MiCA + ISO / GDPR / Xavfsizlik: Qozog‘iston va O‘zbekistondagi biznes uchun yo‘l xaritasi

Yevropa Ittifoqi regulyatorlari kripto va fintex bozorlariga qo‘yiladigan talablarni kuchaytirdi: MiCA kriptoxizmat provayderlari faoliyatini me’yorlashtiradi, GDPR shaxsiy ma’lumotlarni himoya qiladi, ISO/IEC 27001 esa kiberxavfsizlik uchun ramkani belgilaydi. MDH kompaniyalari uchun bu begona qoidalar emas — hamkorliklar, investitsiyalar va Yevropa hamda Yaqin Sharq bozorlariga kengayish uchun kalit. Keling, MiCA, ISO va GDPRni ortiqcha byurokratiyasiz va aniq reja bilan qanday uyg‘unlashtirish mumkinligini ko‘rib chiqamiz.

MiCA qisqacha va mohiyatan

MiCA (Markets in Crypto-Assets) — butun Yevropa bo‘ylab amal qiladigan reglament bo‘lib, u kriptoaktivlar va provayderlar (CASP) uchun talablarni yagona qiladi: litsenziyalash, kapital, mijozlarni himoya qilish, xatarlar va insidentlarni boshqarish. Steyblkoinlarga oid talablar 2024 yil yozidan kuchga kirdi, qolgan provayderlar uchun esa — 2024 yil oxiridan. MDH kompaniyalari uchun bu nimani anglatadi: agar siz YI hamkorlari bilan ishlamoqchi bo‘lsangiz, yevropalik provayderlarda ro‘yxatga tushmoqchi bo‘lsangiz, kapital jalb qilmoqchi bo‘lsangiz — MiCA talablarini MDH hududida joriy etmasdan bo‘lmaydi.

GDPR: shaxsiy ma’lumotlar — bu aktiv

GDPR ekstraterritorial kuchga ega: agar siz YeI fuqarolarining ma’lumotlarini to‘plasangiz yoki qayta ishlasangiz, qoidalar Almati yoki Toshkentdagi ofisingizga ham tatbiq etiladi. Jarimalar 20 mln yevrogacha yoki yillik global aylanmaning 4%igacha yetishi mumkin — bu komplayensni strategiyaga kiritish uchun yetarli sabab. Talablar va bosqichlar haqida batafsil ma’lumotni sahifasida ko‘ring. GDPR. Fintex uchun GDPR va ISOga qanday rioya qilish mumkin?” degan savol ko‘pincha quyidagilarga borib taqaladi: ma’lumotlar inventarizatsiyasi, qayta ishlashning huquqiy asoslari, transchegaraviy uzatmalar va ISO/IEC 27001 bo‘yicha barqaror axborot xavfsizligi amaliyoti.

ISO/IEC 27001:2022 — xavfsizlik jarayonlari uchun poydevor

SO/IEC 27001:2022 — axborot xavfsizligini boshqarish tizimini (ISMS) rasmiylashtiradigan xalqaro standart: xatarlarni baholashdan tortib, insidentlar, yetkazib beruvchilar va kriptografiyani boshqarishgacha. Kriptokompaniyalar uchun u bir vaqtning o‘zida bir nechta regulyator kutishlarini yopadi — doimiy monitoring, jurnal yuritish (loglash), kalitlarni boshqarish, infratuzilmani segmentlash, hamyonlar va custody jarayonlarini himoyalash. Batafsil — sahifasida. ISO/IEC 27001:2022. Blokcheyn loyihalari uchun MDH kriptokompaniyalari uchun ISO 27001 sertifikatsiyasi ayniqsa dolzarb — uni hamkor banklar ham, Yevropa kontragentlari ham tan oladi.

Qozogʻiston va Oʻzbekiston: talablarni qanday sinxronlashtirish

Har ikki bozordagi kompaniyalar uchun amaliy strategiya — regulyator talablarini “ustqurma” sifatida ulaydigan yagona xavflarni boshqarish tizimini qurishdir. Shunda siz ISO/IEC 27001 bo‘yicha barqaror poydevorga ega bo‘lasiz va MiCA hamda GDPRning o‘ziga xos talablarini ulaysiz. “Qozogʻistonda MiCA va GDPRga muvofiqlik” masalasiga bir martalik tekshiruv sifatida emas, balki jarayon sifatida yondashish kerak: siyosat —> amaliyot —> dalillar.

Auditi va litsenziyalash loyihasiga o‘tishdan oldin, asosiy elementlar allaqachon joyida ekanini tekshiring.

• Maʼlumotlar konturi: qaysi maʼlumotlar, qayerda saqlanishi, qanday asosda qayta ishlanishi, kimda ularga kirish huquqi borligi va maʼlumot subyekti talabi bo‘yicha qanday o‘chirib tashlanishi (GDPR).
• Xavf modeli: rasmiylashtirilgan baholash metodikasi va risklar reyestri (ISO 27001) bo‘lib, on-chain/off-chain tahdidlar va uchinchi tomon servislarini qamrab olishi kerak.
• Kalitlarni boshqarish: HSM/multisig sxemalar uchun kalitlarni generatsiya qilish, saqlash, rotatsiya va rollarni ajratish tartiblari (MiCA + ISO nazoratlari).
• Hodisalar: javob berish rejasi, RTO/RPO, jurnallar (loglar), regulyatorlar va mijozlarni xabardor qilish mezonlari (GDPR + MiCA).
• Taʼminotchilar: bulutlar, maʼlumot protsessorlari va node provayderlari uchun shartnomaviy va texnik choralar (GDPR 28-modda, ISO Annex A.5/A.15).
• Sukut bo‘yicha maxfiylik (privacy by default): maʼlumotlarni minimallashtirish, yuqori xavfli jarayonlar uchun DPIA, rozilik mexanikasi va subyekt huquqlari uchun interfeyslar.
• Dalillar: amaldagi siyosatlar, trening yozuvlari, test protokollari, skanerlash natijalari, audit hisobotlari — tekshiruvchilarga taqdim etiladigan materiallar.

Ushbu chek-royxat ichki jamoa, auditorlar va potensial regulyatorlar o‘rtasidagi kutilmalarni muvofiqlashtirishga yordam beradi. Yevropa integratsiyalariga chiqayotgan loyihalar uchun uni ma’lumotlarning transchegaraviy uzatilishi bo‘yicha huquqiy ko‘rib chiqish hamda kastodiya (custody) uchun kriptografik siyosat bilan to‘ldiring.

Audit va litsenziyalash: eng ko‘p nimalar tekshiriladi

Qozog‘iston va O‘zbekistondagi kompaniyalar bir xil “birinchi besh” e’tibor zonasiga duch keladi:

1. Aktivlar va ma’lumotlar reyestri: ma’lumot oqimlari xaritalari va CMDBning yangilangan ko‘rinishlari yo‘qligi auditorlarda savollar tug‘diradi.
2. Kirish nazorati: bulut muhitlarida segmentatsiya sust, huquqlar ortiqcha berilgan.
3. Loglar va monitoring: yig‘ish bor, ammo hodisalar korrelyatsiyasi va javob rejasi yo‘q.
4. Ta’minotchilar: texnik choralarsiz faqat rasmiy DPA mavjud.
5. Hujjatli iz (doc-trail): siyosatlar yozilgan, ammo amaliyot va yozuvlar ularning bajarilishini tasdiqlamaydi.

Shu sababdan MiCA va ISO bo‘yicha xavfsizlik auditini (Qozog‘iston, O‘zbekiston, Gruziya, Qirg‘iziston) ekspress-diagnostikadan boshlash mantiqli: amaldagi amaliyotlarni talablar bilan solishtirish, tezkor yaxshilashlarni yakunlash, so‘ng chuqur baholash va litsenziyalash/sertifikatlashga tayyorgarlikka o‘tish.

Keys yondashuvi: amaliyotda bu qanday ko‘rinadi

Toshkentdan kastodi hamyonlari va P2P funksionalligiga ega kriptoservisni tasavvur qilaylik. Joriy etish bosqichlari:

• Yevropa Ittifoqi mijozlari ma’lumotlari: qayta ishlashning huquqiy asoslarini (GDPR) verifikatsiya qilish va mahsulot ichida rozilik sozlamalarini yo‘lga qo‘yish.
• ISMSni joriy etish: xavflarni baholash, log yuritish siyosati, insidentlar bo‘yicha playbooklar, xodimlarni o‘qitish (ISO 27001:2022).
• MiCA moslik xaritasi: kapital talablari, AML/CTF, mijoz aktivlarini alohida yuritish, axborot xavfsizligi va hisobot talablari.
• Texnik choralar: HSM, multisig, tarmoq segmentatsiyasi, secret-management, CI/CD nazoratlari.
• Dalillar bazasi: skanerlash hisobotlari, pentest, loglar, trening protokollari, DPIA.

Almatilik fintex uchun ham bosqichlar o‘xshash bo‘ladi, biroq urg‘u banklar bilan integratsiyaga va xavfsizlik siyosatlarini hamkorlar talablari bilan muvofiqligini isbotlashga qaratiladi.

TOO «Sistem Menedjment» qanday yordam beradi

Biz to‘liq siklni boshidan oxirigacha olib boramiz: tezkor diagnostikadan sertifikatlash va litsenziyalashgacha.

• MiCA, GDPR va ISO/IEC 27001 bo‘yicha GAP-tahlil, xavflarni ustuvorlashtirish bilan.
• ISMSni “kalit topshirish” asosida qurish va ISO 27001:2022 sertifikatlashga tayyorlash.
• Yevropa Ittifoqida CASP (kriptoxizmat provayderlari) uchun tekshiruv va litsenziyalashga tayyorgarlik.
• GDPR bo‘yicha huquqiy-texnik ko‘mak: qayta ishlashlar reyestri, DPIA, transchegaraviy uzatmalar, DPA.
• Jamoalar uchun treninglar: xavfsiz ishlab chiqish, insidentlarga javob berish, “privacy by design”.
• Preaudit va hamrohlik: chek-ro‘yxatlar, isbotlovchi baza, auditorlar bilan muloqot.

TOO «Sistem Menedjment» bilan siz yagona rejaga ega bo‘lasiz: Qozog‘istonda MiCA va GDPRga muvofiqlik hamda ISO sertifikatlash mahsulot rivoji bilan sinxron boradi va unga xalaqit bermaydi.

Harakatga o‘tishga tayyormisiz? Hamkorlikni rejalashtiraylik — Toshkentdan Almatigacha, kripto-startapdan bank hamkorigacha.