riskleri asgari seviyeye indirecek kontroller uygulayacaktır.  Güvenlik zafiyeti de tespit edilirse düzeltici faaliyetler yapılacaktır. Saklama kuruluşları, platform tipindeki müşterilerinin onaylı adres listesi tanımlamasına olanak sağlayacaktır. Onaylı adres listesi tanımlanması durumunda, bu adresler dışında transfer yapılamayacaktır.

Transfer emri imzalanmadan önce, TÜBİTAK Kriterleri’nde belirtilen kontrolleri yapan bileşenlerin, TÜBİTAK tarafından ve uygun görülen ulusal/uluslararası koruma profillerine göre en az EAL4 seviyesinde Ortak Kriterler değerlendirilmesine tabi tutularak test raporu alınması esastır.

Saklama hizmeti kapsamına giren kripto varlıklara ilişkin tüm özel anahtar ve anahtar parçaları sadece saklamayı yapan KVHS’de üretilecek, tutulacak, işlenecek ve kontrol edilecektir.

Soğuk Cüzdan Güvenlik

Asgari olarak soğuk cüzdanlardaki özel anahtarları barındıran cihazlar ve bunları yöneten yazılım sistemleri, ağlar arası geçiş sistemleri veya hava boşluğu mekanizmalarıyla internete bağlı sistemlerden izole edilecektir. Bu iletişimde transfer emri ve bu emir karşılığında imzalanmış transfer verisi gibi sadece önceden belirlenmiş verilerin geçişine izin verilecektir Ayrıca saklama kuruluşunun, soğuk cüzdanlarındaki hesaplardan sadece saklama kuruluşu kontrolündeki soğuk/sıcak cüzdan adreslerine transfer yapabileceği düzenlenmiştir.

Soğuk cüzdan erişim denetimine de ilişkin kriterler getirilmiştir. İşlem emrinin saklama kuruluşu yetkilileri tarafından kontrol edilip onaylanması için sağlanması gereken Asgari koşullar düzenlenmiştir.

Ayıca, platform tipindeki müşteri yetkililerinin ve saklama hizmeti veren KVHS yetkililerinin kimlik doğrulanmasında asgari olarak çok faktörlü kimlik doğrulama mekanizmalarının kullanılması öngörülmüştür.

İnternete bağlı sistemlerden güvenli donanım modülüne doğrudan erişim mümkün olmayacak ve erişim fiziksel/teknik kontrollerle engellenecektir. Soğuk cüzdanda tutulan ve kripto varlık transferinde kullanılan ana anahtar ve özel anahtarlar, güvenli donanım modüllerde üretilecek ve sadece güvenli donanım modülü içinde şifresiz halde bulunabilecektir. Bu anahtarlarla sadece güvenli donanım modülü içinde işlem yapılacaktır.

Sıcak Cüzdan’da Güvenlik

Transfer emirlerinin otomatik süreçlerle gerçekleştirilebileceği düzenlenmiştir. Saklama kuruluşu, sıcak cüzdanlarındaki hesaplarından, onaylı adres listesi tanımlanmış olması durumunda sadece müşterilerinin onaylı adres listesinde yer alan kripto varlık adreslerine veya saklama kuruluşunun kendi cüzdan adreslerine transfer yapacaktır. Kripto varlık transferinin imzalanması, yetkililerin veya otomatize araçların politika kontrolleri sonrası güvenli donanım modülü kullanılmadan gerçekleşmeyecektir.

Platform tipindeki müşteriler ile diğer saklama müşterilerinin profilleri (transfer emir zamanı, transfer miktarı ve benzeri risk göstergeleri) dikkate alınarak transfer emri verilmesi ve emirlerin onaylanması sürecinde, müşteri ve/veya saklama kuruluşu yetkililerinin müdahalesini gerektiren ve gerektirmeyen işlemler belirlenecek ve saklama kuruluşunun politikasına eklenecektir.

Yetkili onayı gerektiren işlem emirleri ve benzeri işlemlerde sağlanması gereken şartlar sayılmış olup bu şartlar çift taraflı kimlik doğrulama, dijital imza ile onay, kriptografik kontroller gibi hususları içermektedir. Soğuk cüzdan erişim denetiminde kullanılacak kimlik doğrulama kriterleri sıcak cüzdanlar için de geçerli olacaktır.

Cüzdanlarda Yedekleme

Soğuk ve sıcak cüzdanların güvenli donanım modüllerini kullanan, yetkili onaylarının verildiği/doğrulandığı, ağlar arası geçiş, hava boşluğu mekanizmaları ve politika kontrolünde kullanılan yazılımlar, TÜBİTAK tarafından ve uygun görülen ulusal/uluslararası koruma profillerine göre en az EAL4 seviyesinde Ortak Kriterler değerlendirmesine tabi tutularak test raporu alınacaktır. Koruma profilinin asgari olarak içermesi gereken hususlar, TÜBİTAK Kritleri’nin 13/2 maddesinde sıralanmıştır.

İlklendirme prosedürleri, hiçbir yetkilinin tek başına ilklendirmede üretilecek anahtarları tekrar oluşturamayacağı veya kurtaramayacağı şekilde tanımlanacaktır ve ilklendirme prosedürlerinde, gerekli durumlarda güvenli donanımın kurtarılmasına yönelik kurtarma bileşenlerinin nasıl oluşturulacağı, kaç bileşenden oluşacağı ve kaç yetkilinin bir araya gelmesiyle kurtarma işleminin gerçekleştirilebileceği belirtilecektir.

Güvenli donanım modülünde oluşturulan ana anahtar, özel anahtar ve benzeri anahtarların yedeklenmesinde aşağıdaki şartlar sağlanacaktır.

• Yedeklemeler güvenli donanım modülünde test edilmiş mekanizmalarla yapılacaktır. Yedekleme mekanizması kapsamında anahtarlar, güvenli donanım modülünün dışına ancak şifreli olarak çıkarılacaktır.
• Yedekleme mekanizması, yedeklerdeki verilerin bozulduğu ve anahtarların değişikliğe uğradığı anlaşılabilir nitelikte olmalıdır.
• Yedekten kurtarma ve şifreli anahtarların donanıma geri yüklemesi, ilklendirmede belirlenen asgari sayıda yetkilinin bir araya gelmesi dışında mümkün olmayacaktır.

Ayrıca anahtar kayıplarının önüne geçilmesi adına ikincil sistemlerin bulunduğu lokasyonda yedekleme gibi birtakım şartlar öngörülmüştür.

Bilgi Güvenliği

KVHS faaliyetlerinin bilgi güvenliği düzenlemelerine ve iç politikalara uyumunu gözden geçirmek ve üst yönetime raporlama yapmak üzere bir Bilgi Güvenliği Komitesinin oluşturulması öngörülmüştür. Ayrıca, bilgi sistemleri stratejileri ile bilgi güvenliği yönetimi faaliyetlerinin uygulanmasına ilişkin gözetim faaliyetlerini yürütmek üzere bir Üst Yönetim Gözetim Komitesi tesis edilecektir.

Kabul edilebilir risk seviyeleri ve risk iştahı kriterleri belirlenerek üst yönetim onayına sunulacak ve risklerin etkin izlenebilmesi için dinamik bir izleme sistemi oluşturulacaktır. Olası siber saldırı, veri ihlali ve kesintiler nedeniyle oluşabilecek mali zararlar için uygun bir siber güvenlik sigortasının da yaptırılabileceği öngörülmüştür.

Müşteriye sunulan hizmetlerin tamamında birbirinden bağımsız bileşenlerden oluşan kimlik doğrulama mekanizması oluşturulacaktır. Bileşenler; müşterinin bildiği, sahip olduğu ve taklit edilemeyen veya müşterinin biyometrik karakteristiğini yansıtan en az iki farklı unsurdan oluşacaktır. Müşterinin bildiği unsurun müşteri tarafından girilmesi zorunlu tutulacaktır. Ayrıca kimlik doğrulama süreçlerinde kullanılan kriptografik anahtarlar güvenli yöntemlerle üretilecek ve saklanacaktır.

Bilgi güvenliğini tesis etmek amacıyla belirli periyotlarla tarama yapılacak, üçüncü taraf yazılım ve hizmetlerdeki zafiyetler hakkında

bilgi toplayabilecek mekanizmalar kurulacak ve yılda en az bir kez tehdit simülasyon testleri yapılarak açıklar değerlendirilecektir.

Uygulama

Uygulamalarda üç kez art arda başarısız kimlik doğrulama denemesi sonucunda hesapların otomatik olarak kilitlenerek ilgililere bilgi verilmesi, beklenmedik veya limit dışı etkinliklerin tespiti için alarm mekanizmaları ve yetkisiz kişilerin hassas verileri görüntülemesinin engellenmesi için maskeleme teknikleri kullanılması, üçüncü parti kütüphanelerin güvenlik açıklarından haberdar olmaya yönelik gerekli takip mekanizmaları, tersine mühendislik girişimlerine karşı dirençli olacak şekilde kod gizleme teknikleri gibi uygulama güvenliğini tesis etmeye yönelik önlemler düzenlenmiştir.

Veri güvenliğinin tesisi için ise verilerin güvenlik seviyesine göre sınıflanıp işaretlenmesi öngörülerek ağlar arası geçiş sistemleri üzerinden transfer emirlerinin gerçekleştirilmesi durumunda uygulanacak asgari kontroller, belli kurallara uymayan verilerin karantinaya alınması, uygunluk kontrolleri, çevrim dışı güncelleme gibi hususları içermektedir. Benzer şekilde, soğuk cüzdan bileşenleri ile internete bağlı diğer sistemler arasında hava boşluğu tesis edildiği durumda transfer emirlerinin taşınması sürecinde asgari olarak uygulanacak kontroller de belirlenmiştir.

Dış kaynak yoluyla alınan hizmetlerde veri güvenliğinin sağlanması için de önlemler alınması düzenlenmiştir. Birincil ve ikincil sistemler kapsamında yer alacak soğuk cüzdan ile ilişkili kritik yazılımların barındırılacağı sunucular ve soğuk cüzdan hizmeti sürecinde kullanılacak güvenli donanım modülünün dış kaynaklarda barındırılamayacağı, birincil ve ikincil sistemlere ilişkin diğer sistem bileşenleri için ise birtakım şartların sağlanması koşuluyla dış kaynaklardan veri merkezi hizmeti alınabileceği düzenlenmiştir.

Dağıtık Defter Entegrasyonu

İşlemlerin hızlı iletilmesi, çatallanma tespiti, doğru transfer ücreti hesaplaması ve işlem doğrulama süreçleri KVHS tarafından belirlenecektir. Bu kapsamda KVHS’ler kendi çözümlerini geliştirmeyip dışarıdan hizmet alabilir, ancak sorumluluk yönetim kurulundadır.

Potansiyel riskler belirlenmeli ve risk yönetimi kapsamında gerekli kontroller uygulanmalıdır. Kritik faaliyetler öncesinde en az iki farklı dağıtık defter düğümünden alınan veriler incelenmelidir. Sistemlerin kesintisiz çalışmasını sağlamak için iş sürekliliği ve felaket kurtarma senaryoları hazırlanmalı, test edilmeli ve yedekleme sistemleri oluşturulmalıdır. Olası sorunların çözümü için destek ekipleri oluşturulmalıdır.

Dağıtık defter ağlarının performansı, güvenilirliği ve izolasyonu düzenli olarak izlenmeli ve değerlendirilmeli ve entegrasyonun uyumluluğunu sağlamak için yılda en az bir kez iç denetim gerçekleştirilmelidir. Sistem performansı ve güvenliği ile ilgili iyileştirme alanları ve sorunlar üç aylık periyotlarla yönetim kuruluna raporlanmalı ve gerekli faaliyetler planlanmalıdır.

Kripto Varlık Kilitleme

Saklama kuruluşları ve platformların kripto varlık kilitleme hizmeti vermeleri halinde uyması gereken bazı kurallar düzenlenmiştir.

Buna göre,

• Kilitleme hizmeti yalnızca sıcak cüzdanlar kapsamında yapılabilir.
• Kilitleme mekanizmaları amaç, teknik yapı ve risk profiline göre farklı kategorilere ayrılmalıdır.
• Kilitleme hizmetine ilişkin risk analizi ve değerlendirme yapılmalıdır.
• Kilitlemede kullanılan akıllı kontrat ve protokoller güvenlik denetiminden geçmiş olmalı ve yüksek riskli mekanizmalar kullanılmamalıdır.
• Kilitlemede kullanılacak mekanizmalar açık kaynak kodlu olmalıdır.
• Kilitleme ve geri çekme mekanizmasının KVHS sistemlerine entegrasyonu, doğrulama süreçleri, değişikliklerin izlenmesi ve sorun çözme süreçleri belirlenmelidir.

Geçici Hususlar

Kripto varlık saklama amacıyla kullanılan kriptografik mekanizmaların doğru ve güvenli olarak yazılım/donanıma uygulandığının ISO/IEC 19790 ve/veya Ortak Kriterler standartları kapsamında test edilmesi, doğrulanması ve değerlendirilmesi esastır. Ancak, söz konusu standartlar kapsamına alınamayan kriptografik mekanizmalar için, sorumluluk mekanizmanın kullanımına karar veren KVHS’de olmak kaydıyla, asgari bazı şartlara uyularak bu mekanizmalar kullanılabilecektir. Bu şartlar; kriptografik mekanizmalarının güvenlik denetimlerinin yaptırılması, yeterli ve etkin kontrol sağlanması ile güvenlik denetimlerinin yapılmasıdır.

Güvenli donanım modüllerine, TÜBİTAK tarafından ISO/IEC 19790 (ISO 1970) testlerinin yapılması esastır. Ancak, güvenli donanım modüllerinin testleri tamamlanıncaya kadar, yurtdışından alınan ISO 19790 veya FIPS 140-3 sertifikalı modüller kullanılabilecektir. TÜBİTAK’ın güvenli donanım modülleri için koruma profili hazırlaması durumunda, modüllerin ortak kriterler kapsamında değerlendirilmesi talep edilebilir.

Kritik yazılımların ulusal veya uluslararası kabul görmüş Koruma Profillerine göre değerlendirilmesi gereklidir.

 KVHS’ler Rehber’de belirtilen uluslararası teknik rapor ve endüstri standartlarını destekleyici unsur olarak referans alabilir.