Elektronik Para Kuruluşu Nasıl Kurulur? 2025/2026 Lisans ve Uyum Rehberi

Bu rehber, BDDK nezdinde elektronik para kuruluşu (EMI) kurmak için sermaye, uyum (KYC/AML), PCI-DSS/3DS, teknik mimari ve başvuru paketini 2025/2026 güncel beklentileriyle özetler. Hub & spoke stratejisiyle long-tail konulara iç bağlantılar eklenmiştir.

Son güncelleme

• Yayın: 2025-02-07
• Son güncelleme: 2025-12-15 (mevzuat ve sermaye eşiği kontrol edildi)

1) Yasal ve kurumsal çerçeve

• Düzenleyici: BDDK (6493 sayılı Kanun ve ilgili yönetmelikler)
• Kuruluş: A.Ş. ve Türkiye’de merkez
• Bağımsız fonksiyonlar: İç kontrol, risk yönetimi, iç denetim, uyum
• KVKK ve veri saklama: Aydınlatma, açık rıza, imha/anonimleştirme prosedürleri
• Raporlama: BDDK periyodik raporlar, bilgi sistemleri denetimleri, bağımsız denetim

2) Sermaye ve finansal yeterlilik

• Ödenmiş sermaye: EMI için yüksek eşik (güncel tutarı BDDK duyurularıyla kontrol edin; örn. 10 mn TL+).
• Öz kaynak/likidite oranları; teminat ve provizyon politikaları.
• 3–5 yıllık finansal projeksiyon: kullanıcı/adet, işlem hacmi, OPEX/CAPEX, gelir modeli.

3) Teknik mimari ve güvenlik

• PCI-DSS, 3DS, tokenization; kart verisi segmentasyonu.
• DDoS/WAF, IPS/IDS, SIEM, yedekleme ve DR/BCP senaryoları.
• Çift DC (HA), RPO/RTO hedefleri; izleme ve uyarı (observability).
• Uygulama güvenliği: SAST/DAST, kod inceleme, OWASP ilkeleri.
• Değiştirilemez loglama, rol/erişim matrisi, least privilege.

4) Uyum ve operasyon

• KYC/AML: Kimlik doğrulama (e-devlet/uzaktan), kara liste, STR, risk puanlama.
• Müşteri desteği: SLA’lar, iade/itiraz süreçleri, çağrı merkezi kayıt altyapısı.
• İş sürekliliği: BCP/DRP tatbikatları, düzenli test ve raporlama.

5) Başvuru paketi (çekirdek)

• Ana sözleşme, ortaklık yapısı, YK/üst yönetim CV’leri.
• Politikalar: İç kontrol, risk, uyum, ISMS, BCP/DRP, güvenlik.
• Teknik mimari dosyası: ağ diyagramları, erişim matrisi, yedeklilik/güvenlik.
• İş planı ve gelir modeli; finansal projeksiyon ve sermaye ispatı.
• Bağımsız denetim planı, bilgi sistemleri denetim takvimi.

6) Örnek zaman planı (değişebilir)

1. Hazırlık (politika, mimari, dokümantasyon): 6–10 hafta
2. Başvuru dosyası ve ön görüşmeler: 2–4 hafta
3. BDDK incelemesi ve ek bilgi talepleri: 8–16 hafta
4. Lisans + faaliyet izni: toplam 4–8 ay arası (hazırlık düzeyine bağlı)

7) Kontrol listesi

• [ ] A.Ş. kuruluşu ve ödenmiş sermaye hazır mı?
• [ ] İç kontrol, risk, uyum, ISMS, BCP/DRP politikaları tamam mı?
• [ ] PCI-DSS/3DS tasarımı yapıldı mı?
• [ ] KYC/AML akışları (e-ID, yüz tanıma, kara liste) tanımlandı mı?
• [ ] DR/BCP testleri, yedeklemeler doğrulandı mı?
• [ ] İş planı ve projeksiyonlar tamam mı?
• [ ] Başvuru dosyası (güvenlik/mimari/süreç) eksiksiz mi?

8) Hub-spoke ve iç bağlantılar

• Hub: Bu yazı.
• Spoke (long-tail): sermaye ve likidite, PCI-DSS/3DS, KYC/AML, DR/BCP, komisyon modeli, raporlama, fraud önleme.
• İlgili hizmetler: /fintech, /e-ticaret, /seo, /blockchain.
• İlgili blog:
  • Ödeme Kuruluşu Lisansı Nasıl Alınır
  • E-Para Kuruluşları Listesi
  • Elektronik Para Nedir
  • KYC/AML ve güvenlik pratikleri

Sıkça Sorulan Sorular

E-para kuruluşu için minimum sermaye nedir?

BDDK belirler; EMI’lerde ödeme kuruluşlarından daha yüksek bir eşik uygulanır. Güncel tutarı resmi duyurulardan kontrol edin.

Başvuru dosyasında hangi teknik dokümanlar olmalı?

Ağ/sistem mimarisi, erişim matrisi, HA/DR tasarımı, güvenlik kontrolleri (WAF/DDoS/IPS), PCI-DSS/3DS tasarımı, loglama ve denetim izi politikaları.

KYC/AML’de beklenen adımlar nelerdir?

Kimlik doğrulama (e-ID/yüz tanıma), kara liste taraması, STR akışı, veri saklama ve KVKK uyumu.

Süreç ne kadar sürer?

Hazırlık + başvuru + inceleme toplamda 4–8 ay arası değişebilir; eksiksiz doküman ve hazır altyapı süreyi kısaltır.

PCI-DSS zorunlu mu?

Kart verisi işleniyorsa/taşınıyorsa evet; tokenization olsa bile segmentasyon ve kontroller istenir.

DR/BCP neden kritik?

Kesintisiz hizmet, regülasyon uyumu ve denetim beklentileri için RPO/RTO hedeflerinin kanıtlanması, yedeklilik ve tatbikatlar zorunludur.

Sonuç

E-para kuruluşu için lisans yolculuğu; güçlü uyum paketi, güvenli mimari, sürdürülebilir finansal plan ve eksiksiz başvuru dosyası gerektirir. Hub-spoke içerik ve teknik hazırlık süreci hızlandırır.

Profesyonel destek:

• 📧 iletisim@cesayazilim.com
• 📞 +90 850 225 53 34
• 💬 WhatsApp: E-Para Lisans Ekibi