E-Para ve Ödeme Kuruluşları için Legichain
Kademeli KYC, sürekli yaptırım taraması ve risk tabanlı yükseltme — bir e-para kuruluşunun işlem hızına uyacak biçimde boyutlanmış uyum altyapısı. 6493 sayılı Kanun, MASAK 5549 ve TCMB E-Para Yönetmeliği yükümlülüklerinizi süreç içinde otomatik karşılar.
E-para sektörü 2020'de denetim yetkisinin BDDK'dan TCMB'ye devrinden bu yana hem büyüdü hem de uyum yükü ağırlaştı. 6493 sayılı Kanun çerçevesinde lisanslı e-para kuruluşları ve PSP'ler bugün milyonlarca aktif cüzdanla, günlük binlerce yeni müşteri ile, sürekli MASAK izleme yükümlülüğüyle ve TCMB raporlama döngüsüyle çalışıyor. Kullanıcı deneyimi tarafında ise rakip e-cüzdanlar yeni müşteriyi 90 saniye altında onboarding'i bekliyor. Bu iki uç (uyum sıkılığı + UX hızı) arasındaki denge tek bir vendor'a değil orkestrasyona ihtiyaç duyuyor. Legichain'in kademeli KYC API'si bu dengeyi otomatik kurar: müşterinin ihtiyaç duyduğu limit kademesine göre cihaz parmak izi, NFC ya da görüntülü kimlik tespiti adımları sırayla devreye girer; her kademede yaptırım/PEP taraması koşar ve karar zinciri MASAK formatında saklanır.
E-para kuruluşlarının yaşadığı dört temel sorun
Kademe-bazlı KYC karmaşıklığı
TCMB E-Para Yönetmeliği ve MASAK kararları farklı limit kademelerinde farklı doğrulama gereksinimleri çıkartıyor. Düşük limit için sadece cep telefonu doğrulama yetiyor; yüksek limit için NFC + canlılık veya görüntülü kimlik tespiti gerekiyor. Bunu kullanıcı UX'ini bozmadan yönetmek mühendislik tarafında ciddi yük.
MASAK STR raporlama formatı ve hızı
Şüpheli işlem tespit edildiğinde 10 iş günü içinde MASAK'a bildirim zorunlu. MASAK'ın STR formatı (özellikle eklenen müşteri bilgisi alanları) sürekli güncelleniyor; manuel doldurma hem zaman alıyor hem hata riski yaratıyor. Bir e-para kuruluşunda gördüğümüz şu: STR'lerin %40'ı format hatası nedeniyle bir kez geri dönüyor.
Sürekli yaptırım ve PEP izleme yükü
Aktif portföy 12 milyon cüzdanı geçen e-para kuruluşları için her gün her cüzdanın güncel yaptırım/PEP listesine karşı yeniden taranması gerekiyor. Bunu mevcut altyapıyla yapan kuruluşların büyük çoğunluğu gece batch'lerinin 6-8 saat sürdüğünü, ertesi sabah analist sırasının dolu olduğunu söylüyor.
Hız ve uyum arasındaki ters orantı
Rakip e-cüzdanlar 90 saniye altında onboarding bekliyor; ama tam KYC yapan e-para kuruluşları için bu süre 3-5 dakikaya çıkıyor. Uyumu gevşetmeden bu süreyi sıkıştırmak için sadece müşterinin gerçekten ihtiyaç duyduğu kadar doğrulama yapmak gerekiyor — yani kademe-0 → kademe-1 → kademe-2 dinamik akış.
Legichain'in e-para kuruluşlarına getirdiği yaklaşım
Kademeli KYC API: cihaz → NFC → görüntülü
Kademe-0'da sadece cihaz parmak izi, isim-yaptırım taraması ve cep telefonu doğrulama (15-20 saniye). Müşteri kademe-1 limit talep edince NFC + canlılık otomatik tetikleniyor (45-60 saniye). Kademe-2 (yüksek limit veya kurumsal) için SPK uyumlu görüntülü kimlik tespiti çağrılıyor. Tek API ile yönetiliyor, kademe geçişleri webhook'la core sisteme push ediliyor.
Real-time transaction monitoring
Cüzdan yükleme, transfer, çekim ve harcama olaylarını event stream olarak alıyoruz; kural motoru üzerinde tanımlı senaryolara (örn. 30 dakikada 3 farklı IP'den giriş + 15 bin TL üzeri transfer) karşı gerçek zamanlı karşılaştırma. Karar (allow / require-MFA / hold / STR-aday) milisaniyeler içinde dönüyor; webhook ile core sisteme push.
MASAK STR formatter ve raporlama
Şüpheli işlem tespit edildiğinde Legichain panelinden tek tıkla MASAK STR formatına dönüştürme. Müşteri kimlik bilgileri, işlem geçmişi, ilgili karar zinciri ve eklenen analist notu MASAK'ın son sürüm format gereksinimleriyle otomatik doldurulur — format hataları nedeniyle red oranı sıfıra yakın. 10 iş günü zorunlu sürenin içinde rahatça kalınır.
Webhook orkestrasyonu ile çekirdek sisteme entegrasyon
Her kararın (KYC kademe sonucu, yaptırım eşleşmesi, işlem bloğu, STR adayı) core sisteminize webhook ile push edilmesi. Idempotency anahtarı, retry mantığı ve dead-letter queue varsayılan olarak çalışıyor. Mevcut çekirdek sisteminizi değiştirmenize gerek yok — Legichain karar katmanı olarak yanına yerleşiyor.
Risk profiline göre kademeli KYC
- Kademe-0: cihaz parmak izi + isim üzerinden hafif PEP/yaptırım taraması (15-20 sn)
- Kademe-1: limit yükseltmesinde NFC çipli kimlik + canlılık testi (45-60 sn)
- Kademe-2: yüksek limit veya kurumsal müşteri için SPK uyumlu görüntülü kimlik tespiti
- Aynı tarama çekirdeği döviz transferi, hesap yükleme, e-cüzdan ödemesi süreçlerini besler
- Günlük portföy yeniden tarama ve gerçek zamanlı işlem izleme (transaction monitoring)
- MASAK STR için tek tıkla pre-format çıktı ve idempotent webhook orkestrasyonu
Karşıladığı düzenleyici gereksinimler
E-para ve PSP rejimi 2020'de BDDK'dan TCMB'ye devredildi; bugün denetim TCMB E-Para Yönetmeliği + MASAK çerçevesi + KVKK üzerinde yürür. Legichain bu dört çerçeveyi tek altyapı üzerinde karşılar.
6493 sayılı Kanun (Ödeme ve Menkul Kıymet Mutabakat Sistemleri)
Ödeme Hizmetleri ve Elektronik Para Kuruluşları rejiminin yasal çerçevesi. Müşteri tanıma, sürekli izleme, denetim arşivi ve TCMB'ye raporlama yükümlülüklerinin tümünü kapsayan altyapı; lisanslama denetimi için hazır kanıt zinciri sunar.
MASAK Tedbirler Yönetmeliği (5549 sayılı Kanun)
PSP ve e-para kuruluşları MASAK karşısında yükümlü tarafıdır. Müşteri tanıma, sürekli izleme, eşik üstü işlem bildirimi ve şüpheli işlem bildirimi (STR) yükümlülükleri tek altyapı üzerinden karşılanır; STR çıktısı MASAK'ın son sürüm formatında pre-format.
TCMB E-Para ve Ödeme Kuruluşları Yönetmeliği (22 Ocak 2020 devri)
BDDK'dan TCMB'ye devirden sonra yürürlüğe giren denetim çerçevesi. Kademeli müşteri tanıma sınırları, anonim ön ödemeli araç limitleri ve sürekli izleme rejimi Legichain'in kademe yapısına bire bir uygulanmış olarak gelir.
KVKK (6698 sayılı Kanun)
Kişisel Verilerin Korunması Kanunu kapsamında müşteri kimlik ve biyometrik verilerinin işlenmesi, saklanması ve silinmesi yükümlülükleri. Veri yerleşimi yerel, açık rıza akışları KYC SDK'da entegre, KVKK Aydınlatma Metni şablonları hazır olarak sunulur.
Sıkça Sorulan Sorular
TCMB E-Para Yönetmeliği kademe limitleri yapımıza uyuyor mu?
Legichain kademe yapısı yerel e-para rejiminin standart limit eşikleriyle (aylık 5.000 TL altı anonim/hafif KYC, üstü tam KYC; 50.000 TL üstü ek tedbir) önceden konfigüre edilmiş geliyor. Ama her kuruluş kendi risk iştahına göre eşikleri özelleştirebilir — örneğin daha muhafazakâr bir kuruluş kademe-0 sınırını 2.000 TL'ye indirebilir. Konfigürasyon panel üzerinden, kod deployment gerektirmez. TCMB yerinde denetiminde kademe geçişleri ve gerekçelerinin denetim arşivinde net görünmesi önemli — Legichain bunu otomatik tutar.
MASAK STR'lerimiz format hatası nedeniyle reddediliyor — bu sorunu çözer mi?
MASAK STR format reddi E-para sektörünün en yaygın operasyonel sorunlarından biri. Format kuralları MASAK tarafından yılda 2-3 kez güncelleniyor, manuel doldurmada hata kaçınılmaz. Legichain'in STR formatter'ı MASAK'ın son sürüm spesifikasyonunu takip eder; müşteri kimlik bilgileri, işlem geçmişi ve karar zinciri otomatik doldurulur. Analist sadece serbest metin gerekçe alanını yazar. Bir müşterimizde format reddi oranı %38'den %2'nin altına düştü — çünkü kalan %2 bile genelde analist serbest metin alanı eksikliği.
12 milyon aktif cüzdanın günlük yeniden taranması ne kadar sürüyor?
12 milyon kayıtlı portföy için gece batch yeniden tarama tipik olarak 22-28 dakika içinde tamamlanır. Bu süreyi mümkün kılan iki şey: (1) match-grouping katmanı sayesinde aynı kök isme bağlı varyantların tek karara indirgenmesi, (2) yaptırım/PEP listesindeki delta güncellemelerin (sadece dün eklenen/değişen kayıtların) full portföyle karşılaştırılması. Ertesi sabah analist sırasında sadece gerçekten yeni risk eşleşmeleri düşüyor — eski sistemde 6-8 saat süren ve sabah analistlerin 'ne yiyip içtim' diye baktığı binlerce kayıt artık yok.
Mevcut çekirdek sisteme nasıl bağlanıyor?
E-para kuruluşları için tipik mimari: Legichain'i karar katmanı olarak çekirdek cüzdan/ödeme sisteminizin yanına yerleştirirsiniz. Onboarding akışında REST API çağrısı (kademe-0 için 80-120 ms, NFC veya video gerektiren kademeler için adım sayısına bağlı). İşlem akışında event stream consumer (Kafka, Redis Streams veya HTTP webhook). MASAK STR ve TCMB raporlama için aylık batch export. üç önde gelen yerel e-para core platformu için referans entegrasyon dokümantasyonu var. Tipik teknik entegrasyon 6-10 hafta; paralel/shadow modda 4 hafta validasyon sonrası canlıya.
Pilot başlatmak için ne gerekiyor?
E-para kuruluşları için 5 haftalık paralel pilot programımız var. İlk 2 hafta API entegrasyonu (Postman koleksiyonu ve SDK ile tipik 4-6 mühendis günü) ve kademe konfigürasyonu (ürün ve compliance ekibi ortak çalışması). 3-4. haftalar shadow modda gerçek müşteri trafiğinde paralel karşılaştırma — onboarding süresi, terk oranı, false-positive sayısı ve compliance karar kalitesi metriklerinde somut karşılaştırma. 5. hafta sonuç raporu ve kurumsal karar görüşmesi. Pilot dönemi ücretsiz. Canlı geçiş sözleşmesi tipik 24-36 ay, fiyatlandırma aylık aktif cüzdan ve onboarding hacmine göre kademeli.
İlgili kaynaklar
Modern dijital KYC anatomisi: NFC çip okuma, canlılık testi, kademeli doğrulama tasarımı.
E-para kuruluşları için görüntülü kimlik tespiti tasarımı ve TCMB/MASAK uyum gereksinimleri.
PSP ve e-para özelinde MASAK yükümlülüklerinin pratik yol haritası ve STR raporlama detayları.
5549 sayılı Kanun çerçevesinde tüm yükümlü taraflar için kapsamlı MASAK uyum rehberi.
Bir öğleden sonrada canlı taramaya geçin.
Ücretsiz çalışma alanı oluşturun, ilk API anahtarınızı bir curl çağrısına yapıştırın, bir sonraki ekip toplantısından önce doğrulanmış müşteri kabul akışını üretime alın. Kart bilgisi gerekmez.