MiCA + ISO / GDPR / Howpsuzlyk: Gazagystan we Özbegistan üçin biznes ýol kartasy

ÝB-niň regulýatorlary kripto we fintek bazary boýunça talaplary berkidipdir: MiCA kriptohyzmat üpjün edijileriniň işini düzgünleşdirýär, GDPR şahsy maglumatlary goraýar, ISO/IEC 27001 bolsa kiberhowpsuzlygyň çarçuwasyny kesgitleýär. SNG ýurtlaryndaky kompaniýalar üçin bu “daşky” düzgünler däl, eýsem hyzmatdaşlyklara, maýa goýumlaryna we Ýewropa hem-de Ýakyn Gündogar bazarlaryna giňelmäge ýol açýan bilet. Indi MiCA, ISO we GDPR-i artykmaç býurokratiýasyz, düşnükli meýilnama bilen nädip utgaşdyrmalydygyny görüp çykalyň.

MiCA — gysgaça we mazmunly

MiCA (Markets in Crypto-Assets) — Ýewropa boýunça bitewi düzgünnama bolup, kripto-aktiwler we hyzmat üpjün edijiler (CASP) üçin talaplary birmeňzeş edýär: ygtyýarnamalaşdyrma, kapital, müşderileri goramak, töwekgelçilikleri we insidentleri dolandyrmak. Steýblkoinlere degişli talaplar 2024 ýylyň tomsunda güýje girdi, beýleki üpjün edijiler üçin bolsa 2024 ýylyň ahyryndan başlap güýje girdi. GDA ýurtlaryndaky kompaniýalar üçin bu şeýle many berýär: eger siz ÝB hyzmatdaşlary bilen işlemek, ýewropaly üpjün edijilerde listinge çykmak, kapital çekmek isleýän bolsaňyz — GDA-da MiCA talaplaryny ornaşdyrmazdan bolmaz.

GDPR: şahsy maglumatlar — aktiw bolan ýerinde

GDPR eksterytorial taýdan işleýär: eger siz ÝB raýatlarynyň maglumatlaryny ýygnaýan ýa-da gaýtadan işleýän bolsaňyz, düzgünler Almatyda ýa-da Taşkentde ýerleşýän ofisiňize hem degişlidir. Jerimeler 20 mln ýewroga çenli ýa-da ýyllyk dünýä boýunça dolanyşygyň 4%-ine çenli ýetip bilýär — bu kompalaýensi strategiýa goşmak üçin ýeterlik sebäptir. Talaplar we ädimler barada has giňişleýin sahypasynda serediň. GDPR“Fintek üçin GDPR-i we ISO-ny nädip berjaý etmeli” diýen sorag köplenç maglumatlaryň inwentarizasiýasyna, gaýtadan işlemegiň hukuk esaslaryna, serhetara geçirimlere we ISO/IEC 27001 boýunça durnukly maglumat howpsuzlygy (IH) praktikasyna gelip direýär.

ISO/IEC 27001:2022 — howpsuzlyk prosesleri üçin esas

ISO/IEC 27001:2022 — halkara standart bolup, maglumat howpsuzlygyny dolandyrmak ulgamyny (ISMS) resmileşdirýär: töwekgelçilikleri bahalandyrmakdan başlap, insidentleri, üpjün edijileri we kriptografiýany dolandyrmaga çenli. Kriptokompaniýalar üçin ol birnäçe regulýator garaşýanlaryny birden ýapýar — üznüksiz monitoring, žurnallaşdyrma, açarlara gözegçilik, infrastrukturany segmentasiýa etmek, gapjykları hem-de custody-proseslerini goramak. Has giňişleýin — sahypada ISO/IEC 27001:2022. Blokçeýn boýunça taslamalar üçin SNG-däki kriptokompaniýalar babatda ISO 27001 boýunça sertifikatlaşdyrma aýratyn möhüm: ony bank-hyzmatdaşlar hem, ýewropaly kontragentler hem ykrar edýär.

Gazagystan we Özbegistan: talaplary nädip sazlaşdyrmaly

Iki bazardan hem kompaniýalar üçin amaly strategiýa — regulýator talaplaryny “üst gurluşlar” hökmünde birikdirip, töwekgelçilikleri dolandyrmagyň bitewi konturyny gurmakdyr. Şeýlelikde siz ISO/IEC 27001 boýunça durnukly esasy alarsyňyz-da, onuň üstüne MiCA we GDPR-iň aýratyn talaplaryny goşarsyňyz. “Gazagystanda MiCA we GDPR laýyklygy” barada bir gezeklik barlag ýaly däl-de, proses hökmünde pikirlenmek gerek: syýasat → praktika → subutnamalar.

Audit we ygtyýarnama taslamasyna geçmezden öň, esasy elementleriň eýýäm ýerinde bolandygyny barlaň.

• Maglumat kontury: haýsy maglumatlar, nirede saklanýar, nähili hukuk esaslarda gaýtadan işlenýär, kim elýeterlilige eýe we subýektiň haýyşy boýunça nähili pozulýar (GDPR).
• Töwekgelçilik modeli: bahalandyrmagyň resmileşdirilen metodikasy we töwekgelçilikleriň reýestri (ISO 27001) — on-chain/off-chain howplary we üçünji tarap hyzmatlaryny hem öz içine alýar.
• Açarlary dolandyrmak: HSM/multisig shemalary üçin açarlary döretmek, saklamak, rotasiýa etmek we rollary bölüşdirmek proseduralary (MiCA + ISO kontrolly).
• Insidentler: jogap bermek meýilnamasy, RTO/RPO, žurnallar, regulýatorlara we müşderilere habar bermek ölçegleri (GDPR + MiCA).
• Üpjün edijiler: bulutlar, maglumat prosessorlary we nod üpjün edijileri üçin şertnama hem-de tehniki çäreler (GDPR Art. 28, ISO Annex A.5/A.15).
• “Default” privatlyk: maglumatlary minimizasiýa etmek, ýokary töwekgelçilikli prosesler üçin DPIA, razyçylyk mehanikasy we subýekt hukuklary üçin interfeýsler.
• Subutnamalar: häzirki syýasatlar, trening ýazgylary, test protokollary, skan netijeleri, audit hasabatlary — barlagçylara görkezjek zadyňyz.

Bu chek-list içindäki toparyň, auditorlaryň we potensial regulýatorlaryň arasynda garaşylýan zatlary deňleşdirmäge kömek edýär. Ýewropa integrasiýalaryna çykýan taslamalar üçin, muny maglumatlaryň serhetara geçirimleri boýunça hukuk syny we custody üçin kriptografik syýasat bilen hem dolduryň.

Audit we ygtyýarnamalaşdyrma: köplenç nämeler barlanýar

Gazagystan we Özbegistan kompaniýalary adatça birmeňzeş “ilkinji bäş” üns merkezine duşýar:

1. Aktiwer we maglumatlaryň reýestri: maglumat akymlarynyň kartalarynyň we CMDB-niň (konfigurasiýalary dolandyrmak maglumat bazasynyň) aktual bolmazlygy auditorlarda sorag döredýär.
2. Elýeterlilik gözegçiligi: bulutlarda gowşak segmentasiýa we artykmaç hukuklar.
3. Loglar we monitoring: maglumat ýygnalýar, ýöne wakalaryň korrelýasiýasy we jogap bermek meýilnamasy ýok.
4. Üpjün edijiler: diňe formal DPA bar, tehniki çäreler ýok.
5. Dokument yzarlamasy (doc-trail): syýasatlar ýazylan, emma praktika we ýazgylar olaryň ýerine ýetirilýändigini tassyklamaýar.

Şonuň üçin MiCA we ISO boýunça howpsuzlyk auditi (Gazagystan, Özbegistan, Gruziýa, Gyrgyzystan) logiki taýdan ekspress-diagnostikadan başlamak bilen has netijeli: hakyky amallary talaplar bilen deňeşdirmek, tiz düzetmeleri ýapmak, soňra bolsa çuňňur bahalandyrma hem-de ygtyýarnamalaşdyrma/sertifikatlaşdyrma taýýarlygyna geçmek.

Keýs-çemeleşme: bu amalda nähili görünýär

Taşkentden bir kriptoservisi göz öňüne getirliň: custody-gapjyklary we P2P funksionaly bar. Ornaşdyrma ädimleri:

• ÝB müşderileriniň maglumatlaryny gaýtadan işlemegiň hukuk esaslaryny tassyklamak (GDPR) we önümde razyçylyk mehanizmlerini sazlamak.
• ISMS-i ornaşdyrmak: töwekgelçilik bahalandyryşy, log ýazgylary boýunça syýasat, insident playbook-lary, işgärleri okatmak (ISO 27001:2022).
• MiCA laýyklyk kartasy: kapital, AML/CTF, müşderi aktiwlerini aýyrmak, maglumat howpsuzlygy we hasabatlylyk talaplary.
• Tehniki çäreler: HSM, multisig, torlaryň segmentasiýasy, secret-management, CI/CD boýunça kontrolly.
• Subutnamaly bazany taýýarlamak: skan hasabatlary, pentest, žurnallar, trening protokollary, DPIA.

Almatydaky fintek üçin hem ädimler meňzeş bolar, ýöne ünsi banklar bilen integrasiýa we howpsuzlyk syýasatlarynyň hyzmatdaşlaryň talaplaryna laýyklygyny subut etmäge tarap süýşer.

TОО «Sistem Menedjment» nädip kömek edýär

Biz doly sikli boýunça ýoldaşlyk edýäris: çalt diagnostikadan başlap, sertifikatlaşdyrma we ygtyýarnamalaşdyrma çenli.

• MiCA, GDPR we ISO/IEC 27001 boýunça gap-analiz (töwekgelçilikleri ileri tutup tertiplemek bilen).
• ISMS-i açar tabşyrygy görnüşinde gurmak we ISO 27001:2022 sertifikatlaşdyrmaga taýýarlamak.
• ÝB-de kriptohyzmat üpjün edijilerini (CASP) barlaglara we ygtyýarnamalaşdyrmaga taýýarlamak.
• GDPR boýunça hukuk-tehniki goldaw: gaýtadan işlenişleriň reýestri, DPIA, serhetara geçirimler, DPA.
• Toparlar üçin treningler: howpsuz ösüş (secure development), insidentlere jogap bermek, “design boýunça” privatlyk.
• Öň-audit we ýoldaşlyk: chek-listler, subutnamaly baza, auditorlar bilen kommunikasiýa.

TОО «Sistem Menedjment» bilen siz bitewi meýilnama alarsyňyz: Gazagystanda MiCA we GDPR laýyklygy hem-de ISO sertifikatlaşdyrma önüm ösüşi bilen sinhron gidýär, oňa päsgel bermeýär.

Herekete geçmäge taýynmysyňyz? Hyzmatdaşlygy meýilleşdireris — Taşkentden Almaty çenli, kripto-startapdan başlap bank-hyzmatdaşyna çenli.