AMP • DE
Zahlungslizenz in der Türkei erhalten (2025/2026 Leitfaden)
Schritt-für-Schritt-Leitfaden für die BDDK-Zahlungslizenz in der Türkei: Kapitalanforderungen, Antragspaket, Compliance, Sicherheit und Betriebsbereitschaft.
Zahlungslizenz in der Türkei erhalten (2025/2026 Leitfaden)
Dieser Leitfaden beschreibt den BDDK-Prozess für Zahlungslizenzen mit Kapitalanforderungen, Compliance, Sicherheit und Betriebsbereitschaft. Als Hub aufgebaut, mit Verweisen auf Long-Tail-Themen (PCI-DSS, KYC/AML, DR/BCP, Kapitalplanung).
Letztes Update
- Veröffentlichung: 2025-02-06
- Aktualisiert: 2025-12-15 (Regulierung und Kapital geprüft)
1) Rechtlicher und organisatorischer Rahmen
- Aufsicht: BDDK (Gesetz 6493 und sekundäre Regelungen)
- Gesellschaft: Aktiengesellschaft (A.Ş.) in der Türkei
- Governance: Interne Revision, Risikomanagement, Compliance-Funktion
- Compliance: AML/KYC, Datenschutz (KVKK), Protokollierung/Aufbewahrung
- Reporting: Periodische BDDK-Meldungen, IT-Audits, unabhängige Prüfung
2) Kapital und finanzielle Eignung
- Eingezahltes Kapital: Mindestschwelle laut aktueller BDDK-Vorgaben (aktuelle Werte prüfen).
- Höhere Schwelle für E-Geld-Institute.
- Liquiditäts-/Eigenmittelquoten; Rückstellungen und Treasury-Kontrollen.
- 3–5-Jahres-Projektionen: Volumina, Nutzer, OPEX/CAPEX, Umsatzmodell.
3) Technische und Sicherheitsanforderungen
- PCI-DSS, 3DS, Tokenisierung; Netz-Segmentierung.
- DDoS/WAF, IPS/IDS, SIEM, Backups und DRP.
- Zwei Rechenzentren (HA), RPO/RTO-Ziele.
- Secure SDLC: Code-Review, SAST/DAST, OWASP-Kontrollen.
- Unveränderliche Protokolle für kritische Ereignisse; strenge Zugriffskontrolle.
4) Compliance und Betrieb
- KYC/AML: e-ID, Watchlist, STR-Prozess, Datenaufbewahrung.
- Datenschutz: Einwilligung, Lösch-/Anonymisierungsverfahren.
- SLA für Support, Dispute/Chargeback-Handling, Callcenter-Aufzeichnung.
- Business Continuity: DR/BCP-Tests, regelmäßige Übungen.
5) Antragspaket (Kernunterlagen)
- Satzung, Gesellschafterstruktur, Lebensläufe von Vorstand/Management.
- Richtlinien: Internal Control, Risk, Compliance, ISMS, BCP/DRP.
- Technische Architektur: Netzdiagramme, Zugriffs-Matrix, Redundanz/Sicherheitskontrollen.
- Business-Plan: Produkte, Transaktionstypen, Gebühren-/Provisionsmodell.
- Finanzpläne: Kapitalnachweis, Projektionen, Prüfungsplan.
6) Beispiel-Zeitplan (variabel)
- Vorbereitung (Policies, Architektur, Unterlagen): 6–10 Wochen
- Einreichung + Vorgespräche: 2–4 Wochen
- BDDK-Prüfung & Rückfragen: 8–16 Wochen
- Lizenz & Go-Live: insgesamt ca. 4–8 Monate je nach Reifegrad
7) Checkliste
- [ ] A.Ş. gegründet, Kapital eingezahlt
- [ ] Richtlinien (Control/Risk/Compliance/ISMS/BCP) fertig
- [ ] PCI-DSS/3DS-Design vorhanden
- [ ] KYC/AML-Flows definiert (e-ID, Face-Match, Watchlist)
- [ ] DR/BCP getestet, Backups verifiziert
- [ ] Business-Plan + Finanzprognosen fertig
- [ ] Antragspaket (Sicherheit, Architektur, Prozesse) vollständig
8) Hub-Spoke und interne Links
- Hub: Dieser Leitfaden.
- Spokes (Long-Tail): Kapital, PCI-DSS, KYC/AML, DR/BCP, Gebührenmodell, Reporting, Fraud-Kontrollen.
- Verwandte Services:
/de/fintech, /de/e-commerce, /de/seo-dienste, /de/blockchain.
- Verwandte Blogposts:
FAQ
Wie hoch ist das Mindestkapital?
BDDK legt Mindestkapital für Zahlungsinstitute fest; E-Geld-Institute brauchen mehr. Aktuelle Werte in den BDDK-Mitteilungen prüfen.
Welche technischen Unterlagen sind Pflicht?
Netz-/Systemarchitektur, Zugriffs-Matrix, HA/DR-Design, Sicherheitskontrollen (WAF/DDoS/IPS), PCI-DSS/3DS-Design, Logging/Audit-Policies.
Welche KYC/AML-Schritte werden erwartet?
e-ID-Identifikation, Watchlist-Screening, Verdachtsmeldeprozesse (STR), Aufbewahrung gemäß Datenschutz.
Wie lange dauert es?
Typisch 4–8 Monate, abhängig von Vollständigkeit des Dossiers und technischer Reife.
Ist PCI-DSS Pflicht?
Bei Verarbeitung/Transport von Kartendaten wird PCI-DSS erwartet. Auch bei Tokenisierung werden Segmentierung und Kontrollen geprüft.
Warum sind DR/BCP wichtig?
Ununterbrochener Betrieb und regulatorische Anforderungen verlangen nach belegbaren RPO/RTO-Zielen, Redundanz und getesteten Übungen.
Fazit
Lizenzierung erfordert robuste Compliance, sichere Architektur, belastbare Operations und solide Finanzplanung. Ein Hub-Spoke-Content-Setup plus vollständiges technisches Dossier beschleunigt den Prozess.
Professionelle Unterstützung:
- 📧 iletisim@cesayazilim.com
- 📞 +90 850 225 53 34
- 💬 WhatsApp: Payment License Desk
Sıkça Sorulan Sorular
Wie hoch ist das Mindestkapital?
BDDK legt Mindestkapital für Zahlungsinstitute fest; E-Geld-Institute brauchen mehr. Aktuelle Werte in den BDDK-Mitteilungen prüfen.
Welche technischen Unterlagen sind Pflicht?
Netz-/Systemarchitektur, Zugriffs-Matrix, HA/DR-Design, Sicherheitskontrollen (WAF/DDoS/IPS), PCI-DSS/3DS-Design, Logging/Audit-Policies.
Welche KYC/AML-Schritte werden erwartet?
e-ID-Identifikation, Watchlist-Screening, Verdachtsmeldeprozesse (STR), Aufbewahrung gemäß Datenschutz.
Wie lange dauert es?
Typisch 4–8 Monate, abhängig von Vollständigkeit des Dossiers und technischer Reife.
Ist PCI-DSS Pflicht?
Bei Verarbeitung/Transport von Kartendaten wird PCI-DSS erwartet. Auch bei Tokenisierung werden Segmentierung und Kontrollen geprüft.
Warum sind DR/BCP wichtig?
Ununterbrochener Betrieb und regulatorische Anforderungen verlangen nach belegbaren RPO/RTO-Zielen, Redundanz und getesteten Übungen.
Fazit
Lizenzierung erfordert robuste Compliance, sichere Architektur, belastbare Operations und solide Finanzplanung. Ein Hub-Spoke-Content-Setup plus vollständiges technisches Dossier beschleunigt den Prozess.
Professionelle Unterstützung:
📧 iletisim@cesayazilim.com
📞 +90 850 225 53 34
💬 WhatsApp: Payment License Desk