Acil Durum İletişim Bilgileri ve Riskin Azaltılmasına Yönelik Tedbirler Prosedürleri
Son Güncelleme: 26 Haziran 2025
1. AMAÇ VE KAPSAM
OKX TR Kripto Varlık Alım Satım Platformu Anonim Şirketi (“Şirket”), kripto varlıklara ve işlemlere yönelik olası riskler hakkında müşterilerini https://tr.okx.com/ adresinden erişilen internet sitesinde yayımlanan Genel Risk Bildirim Formu aracılığıyla bilgilendirmiştir. İşbu Acil Durum İletişim Bilgileri ve Riskin Azaltılmasına Yönelik Tedbirler Prosedürü (“Prosedür”); beklenmedik durum planlarına uygun olarak, olası risklerin gerçekleşmesi halinde müşteri mağduriyetini asgari seviyeye indirebilmek için alınan tedbirler ile, acil ve beklenmedik durumlarda kullanılacak iletişim bilgilerini içermektedir.
İşbu Prosedür’ün amacı; bilgi güvenliğine ilişkin oluşan riskleri ele alma sürecini güçlendirmek ve standartlaştırmak, Şirket’in bu risklere doğru yanıt vermesini sağlamak, ilgili risklerin olumsuz etkisini en aza indirmek, ilgili risklerin azaltılması amacıyla alınabilecek asgari önlemler hususunda müşterileri bilgilendirmek ve Şirket’in bilgi sisteminin olağan şekilde ve istikrarlı gelişimini sağlamaktır.
2. BİLGİ GÜVENLİĞİ KAPSAMINDA MEYDANA GELEN RİSKLER
a. Tanım
Bilgi güvenliği kapsamında meydana gelen riskler; iş operasyonlarını tehlikeye atma ve bilgi güvenliğini tehdit etme olasılığı yüksek olan ve bilgi ve veri gizliliğini, bütünlüğünü veya kullanılabilirliğini olumsuz yönde etkileme ihtimali taşıyan, tek veya bir dizi istenmeyen ve beklenmedik bilgi güvenliği olayları anlamına gelir. Bu riskler; aşağıdakileri kapsayabilir, ancak bunlarla sınırlı değildir:
Gizli bilgilerin izinsiz olarak değiştirilmesi, ifşa edilmesi veya silinmesi.
Bilgi, veri ya da sistem donanımı, aygıt yazılımı veya yazılım özelliklerinde bilgi, talimat veya onay olmaksızın yapılan değişiklikler.
Bilgisayar sistemlerinden kaynaklanan teknik arızalar.
Sistem bağlantılarına, uygulamaya yetkisiz erişim, bu bağlantıların ve uygulamaların yetkisiz kullanımı veya yetkisiz bir şekilde değiştirilmesi.
Bilgisayar sistemlerine yetkisiz erişim (örn. bilgisayar korsanlığı ve siber güvenlik saldırısı).
Gizli bilgilerin saklandığı fiziksel kayıtların, verilerin veya ekipmanın (örn. cep telefonu, dizüstü bilgisayar) kaybolması veya çalınması.
Dahili ağlara veya uygulamalara yönelik virüs veya diğer güvenlik saldırıları.
Önemli bir bilgi teknolojileri altyapısının kullanılamamasına neden olan elektrik kesintisi.
Hizmet reddi (“DoS”) saldırısı.
Dağıtılmış hizmet reddi (“DDoS ”) saldırısı.
Ağa izinsiz giriş yapılmasına yönelik girişimler.
Fiziksel güvenlik ihlalleri (örn. güvenli odaların kapı veya pencerelerinin zorlanması).
b. Riske İlişkin Müşterilerle ve İlgili Otoritelerle İletişime Geçilmesi
Söz konusu risk, Şirket tarafından sunulan hizmeti etkilediğinde veya iş kesintisine neden olduğunda; Şirket, müşteri destek ekibi üzerinden ve e-posta, SMS bildirimleri veya OKX TR tarafından desteklenebilecek veya ilgili şartlar ve koşullar altında başka şekilde sağlanabilecek diğer iletişim kanalları aracılığıyla, müşterilerini derhal bilgilendirecektir.
Bu gibi durumlarda, Şirket; ilgili sermaye piyasası mevzuatı başta olmak üzere, yürürlükteki mevzuata uygun olarak, ilgili düzenleyici ve denetleyici kurum ve kuruluşları ve yetkilileri bilgilendirecektir.
c. Şirket Tarafından Alınan Tedbirler
Bir bilgi güvenliği riski oluşursa ve riskin oluştuğu cihaz veya personelin sistemi, diğer cihaz ve personelin sistemini etkileyecekse; derhal kontrol altına alma önlemleri gerçekleştirilecektir. Bu kapsamda, Şirket nezdindeki bir cihaza ağ virüsü bulaştığı tespit edilirse, ilgili cihazın ağ bağlantısı kesilecektir.
Söz konusu bu risk, bir ekipmanın veya personelin çalışmaması sonucunu doğuruyorsa ve iş operasyonlarını etkiliyorsa; acil durum önlemleri, mümkün olan en kısa sürede uygulanır ve yedek kaynakların devreye sokulması en kısa sürede sağlanır. Bu kapsamdaki acil durum kurtarma çalışmalarında, ikincil bir hasar veya işbu duruma ilişkin kanıt kaybının meydana gelmemesi için gerekli tedbirler alınır.
İlgili riskin nedenlerini tespit etmek ve söz konusu riskin giderilebilmesi adına çözüm yöntemleri bulabilmek için, Şirket’in ilgili departmanı tarafından gerekli soruşturma ve analiz çalışmaları yürütülür.
Söz konusu riskin giderilebilmesi için, Şirket’in ilgili birim ve departmanları; koordine bir şekilde çalışarak, işbu bilgi güvenliği riskini tartışmak ve bu risk hususunda çözümler geliştirmek için toplantı yapmak üzere organize olurlar ve gerekirse, işbu riskin ele alınmasına yardımcı olmak için ilgili üçüncü taraf hizmet sağlayıcılarla iletişime geçilmesine karar verebilirler.
İşbu konuda uygulanacak çözümün belirlenmesinin ardından, Şirket’in ilgili personeli; riskten etkilenen sistemin kurtarılması ve güvenlik onarımı da dahil olmak üzere, sistemin normal çalışma durumuna getirilmesi için, planlanan çözüm programının uygulanmasını gerçekleştirir ve aynı riskin tekrar yaşanmaması için, gerekli teknik işlemleri yapar. Sonrasında, ilgili çözümün sonuç verip vermediği hususu gözden geçirilir ve doğrulanır.
İşbu Prosedür’de yazılanlara ek olarak; bilgi güvenliği risklerinin yönetimi sürecinde ve işbu riskler nedeniyle gerçekleşen servis kesintisinin giderilmesi ve operasyonların mümkün olan en sorunsuz şekilde sürdürülmesi amacıyla, Şirket’e ait İş Sürekliliği ve Kurtarma Planı’nda düzenlenen gerekli adımlar uygulanır.
Söz konusu risk yönetim sürecine ilişkin gerekli hususlar kayıt altına alınır ve bu süreçte hazırlanan belgeler, ilgili mevzuattaki yükümlülüklere ve Şirket tarafından hazırlanan ilgili politika ve prosedürlere uygun bir şekilde saklanır.
Bahsi geçen risklerin yönetimine ilişkin sürece ve işbu riskler konusunda uygulanan çözümlerin sonuçlarına dair gerekli raporlar hazırlanır ve bu raporlar, Şirket’in üst yönetimine ve Yönetim Kurulu’na ibraz edilir.
Söz konusu bu risklerin bir daha yaşanmaması adına; Risk Yönetim Politikası ve bu politikayla bağlantılı olan diğer politika ve prosedürler başta olmak üzere, tüm güvenlik olay raporları ve güvenlik olaylarıyla ilgili güvenlik politikaları, standartları ve prosedürleri gözden geçirilir ve ilgili belgelerin güncellenmesi gerekip gerekmediğini belirlenir. Bu kapsamda, bahsi geçen politika, prosedür ve standartların güncellenmesinde; özellikle mevzuat değişikliği sonucu getirilen gereklilikler ve bilgi güvenliği riskinin giderilmesi hususunda sonradan ortaya çıkan gelişmiş uygulamalar dikkate alınır.
Buna ek olarak, diğer sistem ve cihazların da benzer bir tehdit altında olup olmadığı belirlenir ve bu kapsamda, gerekirse proaktif önlemler alınır.
Ayrıca, bu kapsamda ihtiyaç duyulan iyileştirmelerin ve düzeltmelerin yapılabilmesi için, söz konusu riskten etkilenen Şirket’in ilgili birim ve departmanlarına gerekli geri bildirimler yapılır.
Söz konusu bu bilgi güvenliği risklerinin yönetimine ilişkin süreç hususunda, Şirket’in personellerine gerekli eğitim programları ve farkındalık çalışmaları sağlanır.
d. Müşteriler Tarafından Alınabilecek Tedbirler
Bilgi güvenliğine ilişkin olarak oluşan risklerin önlenmesi ve giderilmesi için; Şirket’in müşterilerine, aşağıda örnek olarak sıralanan tedbirlerin ve önlemlerin alınması tavsiye edilmektedir:
İki Faktörlü Kimlik Doğrulama (“2FA”) etkinleştirilmelidir.
Şifreler karmaşık ve tahmin edilemez olmalı; aynı şifre, başka yerlerde kullanılmamalı ve şifre, düzenli olarak değiştirilmelidir.
Bilinmeyen kaynaklardan gelen bağlantılara tıklanmamalı; bilinmeyen hesaplardan gelen e-postalar, dikkatle incelenmelidir.
Platforma kayıtlı e-posta hesabının güvenliği sağlanmalıdır.
Platforma giriş yapmak için kullanılan cihazların antivirüs yazılımı ve güncellemeleri tam olmalıdır ve gerekirse güvenlik duvarı (“firewall”) uygulamaları kullanılmalıdır.
İlgili cihazlarda herhangi bir güvenlik açığının olup olmadığı hususunda periyodik olarak gerekli kontroller yapılmalıdır.
Kafeler ve havaalanları gibi kamuya açık ve ortak alanlarda sunulan şifresiz internet bağlantılarına erişerek platform hesabına giriş yapılmamalıdır.
Yetkisiz erişimin yapılıp yapılmadığını tespit edebilmek için, düzenli olarak işlem sonuç formları ve hesap ekstreleri kontrol edilmelidir.
Giriş bilgilerinin ve 2FA anahtarlarının yedekleri güvenli şekilde saklanmalıdır.
Platform hesabına erişim kaybı durumunda, kimlik doğrulama süreci yapılmalıdır.
Şüpheli hareketlerde, Şirket’in Müşteri Şikayet Politikası ve Resmi Şikayet Yönetim Prosedürü’nden yararlanılmalıdır ve söz konusu politika ve prosedürde belirtilen iletişim kanallarından veya aşağıda belirtilen acil durum iletişim bilgileri üzerinden, Şirket personeli ile derhal iletişime geçilmelidir.
3. ACİL DURUM İLETİŞİM BİLGİLERİ
Örnek olarak sayılan ve aşağıda belirtilen acil durumlardan birinin gerçekleşmesi halinde, müşteriler; Şirket tarafından sunulan hizmetlere ilişkin olarak, aşağıdaki iletişim adresleri yoluyla ilgili Şirket personeli ile iletişime geçebilirler:
Platform hesabının hacklenmesi (örn. şifrenin ele geçirilmesi, yetkisiz giriş yapılması).
Kimlik avı (“phishing”) saldırıları sonucu giriş bilgilerinin çalınması.
2FA’in devre dışı bırakılması sonucunda, hesabın savunmasız hale gelmesi.
Alım/satım işlemlerinin gerçekleştirilememesi (aşırı yoğunluk, sistem arızası gibi nedenlerle).
Bakiye görüntüleme sorunları (örn. varlıkların görünmemesi veya hatalı gösterimi).
Cüzdan işlemlerindeki gecikmeler (örn. çekim veya yatırma işlemlerinin uzaması).
API kesintileri.
OKX TR Kripto Varlık Alım Satım Platformu’nun sistemlerinin saldırıya uğraması (örn. dağıtılmış hizmet reddi (“DDoS”) saldırıları).
Müşterinin kendi hesabına erişememesi (şifrenin unutulması, e-posta hesabının kaybı gibi nedenlerle).
Kripto varlık kayıplarının yaşanması (personel hatası, teknik arıza vb. nedenlerle).
Şirket’in platformuna ait mobil uygulama veya web sitesine ilişkin erişim kesintisi.
Acil durumların gerçekleşmesi halinde, müşterilerin irtibata geçebileceği Şirket personelinin iletişim bilgileri aşağıdadır:
Adres : Maslak Mah., AOS 55. Sokak, 42 Maslak B Blok Sitesi No:4 İç Kapı No: 542, Sarıyer/İstanbul
E-posta : destek@turkiye.okx.com
4. GÖZDEN GEÇİRME VE ONAY
Bu Prosedür; mevzuattaki değişiklikler ve iş uygulamalarındaki gelişmeler doğrultusunda güncelliğinin korunmasının sağlanması amacıyla, Doküman Sahibi ya da Doküman Yazarı tarafından yılda bir kez veya ihtiyaç hâlinde daha sık gözden geçirilecek ve gerekli görülmesi halinde (örneğin, sektörel güncel pratiklere uyum sağlanması veya mevzuattaki yeni gerekliliklere uyulması amaçlarıyla), güncellenecektir.
Doküman Onaylayan’ın onayı, en az 1 yılda bir veya büyük önemli nitelikte revizyonlar yapıldığında -hangisi önce gerçekleşirse- gereklidir. Küçük sınırlı revizyonlar, Doküman Sahibi tarafından onaylanabilir; ancak Doküman Sahibi aynı zamanda Doküman Yazarı ise bu durum geçerli değildir.
5. KAYIT TUTMA
İşbu Prosedür’ün bir kopyası, yürürlükteki mevzuat uyarınca asgari on (10) yıl süreyle veya daha uzun bir süre boyunca saklanacaktır.