Kripto Varlık Hizmet Sağlayıcıları Bilgi Sistemleri ve Teknolojik Altyapı Kriterleri

TÜBİTAK Bilişim ve Bilgi Güvenliği İleri Teknolojiler Araştırma Merkezi tarafından Kripto Varlık Hizmet Sağlayıcıları(“KVHS”) Bilgi Sistemleri ve Teknolojik Altyapı Kriterleri (“TÜBİTAK Kriterleri” veya “Rehber”) yayımlanmıştır.

Genel Güvenlik Kriterleri

TÜBİTAK Kriterleri’nde sıcak ve soğuk cüzdanlar için genel güvenlik kriterlerinin yanında, sıcak ve soğuk cüzdanlar için ayrı ayrı güvenlik kriterleri belirlenmiştir.

Genel kriterler uyarınca, KVHS, kripto varlık transferinin imzalanması ve benzeri işlem emirlerini gerçekleştirmeden önce aşağıdaki süreçleri yürütmesidir.

• İşlem emirlerinin, müşteri yetkilileri tarafından verildiğinin doğrulanması
• İşlem emirlerinin, cüzdan tipi ve müşteri ile yapılan sözleşme kapsamında, saklama yetkilileri tarafından gözden geçirilerek uygun bulunduğunun kayıt altına alınması
• Tebliğlere, Kurul kararlarına ve ilgili mevzuata uyumun kontrol edilmesi
• Müşteri tarafından ayarlanan sistem/politika yapılandırmalarına uyumun kontrol edilmesi
• KVHS’lerin kendi politikalarına uyumun kontrol edilmesi.

Kripto varlık transfer işlemleri kapsamında çoklu imzalama, çok taraflı eşik imzalama gibi kriptogragik mekanizmaların kullanılması halinde KVHS’ler bu mekanizmalara ilişkin iş etki analizi gerçekleştirecek ve riskleri asgari seviyeye indirecek kontroller uygulayacaktır.  Güvenlik zafiyeti de tespit edilirse düzeltici faaliyetler yapılacaktır. Saklama kuruluşları, platform tipindeki müşterilerinin onaylı adres listesi tanımlamasına olanak sağlayacaktır. Onaylı adres listesi tanımlanması durumunda, bu adresler dışında transfer yapılamayacaktır.

Transfer emri imzalanmadan önce, TÜBİTAK Kriterleri’nde belirtilen kontrolleri yapan bileşenlerin, TÜBİTAK tarafından ve uygun görülen ulusal/uluslararası koruma profillerine göre en az EAL4 seviyesinde Ortak Kriterler değerlendirilmesine tabi tutularak test raporu alınması esastır.

Saklama hizmeti kapsamına giren kripto varlıklara ilişkin tüm özel anahtar ve anahtar parçaları sadece saklamayı yapan KVHS’de üretilecek, tutulacak, işlenecek ve kontrol edilecektir.

Soğuk Cüzdan Güvenlik

Asgari olarak soğuk cüzdanlardaki özel anahtarları barındıran cihazlar ve bunları yöneten yazılım sistemleri, ağlar arası geçiş sistemleri veya hava boşluğu mekanizmalarıyla internete bağlı sistemlerden izole edilecektir. Bu iletişimde transfer emri ve bu emir karşılığında imzalanmış transfer verisi gibi sadece önceden belirlenmiş verilerin geçişine izin verilecektir Ayrıca saklama kuruluşunun, soğuk cüzdanlarındaki hesaplardan sadece saklama kuruluşu kontrolündeki soğuk/sıcak cüzdan adreslerine transfer yapabileceği düzenlenmiştir.

Soğuk cüzdan erişim denetimine de ilişkin kriterler getirilmiştir. İşlem emrinin saklama kuruluşu yetkilileri tarafından kontrol edilip onaylanması için sağlanması gereken Asgari koşullar düzenlenmiştir.

Ayıca, platform tipindeki müşteri yetkililerinin ve saklama hizmeti veren KVHS yetkililerinin kimlik doğrulanmasında asgari olarak çok faktörlü kimlik doğrulama mekanizmalarının kullanılması öngörülmüştür.

İnternete bağlı sistemlerden güvenli donanım modülüne doğrudan erişim mümkün olmayacak ve erişim fiziksel/teknik kontrollerle engellenecektir. Soğuk cüzdanda tutulan ve kripto varlık transferinde kullanılan ana anahtar ve özel anahtarlar, güvenli donanım modüllerde üretilecek ve sadece güvenli donanım modülü içinde şifresiz halde bulunabilecektir. Bu anahtarlarla sadece güvenli donanım modülü içinde işlem yapılacaktır.

Sıcak Cüzdan’da Güvenlik

Transfer emirlerinin otomatik süreçlerle gerçekleştirilebileceği düzenlenmiştir. Saklama kuruluşu, sıcak cüzdanlarındaki hesaplarından, onaylı adres listesi tanımlanmış olması durumunda sadece müşterilerinin onaylı adres listesinde yer alan kripto varlık adreslerine veya saklama kuruluşunun kendi cüzdan adreslerine transfer yapacaktır. Kripto varlık transferinin imzalanması, yetkililerin veya otomatize araçların politika kontrolleri sonrası güvenli donanım modülü kullanılmadan gerçekleşmeyecektir.

Platform tipindeki müşteriler ile diğer saklama müşterilerinin profilleri (transfer emir zamanı, transfer miktarı ve benzeri risk göstergeleri) dikkate alınarak transfer emri verilmesi ve emirlerin onaylanması sürecinde, müşteri ve/veya saklama kuruluşu yetkililerinin müdahalesini gerektiren ve gerektirmeyen işlemler belirlenecek ve saklama kuruluşunun politikasına eklenecektir.

Yetkili onayı gerektiren işlem emirleri ve benzeri işlemlerde sağlanması gereken şartlar sayılmış olup bu şartlar çift taraflı kimlik doğrulama, dijital imza ile onay, kriptografik kontroller gibi hususları içermektedir. Soğuk cüzdan erişim denetiminde kullanılacak kimlik doğrulama kriterleri sıcak cüzdanlar için de geçerli olacaktır.

Cüzdanlarda Yedekleme

Soğuk ve sıcak cüzdanların güvenli donanım modüllerini kullanan, yetkili onaylarının verildiği/doğrulandığı, ağlar arası geçiş, hava boşluğu mekanizmaları ve politika kontrolünde kullanılan yazılımlar, TÜBİTAK tarafından ve uygun görülen ulusal/uluslararası koruma profillerine göre en az EAL4 seviyesinde Ortak Kriterler değerlendirmesine tabi tutularak test raporu alınacaktır. Koruma profilinin asgari olarak içermesi gereken hususlar, TÜBİTAK Kritleri’nin 13/2 maddesinde sıralanmıştır.

İlklendirme prosedürleri, hiçbir yetkilinin tek başına ilklendirmede üretilecek anahtarları tekrar oluşturamayacağı veya kurtaramayacağı şekilde tanımlanacaktır ve ilklendirme prosedürlerinde, gerekli durumlarda güvenli donanımın kurtarılmasına yönelik kurtarma bileşenlerinin nasıl oluşturulacağı, kaç bileşenden oluşacağı ve kaç yetkilinin bir araya gelmesiyle kurtarma işleminin gerçekleştirilebileceği belirtilecektir.

Güvenli donanım modülünde oluşturulan ana anahtar, özel anahtar ve benzeri anahtarların yedeklenmesinde aşağıdaki şartlar sağlanacaktır.

• Yedeklemeler güvenli donanım modülünde test edilmiş mekanizmalarla yapılacaktır. Yedekleme mekanizması kapsamında anahtarlar, güvenli donanım modülünün dışına ancak şifreli olarak çıkarılacaktır.
• Yedekleme mekanizması, yedeklerdeki verilerin bozulduğu ve anahtarların değişikliğe uğradığı anlaşılabilir nitelikte olmalıdır.
• Yedekten kurtarma ve şifreli anahtarların donanıma geri yüklemesi, ilklendirmede belirlenen asgari sayıda yetkilinin bir araya gelmesi dışında mümkün olmayacaktır.

Ayrıca anahtar kayıplarının önüne geçilmesi adına ikincil sistemlerin bulunduğu lokasyonda yedekleme gibi birtakım şartlar öngörülmüştür.

Bilgi Güvenliği

KVHS faaliyetlerinin bilgi güvenliği düzenlemelerine ve iç politikalara uyumunu gözden geçirmek ve üst yönetime raporlama yapmak üzere bir Bilgi Güvenliği Komitesinin oluşturulması öngörülmüştür. Ayrıca, bilgi sistemleri stratejileri ile bilgi güvenliği yönetimi faaliyetlerinin uygulanmasına ilişkin gözetim faaliyetlerini yürütmek üzere bir Üst Yönetim Gözetim Komitesi tesis edilecektir.

Kabul edilebilir risk seviyeleri ve risk iştahı kriterleri belirlenerek üst yönetim onayına sunulacak ve risklerin etkin izlenebilmesi için dinamik bir izleme sistemi oluşturulacaktır. Olası siber saldırı, veri ihlali ve kesintiler nedeniyle oluşabilecek mali zararlar için uygun bir siber güvenlik sigortasının da yaptırılabileceği öngörülmüştür.

Müşteriye sunulan hizmetlerin tamamında birbirinden bağımsız bileşenlerden oluşan kimlik doğrulama mekanizması oluşturulacaktır. Bileşenler; müşterinin bildiği, sahip olduğu ve taklit edilemeyen veya müşterinin biyometrik karakteristiğini yansıtan en az iki farklı unsurdan oluşacaktır. Müşterinin bildiği unsurun müşteri tarafından girilmesi zorunlu tutulacaktır. Ayrıca kimlik doğrulama süreçlerinde kullanılan kriptografik anahtarlar güvenli yöntemlerle üretilecek ve saklanacaktır.

Bilgi güvenliğini tesis etmek amacıyla belirli periyotlarla tarama yapılacak, üçüncü taraf yazılım ve hizmetlerdeki zafiyetler hakkında

bilgi toplayabilecek mekanizmalar kurulacak ve yılda en az bir kez tehdit simülasyon testleri yapılarak açıklar değerlendirilecektir.

Uygulama

Uygulamalarda üç kez art arda başarısız kimlik doğrulama denemesi sonucunda hesapların otomatik olarak kilitlenerek ilgililere bilgi verilmesi, beklenmedik veya limit dışı etkinliklerin tespiti için alarm mekanizmaları ve yetkisiz kişilerin hassas verileri görüntülemesinin engellenmesi için maskeleme teknikleri kullanılması, üçüncü parti kütüphanelerin güvenlik açıklarından haberdar olmaya yönelik gerekli takip mekanizmaları, tersine mühendislik girişimlerine karşı dirençli olacak şekilde kod gizleme teknikleri gibi uygulama güvenliğini tesis etmeye yönelik önlemler düzenlenmiştir.

Veri güvenliğinin tesisi için ise verilerin güvenlik seviyesine göre sınıflanıp işaretlenmesi öngörülerek ağlar arası geçiş sistemleri üzerinden transfer emirlerinin gerçekleştirilmesi durumunda uygulanacak asgari kontroller, belli kurallara uymayan verilerin karantinaya alınması, uygunluk kontrolleri, çevrim dışı güncelleme gibi hususları içermektedir. Benzer şekilde, soğuk cüzdan bileşenleri ile internete bağlı diğer sistemler arasında hava boşluğu tesis edildiği durumda transfer emirlerinin taşınması sürecinde asgari olarak uygulanacak kontroller de belirlenmiştir.

Dış kaynak yoluyla alınan hizmetlerde veri güvenliğinin sağlanması için de önlemler alınması düzenlenmiştir. Birincil ve ikincil sistemler kapsamında yer alacak soğuk cüzdan ile ilişkili kritik yazılımların barındırılacağı sunucular ve soğuk cüzdan hizmeti sürecinde kullanılacak güvenli donanım modülünün dış kaynaklarda barındırılamayacağı, birincil ve ikincil sistemlere ilişkin diğer sistem bileşenleri için ise birtakım şartların sağlanması koşuluyla dış kaynaklardan veri merkezi hizmeti alınabileceği düzenlenmiştir.

Dağıtık Defter Entegrasyonu

İşlemlerin hızlı iletilmesi, çatallanma tespiti, doğru transfer ücreti hesaplaması ve işlem doğrulama süreçleri KVHS tarafından belirlenecektir. Bu kapsamda KVHS’ler kendi çözümlerini geliştirmeyip dışarıdan hizmet alabilir, ancak sorumluluk yönetim kurulundadır.

Potansiyel riskler belirlenmeli ve risk yönetimi kapsamında gerekli kontroller uygulanmalıdır. Kritik faaliyetler öncesinde en az iki farklı dağıtık defter düğümünden alınan veriler incelenmelidir. Sistemlerin kesintisiz çalışmasını sağlamak için iş sürekliliği ve felaket kurtarma senaryoları hazırlanmalı, test edilmeli ve yedekleme sistemleri oluşturulmalıdır. Olası sorunların çözümü için destek ekipleri oluşturulmalıdır.

Dağıtık defter ağlarının performansı, güvenilirliği ve izolasyonu düzenli olarak izlenmeli ve değerlendirilmeli ve entegrasyonun uyumluluğunu sağlamak için yılda en az bir kez iç denetim gerçekleştirilmelidir. Sistem performansı ve güvenliği ile ilgili iyileştirme alanları ve sorunlar üç aylık periyotlarla yönetim kuruluna raporlanmalı ve gerekli faaliyetler planlanmalıdır.

Kripto Varlık Kilitleme

Saklama kuruluşları ve platformların kripto varlık kilitleme hizmeti vermeleri halinde uyması gereken bazı kurallar düzenlenmiştir.

Buna göre,

• Kilitleme hizmeti yalnızca sıcak cüzdanlar kapsamında yapılabilir.
• Kilitleme mekanizmaları amaç, teknik yapı ve risk profiline göre farklı kategorilere ayrılmalıdır.
• Kilitleme hizmetine ilişkin risk analizi ve değerlendirme yapılmalıdır.
• Kilitlemede kullanılan akıllı kontrat ve protokoller güvenlik denetiminden geçmiş olmalı ve yüksek riskli mekanizmalar kullanılmamalıdır.
• Kilitlemede kullanılacak mekanizmalar açık kaynak kodlu olmalıdır.
• Kilitleme ve geri çekme mekanizmasının KVHS sistemlerine entegrasyonu, doğrulama süreçleri, değişikliklerin izlenmesi ve sorun çözme süreçleri belirlenmelidir.

Geçici Hususlar

Kripto varlık saklama amacıyla kullanılan kriptografik mekanizmaların doğru ve güvenli olarak yazılım/donanıma uygulandığının ISO/IEC 19790 ve/veya Ortak Kriterler standartları kapsamında test edilmesi, doğrulanması ve değerlendirilmesi esastır. Ancak, söz konusu standartlar kapsamına alınamayan kriptografik mekanizmalar için, sorumluluk mekanizmanın kullanımına karar veren KVHS’de olmak kaydıyla, asgari bazı şartlara uyularak bu mekanizmalar kullanılabilecektir. Bu şartlar; kriptografik mekanizmalarının güvenlik denetimlerinin yaptırılması, yeterli ve etkin kontrol sağlanması ile güvenlik denetimlerinin yapılmasıdır.

Güvenli donanım modüllerine, TÜBİTAK tarafından ISO/IEC 19790 (ISO 1970) testlerinin yapılması esastır. Ancak, güvenli donanım modüllerinin testleri tamamlanıncaya kadar, yurtdışından alınan ISO 19790 veya FIPS 140-3 sertifikalı modüller kullanılabilecektir. TÜBİTAK’ın güvenli donanım modülleri için koruma profili hazırlaması durumunda, modüllerin ortak kriterler kapsamında değerlendirilmesi talep edilebilir.

Kritik yazılımların ulusal veya uluslararası kabul görmüş Koruma Profillerine göre değerlendirilmesi gereklidir.

 KVHS’ler Rehber’de belirtilen uluslararası teknik rapor ve endüstri standartlarını destekleyici unsur olarak referans alabilir.

Kripto Varlık Hizmet Sağlayıcıları Bilgi Sistemleri ve Teknolojik Altyapı Kriterleri

TÜBİTAK Bilişim ve Bilgi Güvenliği İleri Teknolojiler Araştırma Merkezi tarafından Kripto Varlık Hizmet Sağlayıcıları(“KVHS”) Bilgi Sistemleri ve Teknolojik Altyapı Kriterleri (“TÜBİTAK Kriterleri” veya “Rehber”) yayımlanmıştır.

Genel Güvenlik Kriterleri

TÜBİTAK Kriterleri’nde sıcak ve soğuk cüzdanlar için genel güvenlik kriterlerinin yanında, sıcak ve soğuk cüzdanlar için ayrı ayrı güvenlik kriterleri belirlenmiştir.

Genel kriterler uyarınca, KVHS, kripto varlık transferinin imzalanması ve benzeri işlem emirlerini gerçekleştirmeden önce aşağıdaki süreçleri yürütmesidir.

• İşlem emirlerinin, müşteri yetkilileri tarafından verildiğinin doğrulanması
• İşlem emirlerinin, cüzdan tipi ve müşteri ile yapılan sözleşme kapsamında, saklama yetkilileri tarafından gözden geçirilerek uygun bulunduğunun kayıt altına alınması
• Tebliğlere, Kurul kararlarına ve ilgili mevzuata uyumun kontrol edilmesi
• Müşteri tarafından ayarlanan sistem/politika yapılandırmalarına uyumun kontrol edilmesi
• KVHS’lerin kendi politikalarına uyumun kontrol edilmesi.

Kripto varlık transfer işlemleri kapsamında çoklu imzalama, çok taraflı eşik imzalama gibi kriptogragik mekanizmaların kullanılması halinde KVHS’ler bu mekanizmalara ilişkin iş etki analizi gerçekleştirecek ve riskleri asgari seviyeye indirecek kontroller uygulayacaktır.  Güvenlik zafiyeti de tespit edilirse düzeltici faaliyetler yapılacaktır. Saklama kuruluşları, platform tipindeki müşterilerinin onaylı adres listesi tanımlamasına olanak sağlayacaktır. Onaylı adres listesi tanımlanması durumunda, bu adresler dışında transfer yapılamayacaktır.

Transfer emri imzalanmadan önce, TÜBİTAK Kriterleri’nde belirtilen kontrolleri yapan bileşenlerin, TÜBİTAK tarafından ve uygun görülen ulusal/uluslararası koruma profillerine göre en az EAL4 seviyesinde Ortak Kriterler değerlendirilmesine tabi tutularak test raporu alınması esastır.

Saklama hizmeti kapsamına giren kripto varlıklara ilişkin tüm özel anahtar ve anahtar parçaları sadece saklamayı yapan KVHS’de üretilecek, tutulacak, işlenecek ve kontrol edilecektir.

Soğuk Cüzdan Güvenlik

Asgari olarak soğuk cüzdanlardaki özel anahtarları barındıran cihazlar ve bunları yöneten yazılım sistemleri, ağlar arası geçiş sistemleri veya hava boşluğu mekanizmalarıyla internete bağlı sistemlerden izole edilecektir. Bu iletişimde transfer emri ve bu emir karşılığında imzalanmış transfer verisi gibi sadece önceden belirlenmiş verilerin geçişine izin verilecektir Ayrıca saklama kuruluşunun, soğuk cüzdanlarındaki hesaplardan sadece saklama kuruluşu kontrolündeki soğuk/sıcak cüzdan adreslerine transfer yapabileceği düzenlenmiştir.

Soğuk cüzdan erişim denetimine de ilişkin kriterler getirilmiştir. İşlem emrinin saklama kuruluşu yetkilileri tarafından kontrol edilip onaylanması için sağlanması gereken Asgari koşullar düzenlenmiştir.

Ayıca, platform tipindeki müşteri yetkililerinin ve saklama hizmeti veren KVHS yetkililerinin kimlik doğrulanmasında asgari olarak çok faktörlü kimlik doğrulama mekanizmalarının kullanılması öngörülmüştür.

İnternete bağlı sistemlerden güvenli donanım modülüne doğrudan erişim mümkün olmayacak ve erişim fiziksel/teknik kontrollerle engellenecektir. Soğuk cüzdanda tutulan ve kripto varlık transferinde kullanılan ana anahtar ve özel anahtarlar, güvenli donanım modüllerde üretilecek ve sadece güvenli donanım modülü içinde şifresiz halde bulunabilecektir. Bu anahtarlarla sadece güvenli donanım modülü içinde işlem yapılacaktır.

Sıcak Cüzdan’da Güvenlik

Transfer emirlerinin otomatik süreçlerle gerçekleştirilebileceği düzenlenmiştir. Saklama kuruluşu, sıcak cüzdanlarındaki hesaplarından, onaylı adres listesi tanımlanmış olması durumunda sadece müşterilerinin onaylı adres listesinde yer alan kripto varlık adreslerine veya saklama kuruluşunun kendi cüzdan adreslerine transfer yapacaktır. Kripto varlık transferinin imzalanması, yetkililerin veya otomatize araçların politika kontrolleri sonrası güvenli donanım modülü kullanılmadan gerçekleşmeyecektir.

Platform tipindeki müşteriler ile diğer saklama müşterilerinin profilleri (transfer emir zamanı, transfer miktarı ve benzeri risk göstergeleri) dikkate alınarak transfer emri verilmesi ve emirlerin onaylanması sürecinde, müşteri ve/veya saklama kuruluşu yetkililerinin müdahalesini gerektiren ve gerektirmeyen işlemler belirlenecek ve saklama kuruluşunun politikasına eklenecektir.

Yetkili onayı gerektiren işlem emirleri ve benzeri işlemlerde sağlanması gereken şartlar sayılmış olup bu şartlar çift taraflı kimlik doğrulama, dijital imza ile onay, kriptografik kontroller gibi hususları içermektedir. Soğuk cüzdan erişim denetiminde kullanılacak kimlik doğrulama kriterleri sıcak cüzdanlar için de geçerli olacaktır.

Cüzdanlarda Yedekleme

Soğuk ve sıcak cüzdanların güvenli donanım modüllerini kullanan, yetkili onaylarının verildiği/doğrulandığı, ağlar arası geçiş, hava boşluğu mekanizmaları ve politika kontrolünde kullanılan yazılımlar, TÜBİTAK tarafından ve uygun görülen ulusal/uluslararası koruma profillerine göre en az EAL4 seviyesinde Ortak Kriterler değerlendirmesine tabi tutularak test raporu alınacaktır. Koruma profilinin asgari olarak içermesi gereken hususlar, TÜBİTAK Kritleri’nin 13/2 maddesinde sıralanmıştır.

İlklendirme prosedürleri, hiçbir yetkilinin tek başına ilklendirmede üretilecek anahtarları tekrar oluşturamayacağı veya kurtaramayacağı şekilde tanımlanacaktır ve ilklendirme prosedürlerinde, gerekli durumlarda güvenli donanımın kurtarılmasına yönelik kurtarma bileşenlerinin nasıl oluşturulacağı, kaç bileşenden oluşacağı ve kaç yetkilinin bir araya gelmesiyle kurtarma işleminin gerçekleştirilebileceği belirtilecektir.

Güvenli donanım modülünde oluşturulan ana anahtar, özel anahtar ve benzeri anahtarların yedeklenmesinde aşağıdaki şartlar sağlanacaktır.

• Yedeklemeler güvenli donanım modülünde test edilmiş mekanizmalarla yapılacaktır. Yedekleme mekanizması kapsamında anahtarlar, güvenli donanım modülünün dışına ancak şifreli olarak çıkarılacaktır.
• Yedekleme mekanizması, yedeklerdeki verilerin bozulduğu ve anahtarların değişikliğe uğradığı anlaşılabilir nitelikte olmalıdır.
• Yedekten kurtarma ve şifreli anahtarların donanıma geri yüklemesi, ilklendirmede belirlenen asgari sayıda yetkilinin bir araya gelmesi dışında mümkün olmayacaktır.

Ayrıca anahtar kayıplarının önüne geçilmesi adına ikincil sistemlerin bulunduğu lokasyonda yedekleme gibi birtakım şartlar öngörülmüştür.

Bilgi Güvenliği

KVHS faaliyetlerinin bilgi güvenliği düzenlemelerine ve iç politikalara uyumunu gözden geçirmek ve üst yönetime raporlama yapmak üzere bir Bilgi Güvenliği Komitesinin oluşturulması öngörülmüştür. Ayrıca, bilgi sistemleri stratejileri ile bilgi güvenliği yönetimi faaliyetlerinin uygulanmasına ilişkin gözetim faaliyetlerini yürütmek üzere bir Üst Yönetim Gözetim Komitesi tesis edilecektir.

Kabul edilebilir risk seviyeleri ve risk iştahı kriterleri belirlenerek üst yönetim onayına sunulacak ve risklerin etkin izlenebilmesi için dinamik bir izleme sistemi oluşturulacaktır. Olası siber saldırı, veri ihlali ve kesintiler nedeniyle oluşabilecek mali zararlar için uygun bir siber güvenlik sigortasının da yaptırılabileceği öngörülmüştür.

Müşteriye sunulan hizmetlerin tamamında birbirinden bağımsız bileşenlerden oluşan kimlik doğrulama mekanizması oluşturulacaktır. Bileşenler; müşterinin bildiği, sahip olduğu ve taklit edilemeyen veya müşterinin biyometrik karakteristiğini yansıtan en az iki farklı unsurdan oluşacaktır. Müşterinin bildiği unsurun müşteri tarafından girilmesi zorunlu tutulacaktır. Ayrıca kimlik doğrulama süreçlerinde kullanılan kriptografik anahtarlar güvenli yöntemlerle üretilecek ve saklanacaktır.

Bilgi güvenliğini tesis etmek amacıyla belirli periyotlarla tarama yapılacak, üçüncü taraf yazılım ve hizmetlerdeki zafiyetler hakkında

bilgi toplayabilecek mekanizmalar kurulacak ve yılda en az bir kez tehdit simülasyon testleri yapılarak açıklar değerlendirilecektir.

Uygulama

Uygulamalarda üç kez art arda başarısız kimlik doğrulama denemesi sonucunda hesapların otomatik olarak kilitlenerek ilgililere bilgi verilmesi, beklenmedik veya limit dışı etkinliklerin tespiti için alarm mekanizmaları ve yetkisiz kişilerin hassas verileri görüntülemesinin engellenmesi için maskeleme teknikleri kullanılması, üçüncü parti kütüphanelerin güvenlik açıklarından haberdar olmaya yönelik gerekli takip mekanizmaları, tersine mühendislik girişimlerine karşı dirençli olacak şekilde kod gizleme teknikleri gibi uygulama güvenliğini tesis etmeye yönelik önlemler düzenlenmiştir.

Veri güvenliğinin tesisi için ise verilerin güvenlik seviyesine göre sınıflanıp işaretlenmesi öngörülerek ağlar arası geçiş sistemleri üzerinden transfer emirlerinin gerçekleştirilmesi durumunda uygulanacak asgari kontroller, belli kurallara uymayan verilerin karantinaya alınması, uygunluk kontrolleri, çevrim dışı güncelleme gibi hususları içermektedir. Benzer şekilde, soğuk cüzdan bileşenleri ile internete bağlı diğer sistemler arasında hava boşluğu tesis edildiği durumda transfer emirlerinin taşınması sürecinde asgari olarak uygulanacak kontroller de belirlenmiştir.

Dış kaynak yoluyla alınan hizmetlerde veri güvenliğinin sağlanması için de önlemler alınması düzenlenmiştir. Birincil ve ikincil sistemler kapsamında yer alacak soğuk cüzdan ile ilişkili kritik yazılımların barındırılacağı sunucular ve soğuk cüzdan hizmeti sürecinde kullanılacak güvenli donanım modülünün dış kaynaklarda barındırılamayacağı, birincil ve ikincil sistemlere ilişkin diğer sistem bileşenleri için ise birtakım şartların sağlanması koşuluyla dış kaynaklardan veri merkezi hizmeti alınabileceği düzenlenmiştir.

Dağıtık Defter Entegrasyonu

İşlemlerin hızlı iletilmesi, çatallanma tespiti, doğru transfer ücreti hesaplaması ve işlem doğrulama süreçleri KVHS tarafından belirlenecektir. Bu kapsamda KVHS’ler kendi çözümlerini geliştirmeyip dışarıdan hizmet alabilir, ancak sorumluluk yönetim kurulundadır.

Potansiyel riskler belirlenmeli ve risk yönetimi kapsamında gerekli kontroller uygulanmalıdır. Kritik faaliyetler öncesinde en az iki farklı dağıtık defter düğümünden alınan veriler incelenmelidir. Sistemlerin kesintisiz çalışmasını sağlamak için iş sürekliliği ve felaket kurtarma senaryoları hazırlanmalı, test edilmeli ve yedekleme sistemleri oluşturulmalıdır. Olası sorunların çözümü için destek ekipleri oluşturulmalıdır.

Dağıtık defter ağlarının performansı, güvenilirliği ve izolasyonu düzenli olarak izlenmeli ve değerlendirilmeli ve entegrasyonun uyumluluğunu sağlamak için yılda en az bir kez iç denetim gerçekleştirilmelidir. Sistem performansı ve güvenliği ile ilgili iyileştirme alanları ve sorunlar üç aylık periyotlarla yönetim kuruluna raporlanmalı ve gerekli faaliyetler planlanmalıdır.

Kripto Varlık Kilitleme

Saklama kuruluşları ve platformların kripto varlık kilitleme hizmeti vermeleri halinde uyması gereken bazı kurallar düzenlenmiştir.

Buna göre,

• Kilitleme hizmeti yalnızca sıcak cüzdanlar kapsamında yapılabilir.
• Kilitleme mekanizmaları amaç, teknik yapı ve risk profiline göre farklı kategorilere ayrılmalıdır.
• Kilitleme hizmetine ilişkin risk analizi ve değerlendirme yapılmalıdır.
• Kilitlemede kullanılan akıllı kontrat ve protokoller güvenlik denetiminden geçmiş olmalı ve yüksek riskli mekanizmalar kullanılmamalıdır.
• Kilitlemede kullanılacak mekanizmalar açık kaynak kodlu olmalıdır.
• Kilitleme ve geri çekme mekanizmasının KVHS sistemlerine entegrasyonu, doğrulama süreçleri, değişikliklerin izlenmesi ve sorun çözme süreçleri belirlenmelidir.

Geçici Hususlar

Kripto varlık saklama amacıyla kullanılan kriptografik mekanizmaların doğru ve güvenli olarak yazılım/donanıma uygulandığının ISO/IEC 19790 ve/veya Ortak Kriterler standartları kapsamında test edilmesi, doğrulanması ve değerlendirilmesi esastır. Ancak, söz konusu standartlar kapsamına alınamayan kriptografik mekanizmalar için, sorumluluk mekanizmanın kullanımına karar veren KVHS’de olmak kaydıyla, asgari bazı şartlara uyularak bu mekanizmalar kullanılabilecektir. Bu şartlar; kriptografik mekanizmalarının güvenlik denetimlerinin yaptırılması, yeterli ve etkin kontrol sağlanması ile güvenlik denetimlerinin yapılmasıdır.

Güvenli donanım modüllerine, TÜBİTAK tarafından ISO/IEC 19790 (ISO 1970) testlerinin yapılması esastır. Ancak, güvenli donanım modüllerinin testleri tamamlanıncaya kadar, yurtdışından alınan ISO 19790 veya FIPS 140-3 sertifikalı modüller kullanılabilecektir. TÜBİTAK’ın güvenli donanım modülleri için koruma profili hazırlaması durumunda, modüllerin ortak kriterler kapsamında değerlendirilmesi talep edilebilir.

Kritik yazılımların ulusal veya uluslararası kabul görmüş Koruma Profillerine göre değerlendirilmesi gereklidir.

 KVHS’ler Rehber’de belirtilen uluslararası teknik rapor ve endüstri standartlarını destekleyici unsur olarak referans alabilir.

Kripto Varlık Hizmet Sağlayıcıları Bilgi Sistemleri ve Teknolojik Altyapı Kriterleri

TÜBİTAK Bilişim ve Bilgi Güvenliği İleri Teknolojiler Araştırma Merkezi tarafından Kripto Varlık Hizmet Sağlayıcıları(“KVHS”) Bilgi Sistemleri ve Teknolojik Altyapı Kriterleri (“TÜBİTAK Kriterleri” veya “Rehber”) yayımlanmıştır.

Genel Güvenlik Kriterleri

TÜBİTAK Kriterleri’nde sıcak ve soğuk cüzdanlar için genel güvenlik kriterlerinin yanında, sıcak ve soğuk cüzdanlar için ayrı ayrı güvenlik kriterleri belirlenmiştir.

Genel kriterler uyarınca, KVHS, kripto varlık transferinin imzalanması ve benzeri işlem emirlerini gerçekleştirmeden önce aşağıdaki süreçleri yürütmesidir.

• İşlem emirlerinin, müşteri yetkilileri tarafından verildiğinin doğrulanması
• İşlem emirlerinin, cüzdan tipi ve müşteri ile yapılan sözleşme kapsamında, saklama yetkilileri tarafından gözden geçirilerek uygun bulunduğunun kayıt altına alınması
• Tebliğlere, Kurul kararlarına ve ilgili mevzuata uyumun kontrol edilmesi
• Müşteri tarafından ayarlanan sistem/politika yapılandırmalarına uyumun kontrol edilmesi
• KVHS’lerin kendi politikalarına uyumun kontrol edilmesi.

Kripto varlık transfer işlemleri kapsamında çoklu imzalama, çok taraflı eşik imzalama gibi kriptogragik mekanizmaların kullanılması halinde KVHS’ler bu mekanizmalara ilişkin iş etki analizi gerçekleştirecek ve riskleri asgari seviyeye indirecek kontroller uygulayacaktır.  Güvenlik zafiyeti de tespit edilirse düzeltici faaliyetler yapılacaktır. Saklama kuruluşları, platform tipindeki müşterilerinin onaylı adres listesi tanımlamasına olanak sağlayacaktır. Onaylı adres listesi tanımlanması durumunda, bu adresler dışında transfer yapılamayacaktır.

Transfer emri imzalanmadan önce, TÜBİTAK Kriterleri’nde belirtilen kontrolleri yapan bileşenlerin, TÜBİTAK tarafından ve uygun görülen ulusal/uluslararası koruma profillerine göre en az EAL4 seviyesinde Ortak Kriterler değerlendirilmesine tabi tutularak test raporu alınması esastır.

Saklama hizmeti kapsamına giren kripto varlıklara ilişkin tüm özel anahtar ve anahtar parçaları sadece saklamayı yapan KVHS’de üretilecek, tutulacak, işlenecek ve kontrol edilecektir.

Soğuk Cüzdan Güvenlik

Asgari olarak soğuk cüzdanlardaki özel anahtarları barındıran cihazlar ve bunları yöneten yazılım sistemleri, ağlar arası geçiş sistemleri veya hava boşluğu mekanizmalarıyla internete bağlı sistemlerden izole edilecektir. Bu iletişimde transfer emri ve bu emir karşılığında imzalanmış transfer verisi gibi sadece önceden belirlenmiş verilerin geçişine izin verilecektir Ayrıca saklama kuruluşunun, soğuk cüzdanlarındaki hesaplardan sadece saklama kuruluşu kontrolündeki soğuk/sıcak cüzdan adreslerine transfer yapabileceği düzenlenmiştir.

Soğuk cüzdan erişim denetimine de ilişkin kriterler getirilmiştir. İşlem emrinin saklama kuruluşu yetkilileri tarafından kontrol edilip onaylanması için sağlanması gereken Asgari koşullar düzenlenmiştir.

Ayıca, platform tipindeki müşteri yetkililerinin ve saklama hizmeti veren KVHS yetkililerinin kimlik doğrulanmasında asgari olarak çok faktörlü kimlik doğrulama mekanizmalarının kullanılması öngörülmüştür.

İnternete bağlı sistemlerden güvenli donanım modülüne doğrudan erişim mümkün olmayacak ve erişim fiziksel/teknik kontrollerle engellenecektir. Soğuk cüzdanda tutulan ve kripto varlık transferinde kullanılan ana anahtar ve özel anahtarlar, güvenli donanım modüllerde üretilecek ve sadece güvenli donanım modülü içinde şifresiz halde bulunabilecektir. Bu anahtarlarla sadece güvenli donanım modülü içinde işlem yapılacaktır.

Sıcak Cüzdan’da Güvenlik

Transfer emirlerinin otomatik süreçlerle gerçekleştirilebileceği düzenlenmiştir. Saklama kuruluşu, sıcak cüzdanlarındaki hesaplarından, onaylı adres listesi tanımlanmış olması durumunda sadece müşterilerinin onaylı adres listesinde yer alan kripto varlık adreslerine veya saklama kuruluşunun kendi cüzdan adreslerine transfer yapacaktır. Kripto varlık transferinin imzalanması, yetkililerin veya otomatize araçların politika kontrolleri sonrası güvenli donanım modülü kullanılmadan gerçekleşmeyecektir.

Platform tipindeki müşteriler ile diğer saklama müşterilerinin profilleri (transfer emir zamanı, transfer miktarı ve benzeri risk göstergeleri) dikkate alınarak transfer emri verilmesi ve emirlerin onaylanması sürecinde, müşteri ve/veya saklama kuruluşu yetkililerinin müdahalesini gerektiren ve gerektirmeyen işlemler belirlenecek ve saklama kuruluşunun politikasına eklenecektir.

Yetkili onayı gerektiren işlem emirleri ve benzeri işlemlerde sağlanması gereken şartlar sayılmış olup bu şartlar çift taraflı kimlik doğrulama, dijital imza ile onay, kriptografik kontroller gibi hususları içermektedir. Soğuk cüzdan erişim denetiminde kullanılacak kimlik doğrulama kriterleri sıcak cüzdanlar için de geçerli olacaktır.

Cüzdanlarda Yedekleme

Soğuk ve sıcak cüzdanların güvenli donanım modüllerini kullanan, yetkili onaylarının verildiği/doğrulandığı, ağlar arası geçiş, hava boşluğu mekanizmaları ve politika kontrolünde kullanılan yazılımlar, TÜBİTAK tarafından ve uygun görülen ulusal/uluslararası koruma profillerine göre en az EAL4 seviyesinde Ortak Kriterler değerlendirmesine tabi tutularak test raporu alınacaktır. Koruma profilinin asgari olarak içermesi gereken hususlar, TÜBİTAK Kritleri’nin 13/2 maddesinde sıralanmıştır.

İlklendirme prosedürleri, hiçbir yetkilinin tek başına ilklendirmede üretilecek anahtarları tekrar oluşturamayacağı veya kurtaramayacağı şekilde tanımlanacaktır ve ilklendirme prosedürlerinde, gerekli durumlarda güvenli donanımın kurtarılmasına yönelik kurtarma bileşenlerinin nasıl oluşturulacağı, kaç bileşenden oluşacağı ve kaç yetkilinin bir araya gelmesiyle kurtarma işleminin gerçekleştirilebileceği belirtilecektir.

Güvenli donanım modülünde oluşturulan ana anahtar, özel anahtar ve benzeri anahtarların yedeklenmesinde aşağıdaki şartlar sağlanacaktır.

• Yedeklemeler güvenli donanım modülünde test edilmiş mekanizmalarla yapılacaktır. Yedekleme mekanizması kapsamında anahtarlar, güvenli donanım modülünün dışına ancak şifreli olarak çıkarılacaktır.
• Yedekleme mekanizması, yedeklerdeki verilerin bozulduğu ve anahtarların değişikliğe uğradığı anlaşılabilir nitelikte olmalıdır.
• Yedekten kurtarma ve şifreli anahtarların donanıma geri yüklemesi, ilklendirmede belirlenen asgari sayıda yetkilinin bir araya gelmesi dışında mümkün olmayacaktır.

Ayrıca anahtar kayıplarının önüne geçilmesi adına ikincil sistemlerin bulunduğu lokasyonda yedekleme gibi birtakım şartlar öngörülmüştür.

Bilgi Güvenliği

KVHS faaliyetlerinin bilgi güvenliği düzenlemelerine ve iç politikalara uyumunu gözden geçirmek ve üst yönetime raporlama yapmak üzere bir Bilgi Güvenliği Komitesinin oluşturulması öngörülmüştür. Ayrıca, bilgi sistemleri stratejileri ile bilgi güvenliği yönetimi faaliyetlerinin uygulanmasına ilişkin gözetim faaliyetlerini yürütmek üzere bir Üst Yönetim Gözetim Komitesi tesis edilecektir.

Kabul edilebilir risk seviyeleri ve risk iştahı kriterleri belirlenerek üst yönetim onayına sunulacak ve risklerin etkin izlenebilmesi için dinamik bir izleme sistemi oluşturulacaktır. Olası siber saldırı, veri ihlali ve kesintiler nedeniyle oluşabilecek mali zararlar için uygun bir siber güvenlik sigortasının da yaptırılabileceği öngörülmüştür.

Müşteriye sunulan hizmetlerin tamamında birbirinden bağımsız bileşenlerden oluşan kimlik doğrulama mekanizması oluşturulacaktır. Bileşenler; müşterinin bildiği, sahip olduğu ve taklit edilemeyen veya müşterinin biyometrik karakteristiğini yansıtan en az iki farklı unsurdan oluşacaktır. Müşterinin bildiği unsurun müşteri tarafından girilmesi zorunlu tutulacaktır. Ayrıca kimlik doğrulama süreçlerinde kullanılan kriptografik anahtarlar güvenli yöntemlerle üretilecek ve saklanacaktır.

Bilgi güvenliğini tesis etmek amacıyla belirli periyotlarla tarama yapılacak, üçüncü taraf yazılım ve hizmetlerdeki zafiyetler hakkında

bilgi toplayabilecek mekanizmalar kurulacak ve yılda en az bir kez tehdit simülasyon testleri yapılarak açıklar değerlendirilecektir.

Uygulama

Uygulamalarda üç kez art arda başarısız kimlik doğrulama denemesi sonucunda hesapların otomatik olarak kilitlenerek ilgililere bilgi verilmesi, beklenmedik veya limit dışı etkinliklerin tespiti için alarm mekanizmaları ve yetkisiz kişilerin hassas verileri görüntülemesinin engellenmesi için maskeleme teknikleri kullanılması, üçüncü parti kütüphanelerin güvenlik açıklarından haberdar olmaya yönelik gerekli takip mekanizmaları, tersine mühendislik girişimlerine karşı dirençli olacak şekilde kod gizleme teknikleri gibi uygulama güvenliğini tesis etmeye yönelik önlemler düzenlenmiştir.

Veri güvenliğinin tesisi için ise verilerin güvenlik seviyesine göre sınıflanıp işaretlenmesi öngörülerek ağlar arası geçiş sistemleri üzerinden transfer emirlerinin gerçekleştirilmesi durumunda uygulanacak asgari kontroller, belli kurallara uymayan verilerin karantinaya alınması, uygunluk kontrolleri, çevrim dışı güncelleme gibi hususları içermektedir. Benzer şekilde, soğuk cüzdan bileşenleri ile internete bağlı diğer sistemler arasında hava boşluğu tesis edildiği durumda transfer emirlerinin taşınması sürecinde asgari olarak uygulanacak kontroller de belirlenmiştir.

Dış kaynak yoluyla alınan hizmetlerde veri güvenliğinin sağlanması için de önlemler alınması düzenlenmiştir. Birincil ve ikincil sistemler kapsamında yer alacak soğuk cüzdan ile ilişkili kritik yazılımların barındırılacağı sunucular ve soğuk cüzdan hizmeti sürecinde kullanılacak güvenli donanım modülünün dış kaynaklarda barındırılamayacağı, birincil ve ikincil sistemlere ilişkin diğer sistem bileşenleri için ise birtakım şartların sağlanması koşuluyla dış kaynaklardan veri merkezi hizmeti alınabileceği düzenlenmiştir.

Dağıtık Defter Entegrasyonu

İşlemlerin hızlı iletilmesi, çatallanma tespiti, doğru transfer ücreti hesaplaması ve işlem doğrulama süreçleri KVHS tarafından belirlenecektir. Bu kapsamda KVHS’ler kendi çözümlerini geliştirmeyip dışarıdan hizmet alabilir, ancak sorumluluk yönetim kurulundadır.

Potansiyel riskler belirlenmeli ve risk yönetimi kapsamında gerekli kontroller uygulanmalıdır. Kritik faaliyetler öncesinde en az iki farklı dağıtık defter düğümünden alınan veriler incelenmelidir. Sistemlerin kesintisiz çalışmasını sağlamak için iş sürekliliği ve felaket kurtarma senaryoları hazırlanmalı, test edilmeli ve yedekleme sistemleri oluşturulmalıdır. Olası sorunların çözümü için destek ekipleri oluşturulmalıdır.

Dağıtık defter ağlarının performansı, güvenilirliği ve izolasyonu düzenli olarak izlenmeli ve değerlendirilmeli ve entegrasyonun uyumluluğunu sağlamak için yılda en az bir kez iç denetim gerçekleştirilmelidir. Sistem performansı ve güvenliği ile ilgili iyileştirme alanları ve sorunlar üç aylık periyotlarla yönetim kuruluna raporlanmalı ve gerekli faaliyetler planlanmalıdır.

Kripto Varlık Kilitleme

Saklama kuruluşları ve platformların kripto varlık kilitleme hizmeti vermeleri halinde uyması gereken bazı kurallar düzenlenmiştir.

Buna göre,

• Kilitleme hizmeti yalnızca sıcak cüzdanlar kapsamında yapılabilir.
• Kilitleme mekanizmaları amaç, teknik yapı ve risk profiline göre farklı kategorilere ayrılmalıdır.
• Kilitleme hizmetine ilişkin risk analizi ve değerlendirme yapılmalıdır.
• Kilitlemede kullanılan akıllı kontrat ve protokoller güvenlik denetiminden geçmiş olmalı ve yüksek riskli mekanizmalar kullanılmamalıdır.
• Kilitlemede kullanılacak mekanizmalar açık kaynak kodlu olmalıdır.
• Kilitleme ve geri çekme mekanizmasının KVHS sistemlerine entegrasyonu, doğrulama süreçleri, değişikliklerin izlenmesi ve sorun çözme süreçleri belirlenmelidir.

Geçici Hususlar

Kripto varlık saklama amacıyla kullanılan kriptografik mekanizmaların doğru ve güvenli olarak yazılım/donanıma uygulandığının ISO/IEC 19790 ve/veya Ortak Kriterler standartları kapsamında test edilmesi, doğrulanması ve değerlendirilmesi esastır. Ancak, söz konusu standartlar kapsamına alınamayan kriptografik mekanizmalar için, sorumluluk mekanizmanın kullanımına karar veren KVHS’de olmak kaydıyla, asgari bazı şartlara uyularak bu mekanizmalar kullanılabilecektir. Bu şartlar; kriptografik mekanizmalarının güvenlik denetimlerinin yaptırılması, yeterli ve etkin kontrol sağlanması ile güvenlik denetimlerinin yapılmasıdır.

Güvenli donanım modüllerine, TÜBİTAK tarafından ISO/IEC 19790 (ISO 1970) testlerinin yapılması esastır. Ancak, güvenli donanım modüllerinin testleri tamamlanıncaya kadar, yurtdışından alınan ISO 19790 veya FIPS 140-3 sertifikalı modüller kullanılabilecektir. TÜBİTAK’ın güvenli donanım modülleri için koruma profili hazırlaması durumunda, modüllerin ortak kriterler kapsamında değerlendirilmesi talep edilebilir.

Kritik yazılımların ulusal veya uluslararası kabul görmüş Koruma Profillerine göre değerlendirilmesi gereklidir.

 KVHS’ler Rehber’de belirtilen uluslararası teknik rapor ve endüstri standartlarını destekleyici unsur olarak referans alabilir.