Ödeme Kuruluşu Lisansı Nasıl Alınır? 2025/2026 Mevzuat Rehberi

Bu rehberde BDDK nezdinde ödeme kuruluşu lisansı almak için gereken sermaye, organizasyon, uyum, güvenlik, teknik altyapı ve başvuru adımlarını 2025/2026 güncel beklentileriyle ele alıyoruz. İçerik hub & spoke stratejisiyle kurgulanmıştır; long-tail konulara (sermaye, PCI-DSS, IT güvenliği, iç kontrol, KYC/AML, iş planı) iç bağlantılar ekleyerek arama niyeti eşleşmesini güçlendiriyoruz.

Son güncelleme

• Yayın: 2025-02-06
• Son güncelleme: 2025-12-15 (mevzuat ve sermaye eşiği kontrol edildi)

1) Yasal ve kurumsal çerçeve

• Düzenleyici: BDDK (6493 sayılı Kanun; ilgili yönetmelikler)
• Kuruluş: Anonim Şirket (A.Ş.) ve Türkiye’de yerleşik merkez
• İç kontrol ve risk yönetimi: Ayrı birimler, bağımsız denetim ve iç denetim fonksiyonu
• Uyum: MASAK/KVKK, müşteri kimlik doğrulama, saklama ve loglama politikaları
• Raporlama: BDDK periyodik raporlar, bilgi sistemleri denetimleri, bağımsız denetim

2) Sermaye ve finansal yeterlilik

• Ödeme kuruluşu için ödenmiş sermaye: yönetmelikte belirtilen minimum tutar (güncel rakamları BDDK duyurularıyla kontrol edin).
• Elektronik para için daha yüksek sermaye gereği (örnek: 10 mn TL ve üzeri).
• Öz kaynak/sermaye yeterlilik oranları; teminat, provizyon ve likidite yönetimi.
• Finansal projeksiyon: 3-5 yıllık gelir-gider, işlem hacmi, kullanıcı büyümesi ve operasyonel gider tahminleri.

3) Teknik altyapı ve bilgi güvenliği

• PCI-DSS uyumu (kartlı işlemler için), 3DS ve tokenization desteği.
• DDoS/WAF, IPS/IDS, SIEM, yedekleme ve felaket kurtarma planı (DRP).
• Çift veri merkezi (aktif/pasif veya aktif/aktif), yüksek erişilebilirlik (HA) mimarisi.
• Uygulama güvenliği: Güvenli kod geliştirme (OWASP), kod inceleme, statik/dinamik testler.
• Loglama ve saklama: Çekirdek bankacılık benzeri kritik logların değiştirilemez şekilde saklanması.

4) Uyum ve operasyon

• KYC/AML: Kimlik doğrulama, kara liste kontrolleri, şüpheli işlem raporu (STR), uyum politikaları.
• KVKK: Aydınlatma metni, açık rıza, veri saklama süreleri, anonimleştirme/silme prosedürleri.
• Müşteri desteği: SLA’lar, itiraz ve iade süreçleri, çağrı merkezi kayıt altyapısı.
• İş sürekliliği: BCP/DRP tatbikatları, RPO/RTO hedefleri, düzenli test.

5) Başvuru paketi (çekirdek belgeler)

• Ana sözleşme, ortaklar ve pay yapısı, yönetim kurulu/üst yönetim CV’leri.
• İç kontrol, risk, uyum, bilgi güvenliği ve iş sürekliliği politikaları.
• Teknik mimari dokümanı: ağ diyagramları, erişim matrisi, yedeklilik ve güvenlik kontrolleri.
• İş planı: Hedef pazar, ürün kapsamı, işlem türleri, ücret/komisyon modeli.
• Finansal projeksiyonlar, sermaye ispatı, bağımsız denetim planı.

6) Zaman planı (örnek, değişebilir)

1. Hazırlık (politikalar, mimari, belgeler): 6-10 hafta
2. Başvuru dosyası ve ön görüşmeler: 2-4 hafta
3. BDDK incelemesi ve ek bilgi talepleri: 8-16 hafta
4. Lisans ve faaliyet izni: revizyonlarla birlikte toplam 4-8 ay arası değişebilir.

7) Kontrol listesi (özet)

• [ ] A.Ş. kuruluşu ve sermaye tamamlandı mı?
• [ ] İç kontrol, risk, uyum, BGYS politikaları hazır mı?
• [ ] PCI-DSS / 3DS gereksinimleri için teknik tasarım yapıldı mı?
• [ ] KYC/AML akışları (e-devlet, yüz tanıma, Mernis doğrulama) tasarlandı mı?
• [ ] DR/BCP planı ve yedekleme senaryosu test edildi mi?
• [ ] İş planı ve finansal projeksiyonlar hazırlandı mı?
• [ ] Başvuru dosyası ve ekleri (güvenlik, mimari, süreçler) tamamlandı mı?

8) İç bağlantı ve hub-spoke önerileri

• Hub: Bu yazı.
• Spoke uzun kuyruklar:
  • Sermaye ve finansal yeterlilik (detay)
  • PCI-DSS ve kartlı ödeme güvenliği
  • KYC/AML süreç tasarımı
  • DR/BCP ve yedekleme mimarisi
  • Ücret/komisyon modeli ve muhasebe entegrasyonları
  • TCMB/BDDK raporlama ve bağımsız denetim
  • Operasyonel risk ve sahtekarlık önleme
• İlgili hizmetler: /fintech, /e-ticaret, /seo (teknik/scale-up destek), /blockchain (tokenizasyon/p2p çözümleri).
• İlgili blog:
  • Elektronik Para Kuruluşu Nasıl Kurulur
  • E-Para Kuruluşları Listesi
  • Elektronik Para Nedir
  • KYC/AML Süreçleri

Sıkça Sorulan Sorular

Ödeme kuruluşu lisansı için asgari sermaye ne kadar?

BDDK düzenlemelerine göre ödeme kuruluşları için belirlenmiş asgari ödenmiş sermaye şartı vardır (güncel tutar için BDDK duyurularını kontrol edin). Elektronik para kuruluşlarında bu tutar daha yüksektir.

Başvuru dosyasında hangi teknik dokümanlar olmalı?

Ağ ve sistem mimarisi, erişim matrisi, yedeklilik ve felaket kurtarma planı, güvenlik kontrolleri (WAF/DDoS/IPS), PCI-DSS/3DS uyum tasarımı, loglama ve denetim izi politikaları.

KYC/AML için zorunlu kontroller nelerdir?

Kimlik doğrulama (e-devlet/uzaktan kimlik), kara liste taraması, şüpheli işlem senaryoları, STR bildirim akışı, veri saklama ve KVKK uyumu.

Süreç ne kadar sürer?

Hazırlık + başvuru + inceleme döngüsü genelde 4-8 ay arası değişir; eksiksiz dosya ve hazır altyapı süreyi kısaltır.

PCI-DSS zorunlu mu?

Kart verisi işleyen/taşıyan/paylaşan yapılarda PCI-DSS kontrolü beklenir. Dolaylı entegrasyonlarda bile tokenization ve segmentasyon tasarımı talep edilebilir.

DR/BCP neden kritik?

Kesintisiz hizmet ve denetim gereklilikleri için RPO/RTO hedeflerinin kanıtlanması, yedekli altyapı ve düzenli tatbikat zorunludur.

Sonuç ve öneri

Ödeme kuruluşu lisansı; sağlam bir uyum paketi, güçlü bilgi güvenliği mimarisi, KYC/AML süreçleri ve sürdürülebilir finansal projeksiyonlarla desteklenmelidir. Hazırlıkta hub-spoke içerik stratejisi ve güçlü teknik dosya, lisans sürecini hızlandırır.

Profesyonel destek için:

• 📧 iletisim@cesayazilim.com
• 📞 +90 850 225 53 34
• 💬 WhatsApp: Ödeme Lisansı Danışmanı