NECEN KRİPTO VARLIK ALIM SATIM PLATFORMU A.Ş.
ACİL VE BEKLENMEDİK DURUM PLANI VE İŞ AKIŞLARI

Plan No1
Kabul Tarihi28/06/2025
Revizyon Tarihi
Revizyon No1

ACİL VE BEKLENMEDİK DURUM ÖNCESİ ALINACAK ÖNLEMLER

Acil ve beklenmedik durumun yönetimi amacıyla yapılacak işlemler aşağıda sıralanmıştır;

  • Yönetim Kurulu “Acil ve Beklenmedik Durum Planı”nın uygulanmasından sorumlu olmak üzere Genel Müdürü ve/veya Genel Müdür Yardımcısı düzeyinde olmak üzere bir çalışanını ve ona alternatif olacak başka bir çalışanı “Acil ve Beklenmedik Durum Sorumlusu” olarak atar. Sorumlu, görev yapamayacak halde olması durumunda alternatif olarak belirlenen çalışan tüm yetki ve sorumlulukları ile görev yapar.
  • Acil ve beklenmedik durum sorumluları Yönetim Kurulu kararı ile belirlenir ve bu kişilerin ünvanları, iletişim bilgileri, dışardan hizmet alınan kurumlara, Sermaye Piyasası Kurulu, Borsa İstanbul A.Ş., Merkezi Kayıt Kuruluşu A.Ş., İstanbul Takas ve Saklama Bankası A.Ş.’ye ve Sermaye Piyasası Kurulu’nun belirleyeceği diğer kuruluşlara bildirir.
  • Acil ve beklenmedik durum sorumlusu her yıl olağan toplantı yaparak acil ve beklenmedik durumlarla ilgili plan ve iş akışlarının güncelliğini kontrol eder. Acil ve beklenmedik durum sorumlusunun çağrısı üzerine toplantı tarihi beklemeden de toplantı yapılabilir. “Acil ve Beklenmedik Durum Planı” ve buna ilişkin prosedürlerde günün şartları gereği herhangi bir değişiklik yapılmak istendiğinde, bu değişiklik Yönetim Kurulu tarafından onaylanacaktır. Ayrıca, “Acil ve Beklenmedik Durum Planı”nın uygulanmasından sorumlu kişilerin değişmesi durumunda yine sorumlu kişiler Yönetim Kurulunca atanacak ve bu kişilere ait unvan ile e-posta adresi, telefon ve faks numaraları dahil her türlü iletişim bilgileri, dışardan hizmet alınan kurumlar, SPK, Borsa İstanbul A.Ş. , Merkezi Kayıt Kuruluşu A.Ş., İstanbul Takas ve Saklama Bankası A.Ş. ve Sermaye Piyasası Kurulu tarafından belirlenecek diğer kuruluşlara bildirilecektir.
  • Acil ve beklenmedik durum sorumlusunun öncelikli görevi, acil ve beklenmedik durumun herhangi bir şekilde insan sağlığına olumsuz bir etkisinin olmadığından emin olmaktır. Bu gereksinim karşılandıktan sonra acil ve beklenmedik durum sorumlusu aşağıdaki diğer gereksinimleri de karşılamaktan sorumludur;
    • Çalışma ortamının kullanılamaz hale gelmesi, bilgi işlem sistemlerinin devamlılığının sağlanamaması ve çalışma ortamı ile bilgi sistemlerinin kısa sürede giderilemeyecek ölçüde hasara uğraması,
    • Çalışma ortamı fiziken sağlam olmakla birlikte çalışmaların devamlılığını engelleyen kesintiye uğratan genel olarak sistemin sağlıksız çalışmasına yol açan nedenlerin ortaya çıkması,
    • hallerinde hangisine uygun olduğunun tespit edilmesi ve yapılan durum tespiti doğrultusunda gerekli tedbirlerin alınmasıdır. Acil ve beklenmedik durumun önem derecesini belirleyerek personeli izinden çağırmak, geçici görevlendirme yapmak ve şirketin rutin faaliyetlerini sürdürmeye yönelik kararlar alma konusunda yetkilidir.
  • Şirket‘in “Acil ve Beklenmedik Durum Planı”nın uygulanmasından sorumlu kişilerin tam listesine EK-1’de “Sorumlu Listesi” dokümanında yer verilmiştir.
  • “Acil ve Beklenmedik Durum Planı”nın uygulanmasından acil durum sorumlusu, sorumlu olmakla birlikte, acil ve beklenmedik bir durum meydana geldiğinde kural olarak bütün Şirket personeli Şirket, müşteri ve personelin karşılaşacağı risklerin giderilmesinde görevli ve sorumludur. Personel söz konusu görev ve sorumluluklarını acil ve beklenmedik durum sorumlusunun yönlendirme ve koordinasyonu altında yerine getirir. İzinli personel, acil ve beklenmedik durumun oluşması halinde acil ve beklenmedik durum sorumlusuna ulaşma sorumluluğu altındadır.
  • Şirket personeli, acil ve beklenmedik durumlarda, acil ve beklenmedik durum sorumlusunun kontrol ve koordinasyonu altında hareket ederek, bu planda yer alan görev dağılımına uygun olarak görev ve sorumluluklarını yerine getirmek, yardım, kurtarma ve koruma çalışmalarına katılmak, durumun normale dönmesi için en üst düzeyde çaba göstermekle yükümlüdür.

Mali Tablo ve Mevcut Mevzuat Uyarınca Tutmakla Yükümlü Olunan Her Türlü Kayıt ve Kıymetli Evrakın Saklanması

Mali tablolar ve mevcut mevzuat uyarınca tutmakla yükümlü olunan her türlü kayıt ile kıymetli evrakın basılı olarak ve/veya elektronik ortamda Türk Ticaret Kanunu’nun 82’nci maddesi ile sermaye piyasası mevzuatı uyarınca saklanması gerekli her türlü müşteri sözleşmeleri, onaylı talimatlar, dışarıdan alınan hizmetlere ilişkin sözleşmeler, yönetim kurulu karar defteri vb. defter, kayıt ve evrak basılı olarak Şirket nezdinde fiziki olarak saklanmaktadır. Belgelerin dijital olarak saklanmasına ilişkin hükümler saklıdır. Ayrıca kayıtların tümü elektronik ortamda yedekleri alınarak korunmaktadır. Kayıtların zarar görmesi ya da kayıtlara erişilememesi durumunda sistem üzerinden tekrar üretilebilmesi mümkündür.

Şirket Faaliyetinin Aralıksız Sürdürülebilmesi

Acil ve beklenmedik durumlarında Şirket’in faaliyetlerinin aralıksız sürdürülebilmesine yönelik olarak devamlılığının sağlanması amacıyla bilgi sistemleri kritik fonksiyonlara cevap verecek şekilde yapılandırılmıştır. Bilgisayar sistemlerinin yedeklemesi bilgi sistemleri hizmeti alınan kurumun bilgi işlem personeli tarafından yapılır. Şirket ve kripto varlık muhasebe verileri sistemli bir şekilde yedeklenmekte, ayrıca yedek olarak oluşturulan kopyalar hizmet sağlayıcı tarafından farklı lokasyonlarda en az beş yıl süre ile saklanmaktadır.

Şirket’in ana ve kritik süreçlerini destekleyen bilgi işlem sistemlerinin yedeği, iş sürekliliğini sağlamak üzere alternatif çalışma merkezi … adresinde bulundurulmaktadır. Söz konusu lokasyonda çalışanların bağlandığı çalışma ortamı ile yedeklerin tutulduğu ortam ayrı ayrıdır. Bu alternatif lokasyonlarda günlük işleyiş için veri sağlayıcılar tesis edilmiş ve faaliyetlerimizin kesintisiz sürdürülebilmesi için gerekli tüm ofis programları ile bilgi erişim sistemleri yüklenmiştir. Aylık bazda kullanılan programların versiyonları kontrol edilerek son versiyonun alternatif lokasyondaki varlığı denetlenmektedir. İşlemlerin sürekliliği için gereken telefon, faks, yazıcı vb. teknik cihazlar ve tesisler kullanıma hazır durumda bulundurulmaktadır.

Mali ve Bilgi İletişim Altyapısı Dahil Olmak Üzere Operasyonel Risk Değerlendirmesi

Operasyonel Risk değerlendirmeleri, tüm birimlerin desteği ile yapılır ve gerekli yerlerde aksiyon alınır. Mali ve bilgi iletişim altyapısı dahil olmak üzere operasyonel risk değerlendirmesi konusunda, elektrik kesintisi, yangın, deprem, sabotaj, klimaların bozulması, teknoloji altyapısında oluşabilecek kesintiler başlıca risk konularını teşkil etmektedir.

Operasyonel riskler değerlendirildiğinde, ikinci madde ile belirtilen altyapı sayesinde şirket faaliyetlerini engelleyecek riskler asgari düzeye indirilmiş durumdadır. Mali anlamda Şirket ve kripto varlıkların finansal varlıkları saklayıcı kuruluş ve varsa diğer finansal kurumlar nezdinde saklanmaktadır.

Şirket merkezinde nakit kasası bulundurulmamakta olup, Şirketin günlük faaliyeti için gerekli tahsilat ve ödemeler dahil olmak üzere tüm ödemeler ve tahsilatlar banka hesapları üzerinden gerçekleştirilmektedir. Plan düzenli olarak gözden geçirilerek, sistem testleri ve kontrolleri yapılarak faaliyetlerin sürekliliği hedeflenmiştir.

Deprem, sabotaj, klima sorunları için bina yönetimiyle koordineli güvenlik tedbirleri alınmıştır. Şirket giriş çıkışları kameralarla kayıt altına alınmaktadır.

İletişim alt yapısı, işin sürdürülmesinde önemli unsurlardan biridir. Olağan yapıda, e-posta, iş telefonu ve yöneticilerin kullanımına sunulan cep telefonları ile iletişim sağlanmaktadır. Olağanüstü durumlarda gerekmesi durumunda personelin cep ve ev telefonu, özel e-posta adresi, sosyal iletişim ağları da iletişim için kullanılabilir. Son kullanıcı teknik altyapısı, son kullanıcı tarafında kullanılacak PC ve monitör için donanım standartları belirlenmiş ve bu standartları karşılayan ürünler kullanılmıştır. Arıza durumunda, yedek makine iş sürekliliğini aksatmayacak şekilde devreye alınmak üzere gerekli planlama yapılmıştır. Teknoloji altyapı, teknoloji altyapısında oluşabilecek kesinti riskleri değerlendirilerek, altyapı bileşenleri bu riskleri minimize edecek şekilde tasarlanmıştır. Sunucu güvenliği, Şirket dahilindeki teknolojik ihtiyaçları karşılamak amacıyla konumlandırılan sunucuların büyük bir bölümü yedeklilik sağlayacak şekilde konfigüre edilmiştir.

Hizmet Verilen Kişilerle Alternatif İletişim Kanallarının Tedariki ve Sürekliliğinin Sağlanması

Acil ve beklenmedik durum hallerinde, iletişim kanallarının işlerliğini tespit ettikten sonra, hizmet verilen kişilerle sabit ve mobil telefon, anlık mesajlaşma uygulaması, e-posta, sms ile iletişim kurulacaktır. Tüm kanalların kapalı olduğu durumlarda ise Şirket internet sitesinden genel bilgilendirmeler yapılarak ulaşım ve iletişim kanalları açık tutulur.

Şirket ve Personeliyle Alternatif İletişim Kanallarının Tedariki ve Sürekliliğinin Sağlaması

Şirket personelinin iletişim bilgileri ile ikamet ettikleri adresleri güncel olarak tutulur. Acil ve beklenmedik durum karşısında, alternatif iletişim kanalları kullanılarak personel ile irtibat kurulur. İletişim kanalı olarak sabit ve mobil telefon, anlık mesajlaşma uygulaması, e-posta, sms kullanılabilir. Şirket personelinin evden kesintisiz şekilde bağlantı kurabilmesi için dizüstü bilgisayarlar tahsis edilmiş, gerekli uygulamaların kurulumları yapılmış ve uzak bağlantılara hazır hale getirilmiştir.

Alternatif Şirket Merkezi ve Merkez Dışı Örgütlerinin Tespit Edilmesi

Şirket merkezinin acil ve beklenmedik durumlar sonucu kullanılamaz hale gelmesi durumunda alternatif Şirket merkezi ve buluşma yeri olarak Mansuroğlu mh. Ankara Cd. No:73/1 D:601 Bayraklı / İzmir adresindeki co-working ofisi belirlenmiştir. Acil ve beklenmedik durum halinde şirketin çalışma mekanı kullanılamaz hale gelmiş ise bilgi sistemlerinin uzaktan erişim modeli mevcut olduğundan, Plan sorumlularının belirlediği lokasyonda ve/veya internet erişimi olan herhangi bir mekanda çalışmalarına devam edeceğini, personeline ve müşterilerine en hızlı biçimde bildirilir. Günün koşulları ve ortaya çıkan acil durumun yapısı dikkate alınarak alternatif merkeze günün koşullarında karar verilecektir. Diğer yandan Şirket herhangi bir üretim yapmadığı için spesifik özellikte bir iş alanına ihtiyacı bulunmamaktadır. Bu nedenle personelin dışarıdan çalışması da söz konusudur. Bu tür bir durumda Şirket yedeklenen kayıtlarını kullanarak kısa sürede faaliyetlerine kaldığı yerden geri dönebilecek durumdadır.

Acil ve Beklenmedik Durumun Karşı Tarafa Olası Etkileri Hakkında Değerlendirme

Hizmet verilen kripto varlıklara ait varlıkların tamamı saklama hizmetini yürüten kuruluş tarafından saklanmaktadır. Acil ve beklenmedik durum karşısında herhangi bir kayıp olması söz konusu değildir. Bu tür bir durumun ortaya çıkması halinde ilgili kripto varlık platformu saklayıcının, Merkezi Kayıt Kuruluşu’nun ve hizmet alınan saklama kuruluşunun acil ve beklenmedik durum planları geçerli olacaktır. Tüm kayıtlar yedeklendiğinden herhangi bir bilgi kaybı da söz konusu olmayacaktır. Dolayısıyla, Şirket’te yaşanan acil ve beklenmedik durum nedeniyle müşterilerin para ve finansal varlıklarının Şirket’te zayi olması gibi bir durum söz konusu değildir. Ayrıca, Şirketimiz nezdinde müşteri varlıkları ve işlemleri kaydi olarak izlenmektedir. İlgili varlıklar Şirket veri tabanlarında saklanmakta ve yedeklemesi yapılmaktadır.

Ayrıca acil ve beklenmedik durumun, müşteriye etkilerinin minimum düzeyde olması için müşterilerin ulaşabileceği telefon numaraları Şirket'in internet sitesinde yayınlanacaktır veya e-posta, kısa mesaj (SMS) yardımıyla Şirket müşterilerine ulaştırılacaktır.

Kurul’un Alınan Önlemler Hakkında Bilgilendirilmesi

Planın uygulanmasından sorumlu kişiler, acil ve beklenmedik durum ve buna karşı alınan önlemleri ivedilikle Kurul’a bildirir. Planın uygulanmasından sorumlu kişilerin yokluğu halinde Şirket’in mevcut en üst düzey yöneticisinin talimatlarına uyulacaktır. Alınan önlemler hakkında SPK’nın bilgilendirilmesi ve rutin zorunlu bildirimler Ek-1’de yer alan Acil ve Beklenmedik Durum Sorumluları tarafından koordine ve kontrol edilir. SPK, TSPB, Borsa İstanbul, Takasbank ve diğer kuruluşlara yapılması zorunlu olan rutin bildirimlerin aksamadan süresi içinde yapılması üst düzey yönetimin koordinasyonunda sağlanır. Mevcut durum değerlendirmesi sonrası en uygun yöntem kullanılarak yazılı veya sözlü olarak aksamadan süresi içinde yapılacaktır. Bildirimler Şirket kayıtlarının yedeklerinin kullanılmasıyla gerçekleştirilecektir.

Dışarıdan Hizmet Alımlarında Bu Alımlara İlişkin İş Akış Prosedürlerinin Oluşturulması ve Gerekli İç Kontrol Mekanizmalarının Kurulması

Şirket, kripto varlık hizmet birimi ile bilgi sistemlerine ilişkin hizmetlerini dışarıdan hizmet alım sözleşmesi kapsamında kripto varlık hizmetlerine ilişkin hizmetleri bilgi sistemlerine ilişkin hizmetleri (…..) kuruluşundan temin etmektedir. Dışarıdan hizmet alımlarında bu alımlara ilişkin iş akış prosedürleri oluşturulmuş ve gerekli iç kontrol mekanizmaları kurulmuştur. Söz konusu hizmetleri yerine getirecek personelin gerek ilgili hizmete ait prosedürde, iş akışında ve gerekse görev tanımlarında yer aldığı şekilde işin niteliklerine sahip olması Şirket tarafından dışarıdan alınan hizmet, hizmet sağlayıcı kuruluşların, sağlanacak hizmeti istenilen kalitede gerçekleştirebilecek düzeyde teknik donanım, altyapı, mali güç, tecrübe, bilgi birikimi, insan kaynağı ve alınan hizmetlerin kesintiye uğraması/aksaması durumunda uygulamaya konulacak bir eylem planına sahip olup olmadığı tespit edilerek imzalanan sözleşme kapsamında yürütülür. Dışarıdan hizmet alımları yapılan kurumlardan iş sürekliliği yönetim planları alınarak, planlarımız arasına dahil edilecektir.

Dışarıdan Hizmet Alımından Doğabilecek Riskler ile Hizmetlerin Herhangi Bir Surette Teknik Olarak Kesintiye Uğraması veya Aksaması Durumunda Alınacak Önlemler

Şirket’in Bilgi İşlem Hizmetleri Prosedürü’nde İş Etki Derecesi ve Müdahale Süresi tanımlarında aktarılan sürelere uyulmaması, iki katı ve daha fazla süre içinde müdahale edilmemesi ve bu durumun Şirket genel işleyişini bozabilecek nitelikte olması halinde genel ve işe özel şekilde olay durum raporları istenir. Olay durum raporları üst yönetim tarafından değerlendirilir. Hizmet kesintisine sebep verebilecek öngörülerde yedek lokasyona geçiş değerlendirilebileceği gibi aynı zamanda hizmetin ikamesi için planlama da yapılır. İkame edilecek hizmet için gerekli her türlü dokümantasyon ve bilginin aktarılması dışarıdan hizmet alınan kurum tarafından yapılır. İkame edilecek hizmetin servis sağlayıcısı seçimi yapılmasına müteakip üst yönetim onayıyla gerekli devir işlemleri gerçekleştirilir.

Plan, Şirket yönetim kurulu tarafından onaylandığı tarih itibarıyla yürürlüğe girer. Ayrıca Şirket internet sayfasında yayınlanır. Kripto varlık platformu sözleşmelerinin imzalanması sırasında bu planın bir sureti karşı tarafa verilir.

Şirketçe Faaliyete Devam Edilemeyeceği Yönünde Karar Verilmesi Durumunda Müşterilerin Hesaplarına Erişimi ve Söz Konusu Hesapların Başka Bir Şirkete Devri

Alınan tüm bu önlemler ve kurulan altyapı sayesinde faaliyetlerimizin devamlılığı planlanmıştır. Müşterilere ait varlıklar ve kripto varlık platformuna ilişkin tüm işlemler şirket nezdinde kaydi olarak izlenecektir. Şirketimizden bağımsız olarak Saklama Kuruluşu’nda saklandığından, herhangi bir risk öngörülmemiştir. Yönetim Kurulu’nun, acil ve beklenmedik durum nedeniyle şirketin faaliyetine devam edemeyeceği yönünde karar alması durumunda, müşterilerin hesaplarına erişimi ve ilgili kripto varlık saklama kuruluşu ile teması sağlanacak, istenirse müşterilerin mağdur olmaması ve işlemlerine devam edilebilmesi için kıymetlerin aktarımı konusunda müşterinin onayı alınmak suretiyle başka bir şirkete devrinin sağlanması için, her türlü destek verilecektir. (Burada BİAŞ’ın Takasbank’ın, MKK’nın ve Bankaların faaliyetlerine devam ettiği varsayılmaktadır.) Kripto varlık saklama sözleşmesi kapsamında müşteri varlıkları müşteri bazında kripto varlık platformu saklayıcı kuruluş nezdinde saklanmakta olup, müşteriler hesaplarına internet aracılığı ile diledikleri zaman ulaşabilmektedir.

AMAÇ

Bu planın amacı, Necen Kripto Varlık Alım Satım Platformu Anonim Şirketi’nin (Şirket), acil ve beklenmedik durumlarda müşterilerine, yatırım kuruluşlarına, piyasa katılımcılarına ve üçüncü taraflara karşı yükümlülüklerini yerine getirme koşullarını, yöntemlerini, prosedürlerini belirlemek ve Şirket’in müşterilerine, aracı kurumlara, piyasa katılımcılarına ve üçüncü taraflara karşı olan yükümlülüklerini yerine getirmesine devam edebilmesi ile olası kayıpların en aza indirgenmesine yönelik Acil ve Beklenmedik Durum Planı ile iş akış prosedürlerini ortaya koymaktır.

KAPSAM

Bu plan; bilgi sistemleri, müşteri hesapları, işlem platformları, insan kaynakları, operasyon, bilgi güvenliği ve iletişim altyapısı dahil olmak üzere tüm iş birimlerini kapsar. Plan, hem operasyonel hem de dijital varlıklara yönelik olağanüstü durumlar için geçerlidir.

DAYANAK

  • 6362 sayılı Sermaye Piyasası Kanunu
  • SPK III-35/B.1 sayılı Tebliğ (madde 5, 9 ve 12)
  • SPK VII-128.10 sayılı Bilgi Sistemleri Tebliği (madde 17, 19 ve 24)
  • ISO/IEC 22301 İş Sürekliliği Standardı

TANIMLAR

  • Borsa İstanbul/BİAŞ: Borsa İstanbul A.Ş.’yi
  • Kurul, SPK: Sermaye Piyasası Kurulu’nu
  • MKK: Merkezi Kayıt Kuruluşu’nu
  • Müşteri: Hizmet Alım Sözleşmesi çerçevesinde hizmet alan kolektif yatırım kuruluşları ile gerçek/tüzel kişileri
  • Plan: Şirket’in Acil ve Beklenmedik Durum Planı’nı
  • Şirket: Necen Kripto Varlık Alım Satım Platformu A.Ş.’yi
  • Takasbank: İstanbul Takas ve Saklama Bankası A.Ş.’yi
  • Tebliğ: Sermaye Piyasası Kurulu’nun III-35/B.1 sayılı Kripto Varlık Hizmet Sağlayıcıların Kuruluş Ve Faaliyet Esasları Hakkında Tebliği’ni
  • TSPB: Türkiye Sermaye Piyasaları Birliği’ni
  • Üst Yönetim: Şirket’in yönetim kurulu başkan ve üyeleri, genel müdür, genel müdür yardımcıları ve sermaye piyasaları ile ilgili birimlerin yönetiminden sorumlu kişiler ile bu kişilerin bağlı olduğu yöneticilerini

ACİL VE BEKLENMEDİK DURUMUN TANIMI

Şirketin olağan faaliyetlerini kesintiye uğratacak ve/veya hizmet sunmasını engelleyecek acil ve beklenmedik durumlar, bunlarla sınırlı olmamak üzere aşağıda tanımlanmıştır:

  • Doğal afetler (Deprem, Yangın, Fırtına, Sel, vb.)
  • Şirket veya Şirket’e dışarıdan hizmet sağlayan kuruluşların mahallinde ve/veya faaliyet gösterdiği binada meydana gelen beklenmedik durumlar (yangın, patlama, su baskını, sistem odası klima arızası vb.)
  • Terörist saldırılar, savaş, halk ayaklanması vb.
  • Şirketin çalışması için birinci ve ikinci derecede gerekli olan altyapı eksiklikleri, uzun süreli elektrik ve telefon kesintileri, su ve yakıt kaynaklarındaki olumsuzluklar
  • Şirket’in veya Şirket’e dışarıdan hizmet sağlayan kuruluşların bilgi işlem ve iletişim sistemlerinin çalışamaz hale gelmesi, izinsiz ve zarar verme amaçlı yapılan elektronik saldırılar, girişler ve virüsler
  • Finansal piyasalarda meydana gelebilecek beklenmedik durumlar nedeniyle işlemlerin durması, tahsilat ve ödeme sistemlerinin çalışmaması
  • Hastalık, iş bırakma, trafik kazası gibi nedenlerle personelin büyük bölümünün işe gelememesi/gelmemesi
  • Şirket yetkilileri tarafından verilecek karar ve talimat sonrasında ilan edilecek herhangi bir durum

Acil ve beklenmedik bir durum halinde Şirket çalışanlarının, işbu Plan dâhilinde hareket etmesi sağlanır.

DAYANAK VE SORUMLULUK

Bu Plan, Sermaye Piyasası Kurulu’nun III-35/B.1 sayılı Kripto Varlık Hizmet Sağlayıcıların Kuruluş Ve Faaliyet Esasları Hakkında Tebliği’ne ve ilgili diğer mevzuat hükümlerine dayanılarak düzenlenmiştir. Plan, Şirket Yönetim Kurulu tarafından onaylanır. Planın uygulanmasından sorumlu kişiler en az genel müdür yardımcısı (olmaması halinde genel müdür) düzeyinde bir Şirket personeli ve bu kişiye alternatif olarak belirlenecek bir başka Şirket personeli olmak üzere Şirket Yönetim Kurulu kararı ile belirlenir ve bu kişilere ait unvan ile her türlü iletişim bilgileri SPK, İstanbul Takas ve Saklama Bankası A.Ş., Merkezi Kayıt Kuruluşu A.Ş. ve diğer ilgili kuruluşlara genel müdür tarafından bildirilir.

Acil ve beklenmedik durum nedeniyle, bilgi işlem sistemlerinin devamlılığın sağlanamaması ve/veya meydana gelen hasarın giderilebilmesi için uzun süreye ihtiyaç duyulması, çalışma ortamının fiziksel olarak elverişli olmaması halinde durum tespitinin yapılarak hangi tedbirlerin alınması gerektiği planın uygulanmasından sorumlu kişilerin öncelikli görevidir. Planın uygulanmasından sorumlu kişiler tarafından, planda oluşturulan iş akış prosedürlerinin yeterlilikleri, yıllık olarak Şirket’in faaliyetleri ile şube açılması veya kapanması şeklinde örgütlenme yapısındaki değişiklikler dikkate alınarak gözden geçirilir ve söz konusu prosedürlerde gerekli değişiklikler yapılır.

Acil ve beklenmedik durum sorumlusu her yıl olağan toplantı yaparak acil ve beklenmedik durumlarla ilgili plan ve iş akışlarının güncelliğini kontrol eder. Acil ve beklenmedik durum sorumlusunun çağrısı üzerine toplantı tarihi beklemeden de toplantı yapılabilir. “Acil ve Beklenmedik Durum Planı” ve buna ilişkin prosedürlerde günün şartları gereği herhangi bir değişiklik yapılmak istendiğinde, bu değişiklik Yönetim Kurulu tarafından onaylanacaktır. Ayrıca, “Acil ve Beklenmedik Durum Planı”nın uygulanmasından sorumlu kişilerin değişmesi durumunda yine sorumlu kişiler Yönetim Kurulunca atanacak ve bu kişilere ait unvan ile e-posta adresi, telefon ve faks numaraları dahil her türlü iletişim bilgileri, dışardan hizmet alınan kurumlar, SPK, Borsa İstanbul, Merkezi Kayıt Kuruluşu A.Ş., İstanbul Takas ve Saklama Bankası A.Ş. ve Kurul tarafından belirlenecek diğer kuruluşlara bildirilecektir.

Acil ve beklenmedik durum sorumlusunun öncelikli görevi, acil ve beklenmedik durumun herhangi bir şekilde insan sağlığına olumsuz bir etkisinin olmadığından emin olmaktır. Bu gereksinim karşılandıktan sonra acil ve beklenmedik durum sorumlusu aşağıdaki diğer gereksinimleri de karşılamaktan sorumludur;

  • Çalışma ortamının kullanılamaz hale gelmesi, bilgi işlem sistemlerinin devamlılığının sağlanamaması ve çalışma ortamı ile bilgi sistemlerinin kısa sürede giderilemeyecek ölçüde hasara uğraması
  • Çalışma ortamı fiziken sağlam olmakla birlikte çalışmaların devamlılığını engelleyen kesintiye uğratan genel olarak sistemin sağlıksız çalışmasına yol açan nedenlerin ortaya çıkması, hallerinde hangisine uygun olduğunun tespit edilmesi ve yapılan durum tespiti doğrultusunda gerekli tedbirlerin alınmasıdır. Acil ve beklenmedik durumun önem derecesini belirleyerek personeli izinden çağırmak, geçici görevlendirme yapmak ve şirketin rutin faaliyetlerini sürdürmeye yönelik kararlar alma konusunda yetkilidir.

GÖREV VE SORUMLULUKLAR

YetkiliSorumluluk
Acil Durum Koordinatörü (Genel Müdür tarafından atanır)Kriz yönetimini yönlendirir, acil müdahale planını aktive eder.
Bilgi Güvenliği BirimiSistem yedeklemelerini devreye alır, saldırı/ihlal kayıtlarını analiz eder.
İç Kontrol ve Risk Yönetimi BirimiEtkilenen iş süreçlerini raporlar, olay sonrası risk değerlendirmesi yapar.
İnsan KaynaklarıGüvenli tahliye, uzaktan çalışma planı ve personel bilgilendirmesini sağlar.

İŞ SÜREKLİLİĞİ STRATEJİSİ

  • Platform sistemleri günlük yedeklenmekte olup, yedek veriler coğrafi olarak ayrılmış bir merkezde 256-bit şifreleme ile korunur.
  • Kritik personel listesi ve iletişim zinciri güncel tutulur.
  • Alternatif lokasyon planı mevcuttur (bulut sistem üzerinden erişim).
  • Her 6 ayda bir iş sürekliliği testi gerçekleştirilir ve raporlanır.

İLETİŞİM PROSEDÜRÜ

  • Acil durumda, kurum içi iletişim e-posta ve telefon zinciriyle, kurum dışı iletişim ise resmi e-posta adresi, internet sitesi ve sosyal medya üzerinden gerçekleştirilir.
  • SPK ve ilgili denetleyici kurumlara olay 24 saat içinde raporlanır.

EĞİTİM VE TEST FAALİYETLERİ

  • Tüm çalışanlara yılda en az 1 kez “acil durum simülasyonu” yapılır.
  • Eğitim katılımı zorunlu olup, İnsan Kaynakları tarafından kayıt altına alınır.
  • Gerçekleştirilen testlerin sonuçları iç denetim birimi tarafından raporlanır.

ŞİRKET ACİL VE BEKLENMEDİK DURUM İŞ AKIŞI

  1. Acil ve Beklenmedik Durum Planı’nda belirtilen acil durumun ortaya çıkması.
  2. Acil ve beklenmedik durumun haber alınması sonrasında acil ve beklenmedik durum sorumlusunun çağrısı üzerine plan işletime alınır. Plan kapsamında belirlenen sorumlular şirket genel merkezinde, bu mümkün değilse belirlenen alternatif merkez veya merkezlerde derhal toplanır. Personel belirlenen görev dağılımına uygun olarak görevlerinin başına geçer. Acil ve beklenmedik durum sorumlusu, gerekli durumlarda görev dağılımının dışında görevlendirmeler yapabilir. Şirket ve çalışanlarıyla alternatif iletişim kanallarının tedariki ve sürekliliğinin sağlanması hususunda, tüm Şirket çalışanların ev ve cep numaraları tüm personelde bulunacaktır. Mali tablolar ve mevcut mevzuat gereği tutmakla yükümlü olduğu muhasebe işlemlerinin her türlü kayıt ile kıymetli evrak, basılı olarak ve elektronik ortamda saklanmaktadır. Belgelerin saklanmasında Türk Ticaret Kanunu’nun 82nci maddesine uygun davranılır. Şirket’in faaliyetlerini aralıksız sürdürebilmesi, bilgi işlem sistemlerinin devamlılığının sağlanabilmesi için elektronik kayıt yedekleri alınarak ve 10 yıl süreyle saklanacaktır. Müşteriler, dışardan hizmet alınan firmalar ve Şirket çalışanlarıyla alternatif iletişim kanallarının tedariki sağlanması amacıyla Şirket yönetimince, personelle iletişim sağlanır. Aynı şekilde müşterilere, dışardan hizmet alınan kurumlara, SPK’ya, BİAŞ’a, MKK‘ya ve Takasbank’a yapılması gereken işlemler ve bilgilendirilmeler personel tarafından cep telefonları veya e-posta kanalıyla yapılacaktır.
  3. Plan sorumlularının olaya müdahale etmesi ve hasar tespitinde bulunması. Acil ve beklenmedik durum meydana geldiğinde, çözüm yollarının ve yöntemlerinin belirlenebilmesi, acil ve beklemedik durum sorumlusu tarafından yapılır. Durumun neden ortaya çıktığı belirlenir. Acil ve beklenmedik durum sorumlusu bunu personele ve Yönetim Kurulu’na bildirir. Acil ve beklenmedik durum sorumlusu, acil ve beklenmedik durum sonucunda Şirket, personel ve müşteri açısından ortaya çıkan ya da çıkması muhtemel risk ya da hasar ölçümünü yapar. Uzmanlık gerektiren durumlarda bir uzmanın bilgisine başvurulur. Değerlendirme sonuçları e-posta veya sözlü olarak Yönetim Kurulu’na bildirilir.
  4. Bildirimlerin Yapılması ve Yardım İstemesi: Acil ve beklenmedik durum sorumlusu tarafından acil ve beklenmedik durumla ilgili olarak bilgilendirilen personel, ortaya çıkan acil ve beklenmedik durumun risk ve hasar derecesine göre kamu güvenlik birimlerine, kurtarma birimlerine, sermaye piyasasının düzenleyici ve denetleyici otoritelerine, çalışılan bankalara, sigorta şirketlerine, dışardan hizmet alınan kurumlara ve ilgili diğer kurum ve kuruluşlara bildirimde bulunur, gerekirse yardım ister. Acil ve beklenmedik durum sorumlusu söz konusu bildirimlerin yapılmasını koordine ve kontrol eder. Çalışma ortamı fiziken sağlam iken çalışmaların kısa süreli olarak sağlıksız çalışmasına yol açacak nedenlerin ortaya çıkması halinde; işlemlerin diğer iletişim yöntemleriyle gerçekleştirilmesi için gereken önlemler acil ve beklenmedik durum sorumlusu tarafından alınır. Alınan önlemler hakkında SPK’nın bilgilendirilmesi ve rutin zorunlu bildirimler acil ve beklenmedik durum sorumlusu tarafından koordine ve kontrol edilir. SPK, TSPB, Borsa İstanbul, Takasbank ve diğer kuruluşlara yapılması zorunlu olan rutin bildirimlerin aksamadan süresi içinde yapılmasını sağlanır.
  5. Acil ve Beklenmedik Durumda Alternatif Hizmet Kanalları: Şirketin hizmet verdiği işyeri merkezinin kullanılamaz olması durumunda, hizmete devam edilecek alternatif adres olarak Mansuroğlu mh. Ankara Cd. No:73/1 D:601 Bayraklı / İzmir belirlenmiştir. Burada da hizmete devam etmesinin mümkün olmaması durumunda acil ve beklenmedik durum sorumlusu tarafından, uzaktan çalıma prosedürü değerlendirmeye alınır ve lokasyon planlaması yapılarak, en hızlı biçimde personel, müşteri ve diğer ilgili yerlere duyurur. Acil ve beklenmedik durum sorumlusu, acil ve beklenmedik durum nedeniyle hizmet kanallarının işlerliğini tespit eder. Hizmet kanallarının kesilmesi durumunda hizmetin aksamadan devam etmesini sağlamak için alternatif olarak kullanılabilecek hizmet kanallarını tespit eder ve kullanıma geçirilmesini sağlar. Acil ve beklenmedik durum sorumlusu tespit edilen alternatif hizmet kanallarını personele bildirir. Acil ve beklenmedik durum sorumlusu, tespit edilen alternatif hizmet kanallarının personelce müşterilere, dışardan hizmet alınan kurum yetkililerine bildirilmesini koordine ve kontrol eder.
  6. Sorumlular tarafından yapılan değerlendirmede;
    • Mevcut durumun kriz olarak değerlendirilmemesi durumunda; normal çalışıma dönülmesi.
    • Mevcut durumun kriz olarak değerlendirilmesi durumunda; tespite ilişkin Şirket genel müdür ve genel müdür yardımcılarına derhal bilgilendirme yapılması.
    • Dışarıdan hizmet alınan hizmetleri de etkileyen acil ve beklenmedik durumun olması halinde dışarıdan hizmet alınan kurumların konuyla ilgili bilgilendirilmesi.
  7. Sorunun Çözülmesi ve Çalışmalara Başlanması: Acil ve beklenmedik durum öncelikle Şirket imkânları ile çözümlenmeye çalışılır. Çalışmalarda personel ve müşteri güvenliği için öncelikli önlemler alınır. Acil ve beklenmedik durumlarda, görev dağılımına bağlı olmaksızın görevlendirmeler yapabilir. Acil ve beklenmedik durumun ortadan kaldırılmasında Şirket imkânlarının yeterli olamaması durumunda hangi kamu kurumlarından ve/veya özel kuruluşlardan yardım alınması gerektiği saptanır. Acil ve beklenmedik durum sorumlusu acil durumun etkilerinin Şirket imkânları ile veya dışardan yardım alarak ne kadar süre içinde ve ne şekilde ortadan kaldırılacağını Yönetim Kurulu’nun bilgisine sunar. Yönetim Kurulu’nun e-posta veya sözlü onayını alarak durumun ortadan kaldırılması için gerekli işlemlerin yapılmasını sağlar. Acil ve beklenmedik durum sorumlusu gecikmesinde sakınca bulunan hallerde Yönetim Kurulu’na ulaşmakta zorluk yaşanması durumunda Yönetim Kurulu’nun onayı olmaksızın gerekli önlemleri alarak uygulama yetkisine sahiptir. Acil ve beklenmedik durumlarda çalışmalara tekrar başlanmadan önce acil ve beklenmedik durum sorumlusu tarafından durum değerlendirilmesi yapılır.
  8. Sorumlular tarafından yapılan değerlendirme neticesinde;
    • Acil ve Beklenmedik Durum Planı’nın 5. Bölümü’nde yer alan işlemler uygulanmaya başlanarak çalışma başlatılır ve Şirket genel müdür ve genel müdür yardımcılarına bilgilendirme yapılır.
    • Yapılan çalışmalar neticesinde acil ve beklenmedik durumunun ortadan kalkması halinde normal iş süreçlerine dönülür.
    • Yapılan çalışmalar neticesinde acil ve beklenmedik durumunun devam etmesi halinde çalışmalara devam edilir.
  9. Sonuç raporu: Acil ve beklenmedik durumun ortadan kalması neticesinde acil ve beklenmedik durumu başından itibaren değerlendiren bir rapor düzenlenerek üst yönetime yazılı rapor düzenlenerek sunulur.

PLANIN GÖZDEN GEÇİRİLMESİ

Bu plan yılda en az bir defa veya önemli bir sistem değişikliğini takiben gözden geçirilir. Revizyonlar Risk Yönetimi Birimi koordinasyonunda gerçekleştirilir.

SORUMLULUK

Şirket hizmet verdiği kişilere acil ve beklenmedik durumlarda iş sürekliliğinin nasıl sağlanacağı ve buna ilişkin iş akış prosedürleri hakkında bilgi vermekle yükümlüdürler. Söz konusu bildirimin kripto varlık platformu sözleşmesi imzalanması sırasında ve ayrıca Şirketin internet sayfası aracılığıyla yapılması zorunludur.

YÜRÜRLÜK

Plan, Yönetim Kurulu’nun onayı tarihi itibariyle yürürlüğe girer, Şirket internet sitesinde yayımlanır ve aynı zamanda ilgili kurumlar ile Şirket personeliyle de paylaşılır. Plan, yasal mevzuat ve Şirket organizasyonunda meydana gelecek değişiklikler neticesinde yıllık olarak güncellenir. Şirket hizmet verdiği kişilere acil ve beklenmedik durumlarda iş sürekliliğinin nasıl sağlanacağı ve buna ilişkin iş akış prosedürleri hakkında bilgi vermekle yükümlüdür. Söz konusu bildirim kripto varlık platformu sözleşmesi imzalanması sırasında ve ayrıca Şirket’in internet sayfası aracılığıyla yapılır.