1. AMAÇ

İşbu Olağanüstü Durum Planı (“Plan”), Kuantist Kripto Varlık Alım Satım Platformu Anonim Şirketi’nin (“Şirket”), donanım/yazılım arızaları, elektrik/telekomünikasyon kesintileri, siber saldırılar, doğal afetler, toplumsal olaylar, salgın hastalıklar veya piyasa fiyatlarında ani dalgalanmalara yol açabilecek ekonomik, siyasi, teknolojik ve sistemik olaylar gibi diğer iç/dış faktörler sonucu faaliyetlerinin kesintiye uğraması riskine karşı:  

• İş süreçlerinin ve müşteri hizmetlerinin kesintisizliğini sağlamak,  

• Müşterilere, yasal mercilere ve üçüncü taraflara karşı sorumlulukların yerine getirilmesini temin etmek,  

• Operasyonel, finansal ve itibar risklerini en aza indirmek,  

• Müşteri varlıklarını korumak,  

• Kesinti sonrası faaliyetlerin hızla normale dönmesini sağlamak amacıyla hazırlanmıştır.

2. DAYANAK 

Bu Plan, 13 Mart 2025 tarihli ve 32840 sayılı Resmi Gazete’de yayımlanan "Kripto Varlık Hizmet Sağlayıcıların Kuruluş ve Faaliyet Esasları Hakkında Tebliğ (III-35/B.1)"in 46. maddesinin (1) numaralı fıkrasının "h" bendine dayanılarak hazırlanmış ve Yönetim Kurulu Kararı ile uygulanmasına karar verilmiştir.

3. OLAĞANÜSTÜ DURUM YÖNETİMİNİN KAPSAMI 
   

Şirket’in faaliyetlerini, çalışanlarının can ve mal güvenliğini tehlikeye atabilecek, olağan işleyişini kesintiye uğratabilecek veya hizmet sunumunu engelleyebilecek acil ve beklenmedik durumlar aşağıdaki şekilde belirlenmiştir:

• Doğal Afetler: Deprem, yangın, sel, fırtına gibi olaylar; veri merkezlerinde fiziksel hasar, bigli işlem, iletişim kanalları ve soğuk cüzdanlara erişim kaybı veya blokzincir ağlarına bağlantı kesintisi.

• Fiziksel Faaliyet Alanındaki Beklenmedik Durumlar: Şirket binalarında yangın, patlama, su baskını, sistem odası soğutma arızası gibi durumlar vr sunucuların devre dışı kalması.
  

• Toplumsal ve Güvenlik Olayları: Terör saldırıları, halk ayaklanmaları, savaş, bomba tehditleri veya salgın hastalıklar; fiziksel ofislere erişim kaybı, personel güvenliği riskleri veya operasyonel kesintiler.
  

• Bilgi İşlem ve İletişim Sistemleri Arızaları:

  • Uzun süreli elektrik veya telekomünikasyon kesintileri; platformun çevrimdışı kalması, blokzincir ağlarına erişim kaybı.

  • Siber saldırılar (DDoS, phishing, hack girişimleri), kötü amaçlı yazılımlar veya izinsiz sistem girişleri; müşteri varlıklarının çalınma riski, sıcak cüzdanların tehlikeye girmesi.

  • İnternet altyapı sorunları veya blokzincir ağ kesintileri; işlem onaylarının gecikmesi, transfer süreçlerinin durması.

• Kripto Varlık Piyasalarından Kaynaklanan Durumlar:

  • Ani ve aşırı piyasa dalgalanmaları, likidite eksikliği ile otomatik işlem durdurma (circuit breaker) gerekliliği.

  • Blok zincir ağlarında hard fork, ağ tıkanıklığı veya güvenlik açıkları; ticaretin askıya alınması, varlık transferlerinin aksaması.

  • Finansal piyasalardaki sistemik krizler; ödeme/tahsilat sistemlerinin çalışmaması, banka entegrasyonlarının kesintiye uğraması.
    

• Hizmet Alınan Üçüncü Taraf Kaynaklı Kesintiler: Bulut servisleri, blok zincir altyapı sağlayıcıları, saklama hizmeti sunan kuruluşların faaliyetlerini sürdürememesi; veri erişim kaybı, işlem süreçlerinin durması.

• Düzenleyici Müdahaleler: Kripto varlıklara yönelik ani yasal kısıtlamalar veya yasaklar; işlem hacminin düşmesi, platformun belirli hizmetleri durdurması gerekliliği.

4. OLAĞANÜSTÜ DURUM HALİNDE İŞ AKIŞI
   

   4.1. DURUM TESPİTİNE İLİŞKİN ÖNCELİKLİ ANALİZİN YAPILMASI:

Şirket, olağanüstü bir durumun ortaya çıkması halinde, durumun kaynağının ve kapsamının bariz olmadığı durumlarda, Acil Durum Komitesi (ADK) liderliğinde hızlı ve öncelikli bir analiz süreci başlatır. Bu analizin amacı, kesintinin sebebini tespit ederek etkili müdahale stratejileri geliştirmek, müşterilere doğru bilgilendirme yapmak ve iş sürekliliğini en kısa sürede sağlamaktır. Analiz, Şirket’in teknik altyapısı, piyasa dinamikleri ve dışsal riskler göz önünde bulundurularak yürütülür.

Analiz süreci, öncelikle olayın teknik kaynaklarını incelemeyi içerir. Kesintinin blokzincir ağlarından (örneğin, ağ tıkanıklığı, hard fork), platform sunucularından (donanım/yazılım arızası) veya internet altyapısından (kesinti, bant genişliği sorunu) kaynaklanıp kaynaklanmadığı araştırılır. Siber saldırı şüphesi varsa, sistem logları, güvenlik duvarı kayıtları ve izinsiz erişim izleri detaylı bir şekilde analiz edilir. 

Bunun yanı sıra, piyasa ve operasyonel faktörler de değerlendirilir. Ani piyasa dalgalanmalarının dışsal (ekonomik kriz, manipülasyon) veya içsel (platform likidite eksikliği) sebeplerden mi kaynaklandığı incelenir. İşlem hacmi, likidite seviyeleri ve circuit breaker tetikleyicileri gözden geçirilerek kesintinin müşteri işlemlerine etkisi ölçülür. Ayrıca, dış etkenler de analiz kapsamına alınır; doğal afetler (deprem, yangın), enerji/telekomünikasyon kesintileri, tedarikçi kaynaklı sorunlar (bulut servis kesintisi) veya yasal düzenlemeler gibi faktörler dikkate alınır.

Analiz süreci pratikte şu şekilde işler: ADK, olaydan itibaren en geç 2 saat içinde toplanır ve durumu değerlendirmek için bir ön rapor hazırlar. Teknik ekipler, sistem izleme araçları ve güvenlik yazılımları ile veri toplar. Gerekirse, dış uzmanlar (siber güvenlik firmaları, blokzincir analistleri) veya tedarikçilerle iş birliği yapılarak daha derin bir inceleme gerçekleştirilir. İş Etki Analizi (IEA) güncellenerek kesintinin müşteri varlıklarına, işlem süreçlerine ve platform itibarına etkisi ölçülür.

Sonuçlar, Şirket’in müdahale stratejisini şekillendirir. Sebep bariz değilse (örneğin, bilinmeyen bir siber tehdit veya açıklanamayan piyasa hareketi), analiz sonuçları beklenmeksizin ihtiyati tedbirler uygulanır; işlemler askıya alınır, Şirket sıcak cüzdanlarında tutulan varlıklar soğuk cüzdana aktarılır ve müşteriler bilgilendirilir. Tespit edilen sebep, kurtarma stratejisine (yedek sistemlerin devreye alınması, manuel operasyonlar) temel oluşturur ve bu bilgiler şeffaf bir şekilde müşterilere iletilir. Analiz tamamlandığında, olay raporu hazırlanarak Sermaye Piyasası Kurulu’na sunulur ve gerekirse plan güncellenir. 

4.2.İLETİŞİMİN SAĞLANMASI VE SÜRDÜRÜLMESI

Olağanüstü Durum Planı’nın (ODP) devreye alınmasını gerektiren bir durum ortaya çıktığında, ADK, analiz sürecinin bir uzantısı olarak müşteriler, personel ve düzenleyici/denetleyici yasal mercilerle iletişimi sağlamak ve sürdürmek için hızlı bir koordinasyon başlatır. "Durum Tespitine İlişkin Öncelikli Analizin Yapılması" kapsamında belirlenen kesinti sebebinin bariz olup olmamasına bakılmaksızın, ADK, ilk 2 saat içinde iletişim kanallarının işlerliğini kontrol eder. Bu kontrol, web sitesi, e-posta, SMS, mobil uygulama bildirimleri, telefon hatları ve anlık mesajlaşma araçlarını kapsar; hangi kanalların kullanıma uygun olduğu, hangilerinin işlevsiz kaldığı tespit edilir. Analizden elde edilen ön bulgular, bu aşamada iletişim içeriğini şekillendirmek için temel alınır.

Müşteriler ve ilgili üçüncü kişiler (örneğin, piyasa yapıcılar, tedarikçiler), iletişime uygun olduğu belirlenen kanallar aracılığıyla derhal bilgilendirilir. Şirket’e ait web sitesinin işler halde olması durumunda, ODP’nın devreye alındığı, kesintinin nedeni (örneğin, siber saldırı, piyasa dalgalanması), tahmini çözüm süresi ve müşterilerin alması gereken öncelikli önlemler buradan duyurulur. Web sitesine erişim sağlanamazsa, SMS ve e-posta gibi alternatif kanallar önceliklendirilir; bu mesajlarda, olayın analizi devam ediyorsa geçici durum hakkında bilgi verilir ve müşteriler 7/24 destek hattına (0(850) 255 11 99) veya [email protected] adresine yönlendirilir. İletişim, müşterilerin varlıklarının soğuk cüzdanlarda güvende olduğu güvencesini ve işlem süreçlerindeki aksaklıkların giderilme aşamalarını şeffaf bir şekilde içerecek şekilde tasarlanır.

Şirket’e ait genel iletişim kanallarının tümünün işlev dışı kalması gibi olağanüstü bir senaryoda, ADK, müşterilere ait mobil iletişim numaralarını kullanarak doğrudan irtibata geçer; bu süreçte, analizden elde edilen bulgular doğrultusunda müşterilere özel talimatlar (örneğin, transferlerin ertelenmesi) iletilir. Personel ise GSM hatları veya anlık mesajlaşma uygulamaları üzerinden bilgilendirilir; iletişim bilgileri ADK tarafından güncel tutulan bir veri tabanından alınır. Düzenleyici merciler (Sermaye Piyasası Kurulu, diğer ilgili kuruluşlar) ile iletişim, kesintinin kapsamı ve analiz durumu hakkında resmi bir raporla, uygun ilk kanal üzerinden sağlanır. Herhangi bir iletişim kanalının işlerlik kazanması halinde, bildirim derhal bu kanal aracılığıyla yayımlanır ve diğer kanallar üzerinden çapraz duyuru yapılır.

4.3. ACİL VE BEKLENMEDİK DURUMUN, KARŞI TARAFA OLASI ETKİLERİ HAKKINDA DEĞERLENDİRİLMESİ

Şirket müşterileri, dışardan hizmet alınan kuruluşlar ve diğer üçüncü taraflarla olan ilişkiler değerlendirildiğinde, ODP’nın yürütüldüğü sırada iş süreçlerinin kesintisiz bir şekilde devamlılığının sağlanması amaçlanmaktadır. Müşterilere ait nakit ve kripto varlıkların büyük kısmı bankalar ve saklama hizmeti sunan kripto varlık hizmet sağlayacılar nezdinde saklandığından, ODP’nın yürütülmesi gerektiği durumlarda müşterilere ait para ve varlıkların zayi olması ihtimali söz konusu değildir. Müşterilerin, üçüncü şahısların ve kamu kurum ve kuruluşlarının muhtemel olumsuz durumlardan etkilenmemesi için, işbu ODP uygulaması çerçevesinde gerekli organizasyonel tedbirler alınmış ve alternatif iletişim kanallarının sürekli aktif tutulması için gerekli düzenlemeler yapılmıştır.

4.4. ŞİRKET FAALİYETLERİNİN SÜRDÜRÜLMESİ

Şirket’in faaliyetlerinin aralıksız devamını sağlamak amacıyla, bilgi işlem sistemlerinin sürekliliği için gerekli teknik altyapı ve yedekleme sistemleri kurulmuştur. Kritik sistemler (işlem platformu, cüzdan yönetimi, müşteri veritabanı) düzenli olarak yedeklenir ve bu yedekler, kesintiden etkilenmeyecek coğrafi olarak farklı bir lokasyonda güvenli bir şekilde saklanır. Elektronik kayıtlar, Türk Ticaret Kanunu (TTK) ve ilgili sermaye piyasası mevzuatında öngörülen sürelerde muhafaza edilir.

4.5. KRİTİK VERİ VE KAYITLARIN SAKLANMASI

Şirket, finansal tablolar, müşteri işlem kayıtları, cüzdan adresleri ve diğer mevzuat gereği tutulan belgeleri hem fiziksel hem de elektronik ortamda saklar. Fiziksel belgeler, yangına ve suya dayanıklı dolaplarda Şirket merkezinde muhafaza edilir. Elektronik yedekler, şifrelenmiş bir şekilde bulut sistemlerinde ve yerel sunucularda tutulur. Saklama hizmeti alınan kuruluşlar ile yapılan anlaşmalar, bu varlıkların güvenliğini ve erişilebilirliğini garanti altına alır. Kesinti durumunda, yedek sistemler 2 saat içinde devreye alınarak kayıtlara erişim sağlanır.

4.6. OPERASYONEL RİSK DEĞERLENDİRMESİ

Operasyonel riskler, İş Etki Analizi (IEA) ile düzenli olarak değerlendirilir. Siber güvenlik riskleri için penetrasyon testleri yılda en az iki kez yapılır. Blokzincir ağ tıkanıklığı veya hard fork gibi durumlar için alternatif ağlar kullanılabilir. Finansal riskler, müşteri varlıklarının Şirket varlıklarından ayrı tutulması ve nakit rezervlerin banka hesaplarında saklanmasıyla minimize edilir. Tedarikçi kaynaklı riskler, hizmet sağlayıcıların iş sürekliliği planlarının Şirket ile entegre edilmesiyle kontrol altına alınır.

4.7. ALTERNATİF ŞİRKET MERKEZİ

Yaşanan olağandışı durumun Şirket merkezini kullanılamaz hale getirmesi halinde, alternatif merkez olarak Sanayi Mah. Teknopark Bul. No: 1/4c / 213 Pendik İstanbul adresindeki ofis devreye girer. Bu merkezde, işlem platformu, cüzdan yönetimi ve müşteri iletişim sistemleri test edilmiş ve kullanıma hazır durumdadır. Yıllık testlerle bu sistemlerin işlerliği kontrol edilir. Ayrıca, personelin uzaktan çalışabilmesi için güvenli VPN ve bulut tabanlı erişim sağlanır.

4.8. KURUL’UN VE DİĞER MERCİLERİN BİLGİLENDİRİLMESİ

Olağanüstü durumun tespitiyle birlikte, ADK, başta Sermaye Piyasası Kurulu (SPK) olmak üzere ilgili kuruluşları ivedilikle bilgilendirir. İlk bildirim, kesintinin başlangıcından itibaren 24 saat içinde yapılır ve olay raporu (kesintinin nedeni, etkisi, alınan önlemler) sunulur. Rutin bildirimler, alternatif iletişim kanalları (e-posta, telefon) veya fiziksel teslimat yoluyla sürelerinde aksamadan gerçekleştirilir.

4.9. FAALİYETE DEVAM EDİLEMEME KARARI

Yönetim Kurulu’nun, faaliyetlerin sürdürülemez olduğuna karar vermesi halinde, müşteriler SMS, e-posta ve web sitesi duyurusuyla bilgilendirilir. Müşteri varlıklarının başka bir kripto varlık hizmet sağlayıcıya devri müşteri talimatları doğrultusunda 7 iş günü içinde tamamlanır. Bu süreçte, saklama kuruluşlarıyla koordinasyon sağlanarak varlık transferleri blokzincir üzerinden güvenli bir şekilde gerçekleştirilir.

5. OLAĞANÜSTÜ DURUM KOMİTESİ (ODK)

Planın uygulanmasından sorumlu Acil Durum Komitesi (ADK), Yönetim Kurulu tarafından atanır ve aşağıdaki üyelerden oluşur:

Komite Başkanı

Komite Üyesi (Siber güvenlik ve altyapı sorumlusu)

Komite Üyesi (Müşteri işlemleri ve iletişim sorumlusu)

ADK, olağanüstü durumun tespitiyle birlikte 2 saat içinde toplanır ve iş akışını koordine eder. Komite üyelerinin iletişim bilgileri (telefon, e-posta) başta SPK olmak üzere ilgili tüm yasal mercilere. Üyelerin değişmesi durumunda, yeni atamalar Yönetim Kurulu kararıyla yapılır ve ilgili mercilere güncel bilgiler iletilir.

6. PLANIN TEST EDİLMESİ VE GÜNCELLENMESİ
   

Plan, işlerliğini doğrulamak amacıyla yılda en az bir kez test edilir. Testler, senaryo bazlı simülasyonlarla gerçekleştirilebilir ve sonuçlar ADK tarafından raporlanarak Yönetim Kurulu’na sunulur. Plan, iş süreçlerindeki değişiklikler, teknolojik gelişmeler veya yasal düzenlemeler doğrultusunda yılda bir kez gözden geçirilip güncellenir. Güncellemeler, Yönetim Kurulu onayıyla yürürlüğe girer.

7. YÜRÜRLÜK
   

Bu Plan, 27/03/2025 tarihli Yönetim Kurulu Kararı ile onaylanarak yürürlüğe girmiştir. Plan, onay tarihinden itibaren 5 iş günü içinde Şirket’in internet sitesinde (www.kuantist.com) yayımlanır ve ilgili personel ile paylaşılır.