MiCA + ISO / GDPR / Қауіпсіздік: Қазақстан мен Өзбекстандағы бизнеске арналған жол картасы

ЕО реттеушілері крипто және финтех нарықтарына қойылатын талаптарды күшейтті: MiCA криптоқызмет провайдерлерінің жұмысын реттейді, GDPR жеке деректерді қорғайды, ал ISO/IEC 27001 киберқауіпсіздіктің негізгі шеңберін айқындайды. ТМД компаниялары үшін бұл бөтен ережелер емес, Еуропа мен Таяу Шығыс нарықтарына серіктестікке, инвестицияларға және масштабтауға апаратын билет. MiCA, ISO және GDPR-ды бюрократиялық ауыртпалықсыз әрі түсінікті жоспармен қалай үйлестіруге болатынын қарастырайық.

MiCA: қысқа да нұсқа

MiCA (Markets in Crypto-Assets) — криптоактивтер мен провайдерлерге (CASP) қойылатын талаптарды бірыңғайландыратын бүкілевропалық регламент: лицензиялау, капитал, клиенттерді қорғау, тәуекелдер мен инциденттерді басқару. Стейблкоиндерге қатысты талаптар 2024 жылдың жазында күшіне енді, ал қалған провайдерлер үшін — 2024 жылдың соңынан бастап. ТМД компаниялары үшін бұл мынаны білдіреді: егер сіз ЕО серіктестерімен жұмыс істегіңіз келсе, еуропалық провайдерлер алаңдарында листингке шығуды, капитал тартуды жоспарласаңыз — ТМД аумағында MiCA талаптарын енгізбей мұның бәрі мүмкін емес.

GDPR: жеке деректер — актив

GDPR экстратерриториялық түрде қолданылады: егер сіз ЕО азаматтарының жеке деректерін жинасаңыз немесе өңдесеңіз — ережелер Алматыдағы не Ташкенттегі кеңсеңізге де таралады. Айыппұлдар 20 млн еуроға дейін немесе жаһандық жылдық айналымның 4%-ына дейін жетуі мүмкін — бұл комплаенсті стратегияңызға енгізуге жеткілікті себеп. Талаптар мен қадамдар туралы толығырақ бетте қараңыз GDPR„Финтех үшін GDPR мен ISO талаптарын қалай сақтау керек?“ деген сұрақ көбіне деректерді түгендеуге, өңдеудің құқықтық негіздеріне, деректерді шекарааралық беруге және ISO/IEC 27001 стандарты бойынша тұрақты ақпараттық қауіпсіздік тәжірибесіне тіреледі.

ISO/IEC 27001:2022 — қауіпсіздік үдерістерінің іргетасы

ISO/IEC 27001:2022 — ақпараттық қауіпсіздікті басқару жүйесін (ISMS) тәуекелдерді бағалаудан бастап инциденттерді, жеткізушілерді және криптографияны басқаруға дейін формалдайтын халықаралық стандарт. Крипто-компаниялар үшін ол бірден бірнеше реттеушілік күтілімдерді қамтиды — үздіксіз мониторинг, журналдау, кілттерді басқару, инфрақұрылымды сегменттеу, әмияндар мен кастоди-процестерді қорғау. Толығырақ — бетте ISO/IEC 27001:2022Блокчейн жобалары үшін ТМД-дағы крипто-компанияларға арналған ISO 27001 бойынша сертификаттау әсіресе өзекті — оны серіктес банктер де, еуропалық контрагенттер де мойындайды.

Қазақстан мен Өзбекстан: талаптарды қалай үйлестіру керек

Екі нарықтағы компаниялар үшін практикалық стратегия — реттеуші талаптар қосымша қабаттар ретінде қосылатын тәуекелдерді басқарудың бірыңғай контурын құру. Осылайша сіз ISO/IEC 27001 бойынша орнықты негіз қалыптастырып, MiCA мен GDPR-дың ерекше талаптарын қосасыз. «Қазақстанда MiCA мен GDPR-ға сәйкестікке» бір реттік тексеріс емес, мынадай үдеріс ретінде қараған жөн: саясат —> практика —> дәлелдемелер.

Аудитке және лицензиялау жобасына кіріспей тұрып, базалық элементтердің орнында екеніне көз жеткізіңіз.

• Деректер контуры: қандай деректер бар, олар қайда сақталады, қандай құқықтық негізде өңделеді, кім қол жеткізеді және дерек субъектісінің сұрауы бойынша қалай жойылады (GDPR).
• Тәуекелдер моделі: бағалаудың формалданған әдістемесі және тәуекелдер тізілімi (ISO 27001), on-chain/off-chain қатерлерін және үшінші тарап сервистерін қамтиды.
• Кілттерді басқару: HSM/көпқолтаңбалы (multisig) сұлбалар үшін генерациялау, сақтау, ротация және рөлдерді бөлу рәсімдері (MiCA + ISO бақылаулары).
• Инциденттер: әрекет ету жоспары, RTO/RPO, журналдар, реттеушілер мен клиенттерді хабардар ету критерийлері (GDPR + MiCA).
• Жеткізушілер: бұлттық провайдерлер, деректер процессорлары және нод провайдерлері үшін шарттық және техникалық шаралар (GDPR 28-бабы, ISO Қосымша A.5/A.15).
• Әдепкі бойынша құпиялылық: деректерді минимизациялау, жоғары тәуекелді процестер үшін DPIA, келісім механикасы және дерек субъектілерінің құқықтарына арналған интерфейстер.
• Дәлелдемелер: өзекті саясаттар, тренинг жазбалары, тест хаттамалары, сканерлеу нәтижелері, аудит есептері — тексерушілерге көрсететін материалдарыңыз.

Бұл чек-лист ішкі команда, аудиторлар және ықтимал реттеушілер арасындағы күтілімдерді үйлестіруге көмектеседі. Еуропалық интеграцияларға шығатын жобалар үшін оны деректердің трансшекаралық берілуіне қатысты құқықтық шолумен және кастоди (custody) процестері үшін криптографиялық саясатпен толықтырыңыз.

Аудит және лицензиялау: жиі не тексеріледі

Қазақстан мен Өзбекстандағы компаниялар бірдей «алғашқы бес» негізгі назар аймағымен беттеседі:

1. Активтер мен деректердің тізілімі: деректер ағындарының өзекті карталары мен CMDB-ның болмауы аудиторларда сұрақ тудырады.
2. Қатынауды бақылау: бұлт инфрақұрылымында әлсіз сегментация және артық құқықтар.
3. Журналдар мен мониторинг: жинау бар, бірақ оқиғаларды өзара байланыстыру және әрекет ету жоспары жоқ.
4. Жеткізушілер: техникалық шараларсыз формалды DPA.
5. Құжаттық із (doc-trail): саясаттар жазылған, бірақ тәжірибелер мен жазбалар олардың орындалуын растамайды.

Сондықтан MiCA және ISO қауіпсіздік аудитін (Қазақстан, Өзбекстан, Грузия, Қырғызстан) жедел диагностикадан бастау қисынды: нақты практикаларды талаптармен салыстырып тексеру, жедел жақсартуларды жүзеге асыру, содан кейін терең бағалауға және лицензиялау/сертификацияға дайындыққа көшу.

Кейс-тәсіл: тәжірибеде бұл қалай көрінеді

Ташкенттен кастоди әмияндары және P2P функционалы бар криптоқызметті елестетейік. Енгізу қадамдары:

• ЕО клиенттерінің деректерін өңдеудің құқықтық негіздерін верификациялау (GDPR) және өнімде келісімдерді баптау.
• ISMS-ті енгізу: тәуекелдерді бағалау, журналдау саясаты, инциденттерге арналған плейбуктер, персоналды оқыту (ISO 27001:2022).
• MiCA сәйкестік картасы: капитал, AML/CTF, клиенттік активтерді бөлу, ақпараттық қауіпсіздік пен есептілік талаптары.
• Техникалық шаралар: HSM, мультисиг, желілерді сегментациялау, құпияларды басқару (secret management), CI/CD бақылаулары.
• Дәлелдемелік базаны дайындау: сканерлеу есептері, пентест, журналдар, тренинг хаттамалары, DPIA.

Алматыдағы финтех үшін қадамдар ұқсас, бірақ назар банктермен интеграцияға және қауіпсіздік саясаттарының серіктестер талаптарына сәйкестігін дәлелдеуге ауысады.

ТОО «Систем Менеджмент» қалай көмектеседі

Біз толық циклді сүйемелдейміз: жедел диагностикадан бастап сертификаттау мен лицензиялауға дейін.

• MiCA, GDPR және ISO/IEC 27001 бойынша Gap-талдау (алшақтық талдауы), тәуекелдерді басымдықтау.
• ISMS-ті толық дайындап беру және ISO 27001:2022 сертификаттауға даярлау.
• ЕО-дағы криптоқызмет провайдерлерін (CASP) тексерістерге және лицензиялауға дайындау.
• GDPR бойынша құқықтық-техникалық қолдау: өңдеулер тізілімі, DPIA, шекарааралық берулер, DPA.
• Командаларға тренингтер: қауіпсіз әзірлеу, инциденттерге әрекет ету, құпиялылықты жобалау қағидаты (privacy by design).
• Алдын ала аудит және сүйемелдеу: чек-парақтар, дәлелдемелік база, аудиторлармен қарым-қатынас.

ТОО «Систем Менеджмент»-пен сіз бірыңғай жоспарға ие боласыз: Қазақстандағы MiCA мен GDPR талаптарына сәйкестік және ISO сертификаттауы өнімнің дамуымен синхронды жүреді, оған кедергі келтірмейді.

Іске кірісуге дайынсыз ба? Ынтымақтастықты жоспарлайық — Ташкенттен Алматыға дейін, крипто-стартаптан банк-серіктеске дейін.