MiCA + ISO / GDPR / უსაფრთხოება: გზის რუკა ბიზნესისთვის ყაზახეთში და უზბეკეთში

«ევროკავშირის რეგულატორებმა გაამკაცრეს მოთხოვნები კრიპტო- და ფინტექ-ბაზარზე: MiCA არეგულირებს კრიპტოსერვისების პროვაიდერების საქმიანობას, GDPR იცავს პერსონალურ მონაცემებს, ხოლო ISO/IEC 27001 განსაზღვრავს კიბერუსაფრთხოების ჩარჩოს. დსთ-ის კომპანიებისთვის ეს უცხო წესები კი არა, პარტნიორობების, ინვესტიციებისა და ევროპისა და ახლო აღმოსავლეთის ბაზრებზე მასშტაბირების ბილეთია. გავარკვიოთ, როგორ შევათავსოთ MiCA, ISO და GDPR ზედმეტი ბიუროკრატიის გარეშე და გასაგები გეგმით.

MiCA — მოკლედ და არსობრივად

MiCA (Markets in Crypto-Assets) — მთელ ევროპაში მოქმედი რეგლამენტია, რომელიც კრიპტოაქტივებსა და პროვაიდერებისთვის (CASP) მოთხოვნებს უნიფიცირებს: ლიცენზირება, კაპიტალი, მომხმარებელთა დაცვა, რისკებისა და ინციდენტების მართვა. სტეიბლკოინებზე მოთხოვნები ამოქმედდა 2024 წლის ზაფხულში, ხოლო დანარჩენ პროვაიდერებზე — 2024 წლის ბოლოსიდან. დსთ-ის კომპანიებისთვის ეს ნიშნავს: თუ გსურთ EU-პარტნიორებთან თანამშრომლობა, ევროპულ პლატფორმებზე ლისტინგი და კაპიტალის მოზიდვა — დსთ-ში MiCA-ს მოთხოვნების დანერგვის გარეშე ეს შეუძლებელი იქნება.

GDPR: სადაც პერსონალური მონაცემები — აქტივია

GDPR ექსტრატერიტორიულად მოქმედებს: თუ თქვენ აგროვებთ ან ამუშავებთ ევროკავშირის მოქალაქეების მონაცემებს — წესები ვრცელდება თქვენს ალმათის ან ტაშკენტის ოფისზეც. ჯარიმები აღწევს 20 მილიონ ევრომდე ან გლობალური წლიური ბრუნვის 4%-მდე — ეს საკმარისია, რომ კომპლაიანსი სტრატეგიაში ჩართოთ. მოთხოვნებსა და ნაბიჯებზე დეტალურად იხილეთ გვერდზე. GDPRკითხვაზე „როგორ დავიცვათ GDPR და ISO ფინტექისთვის“ პასუხი ხშირად დაიყვანება მონაცემთა ინვენტარიზაციაზე, დამუშავების სამართლებრივ საფუძვლებზე, საზღვარგარეთულ გადაცემებზე და ISO/IEC 27001-ის მიხედვით მდგრადი ინფორმაციული უსაფრთხოების პრაქტიკაზე.

ISO/IEC 27001:2022 — უსაფრთხოების პროცესების საფუძველი

ISO/IEC 27001:2022 — საერთაშორისო სტანდარტი, რომელიც ფორმალიზებს ინფორმაციული უსაფრთხოების მენეჯმენტის სისტემას (ISMS): რისკების შეფასებიდან ინციდენტების, მიმწოდებლებისა და კრიპტოგრაფიის მართვამდე. კრიპტოკომპანიებისთვის ის ერთდროულად რამდენიმე რეგულაციურ მოლოდინს ფარავს — უწყვეტ მონიტორინგს, ლოგირებას, გასაღებების კონტროლს, ინფრასტრუქტურის სეგმენტაციას, საფულეების და კასტოდი-პროცესების დაცვას. დეტალურად — ISO/IEC 27001:2022ბლოკჩეინის პროექტებისთვის განსაკუთრებით აქტუალურია ISO 27001-ის სერტიფიკაცია დსთ-ის კრიპტოკომპანიებისთვის — მას აღიარებენ როგორც პარტნიორი ბანკები, ასევე ევროპელი კონტრაგენტები.

ყაზახეთი და უზბეკეთი: როგორ შევაჯეროთ მოთხოვნები

ორივე ბაზრის კომპანიებისთვის პრაქტიკული სტრატეგიაა რისკების მართვის ერთიანი კონტურის შექმნა, სადაც რეგულაციური მოთხოვნები „ზედაფენებად“ ერთვება. ასე იღებთ ISO/IEC 27001-ის მდგრად ბაზას და თან ერთავთ MiCA-სა და GDPR-ის სპეციფიკურ მოთხოვნებს. „ყაზახეთში MiCA-სა და GDPR-ის შესაბამისობაზე“ სჯობს იფიქროთ არა როგორც ერთჯერად შემოწმებაზე, არამედ როგორც პროცესზე: პოლიტიკა —> პრაქტიკა —> მტკიცებულებები.

სანამ აუდიტზე და ლიცენზირების პროექტზე გადახვალთ, დარწმუნდით, რომ საბაზისო ელემენტები უკვე ადგილზეა.

• მონაცემთა კონტური: იცით, რა მონაცემებია, სად ინახება, რა სამართლებრივ საფუძველზე მუშავდება, ვის აქვს წვდომა და როგორ იშლება სუბიექტის მოთხოვნით (GDPR).
• რისკების მოდელი: ფორმალიზებული შეფასების მეთოდიკა და რისკების რეესტრი (ISO 27001), რომელიც მოიცავს on-chain/off-chain საფრთხეებს და მესამე მხარის სერვისებს.
• გასაღებების მართვა: HSM/მულტისიგ სქემებისთვის გასაღებების გენერაციის, შენახვის, როტაციისა და როლების გამოყოფის პროცედურები (MiCA + ISO კონტროლები).
• ინციდენტები: რეაგირების გეგმა, RTO/RPO, ლოგები, რეგულატორებისა და კლიენტების შეტყობინების კრიტერიუმები (GDPR + MiCA).
• მიმწოდებლები: კონტრაქტული და ტექნიკური ზომები ღრუბლოვანი სერვისებისთვის, მონაცემთა პროცესორებისთვის და ნოდის პროვაიდერებისთვის (GDPR მუხლი 28, ISO დანართი A.5/A.15).
• კონფიდენციალურობა ნაგულისხმევად: მონაცემთა მინიმიზაცია, მაღალი რისკის პროცესებისთვის DPIA, თანხმობების მექანიზმი და სუბიექტების უფლებების ინტერფეისები.
• მტკიცებულებები: აქტუალური პოლიტიკები, ტრენინგების ჩანაწერები, ტესტირების პროტოკოლები, სკანირების შედეგები, აუდიტის ანგარიშები — ის, რასაც შემმოწმებლებს წარუდგენთ.

ეს ჩეკლისტი ეხმარება შიდა გუნდს, აუდიტორებს და პოტენციურ რეგულატორებს მოლოდინების გასწორებაში. ევროპულ ინტեգრაციებში შემსვლელი პროექტებისთვის იგი შეავსეთ მონაცემთა საზღვარგარეთ გადაცემების იურიდიული მიმოხილვით და კასტოდი-პროცესებისთვის კრიპტოგრაფიული პოლიტიკით.

აუდიტი და ლიცენზირება: რას ამოწმებენ ყველაზე ხშირად

ყაზახეთისა და უზბეკეთის კომპანიები ერთნაირ „პირველ ხუთ“ ყურადღების ზონას აწყდებიან:

1. აქტივებისა და მონაცემების რეესტრი: მონაცემთა ნაკადების აქტუალური რუკებისა და CMDB-ის არარსებობა აუდიტორებში კითხვებს აჩენს.
2. წვდომის კონტროლი: ღრუბლებში სუსტი სეგმენტაცია და ზედმეტი უფლებები.
3. ლოგები და მონიტორინგი: შეგროვება არსებობს, მაგრამ მოვლენების კორელაცია და რეაგირების გეგმა — არა.
4. მიმწოდებლები: ფორმალური DPA ტექნიკური ზომების გარეშე.
5. დოკუმენტური კვალი (doc-trail): პოლიტიკები დაწერილია, მაგრამ პრაქტიკები და ჩანაწერები მათ შესრულებას არ ადასტურებს.

ამიტომ MiCA-სა და ISO-ს უსაფრთხოების აუდიტის (ყაზახეთი, უზბეკეთი, საქართველო, ყირგიზეთი) დაწყება გონივრულია სწრაფი დიაგნოსტიკით: ფაქტობრივი პრაქტიკების მოთხოვნებთან შედარება, ოპერატიული გაუმჯობესებების განხორციელება, შემდეგ კი სიღრმისეულ შეფასებასა და ლიცენზირებისთვის/სერტიფიკაციისთვის მომზადებაზე გადასვლა.

ქეის-მიდგომა: პრაქტიკაში როგორ გამოიყურება

ვთქვათ, ტაშკენტში მოქმედ კრიპტოსერვისს აქვს კასტოდიური საფულეები და P2P-ფუნქციონალი. დანერგვის ნაბიჯები:

• ევროკავშირის კლიენტთა მონაცემების დამუშავების იურიდიული საფუძვლების ვერიფიკაცია (GDPR) და თანხმობების კონფიგურაცია პროდუქტში.
• ISMS-ის დანერგვა: რისკების შეფასება, ლოგირების პოლიტიკა, ინციდენტების პლეიბუქები, პერსონალის ტრენინგი (ISO 27001:2022).
• MiCA-ს შესაბამისობის რუკა: კაპიტალი, AML/CTF, კლიენტური აქტივების გამიჯვნა, ინფორმაციული უსაფრთხოებისა და ანგარიშგების მოთხოვნები.
• ტექნიკური ზომები: HSM, მულტისიგი, ქსელების სეგმენტაცია, საიდუმლოებების მართვა (secret management), CI/CD-კონტროლები.
• მტკიცებულებითი ბაზის მომზადება: სკანირების ანგარიშები, პენტესტი, ლოგები, ტრენინგების პროტოკოლები, DPIA.

ალმათის ფინტექისთვის ნაბიჯებიც ანალოგიური იქნება, თუმცა აქცენტი გადავა ბანკებთან ინტეგრაციაზე და პარტნიორთა მოთხოვნებთან უსაფრთხოების პოლიტიკების შესაბამისობის დამტკიცებაზე.

როგორ ეხმარება ТОО «Систем Менеджмент»

ჩვენ ვხელმძღვანელობთ მთელ ციკლს: სწრაფი დიაგნოსტიკიდან სერტიფიკაციასა და ლიცენზირებამდე.

• MiCA-, GDPR- და ISO/IEC 27001-ის მიხედვით გეპ-ანალიზი რისკების პრიორიტეტიზაციით.
• ISMS-ის “საბოლოოდ ჩაბარებით” აშენება და ISO 27001:2022 სერტიფიკაციისთვის მომზადება.
• ევროკავშირში კრიპტოსერვისების პროვაიდერების (CASP) შემოწმებებისთვისა და ლიცენზირებისთვის მზადება.
• GDPR-ის იურიდიულ-ტექნიკური მხარდაჭერა: დამუშავებების რეესტრი, DPIA, საზღვარგარეთული გადაცემები, DPA.
• გუნდებისთვის ტრენინგები: უსაფრთხო განვითარება, ინციდენტებზე რეაგირება, კონფიდენციალურობა დიზაინით (privacy by design).
• წინასწარი აუდიტი და сопровождение: ჩეკლისტები, მტკიცებულებითი ბაზა, კომუნიკაცია აუდიტორებთან.

«ТОО «Систем Менеджмент»-თან ერთად თქვენ იღებთ ერთიან გეგმას, სადაც ყაზახეთში MiCA-სა და GDPR-ის შესაბამისობა და ISO-ს სერტიფიკაცია პროდუქტის განვითარებასთან სინქრონულად მიდის და არ უშლის ხელს.

მოქმედებაზე გადასასვლელად მზად ხართ? დავგეგმოთ თანამშრომლობა — ტაშკენტიდან ალმათამდე, კრიპტოსტარტაპიდან პარტნიორ ბანკამდე.