AC
Anasayfa Makaleler Finans Hukuku

Fintech için 12 Aylık Uyum Yol Haritası: Lisans + MASAK + KVKK

4 Mayıs 2026 Finans Hukuku 2 dk okuma 6 görüntülenme Son güncelleme: 7 Mayıs 2026

Sıfırdan lisanslı fintech kurmak 12-18 ay süre alır. Ay-ay görev listesi: ay 1-3 hazırlık, 4-6 başvuru, 7-9 inceleme, 10-12 onay + launch.

Ay 1-3: Hazırlık

  • Şirket kuruluşu (TTK m.331 vd; A.Ş. zorunlu).
  • Sermaye (1M TL PI / 5M TL EMI).
  • Yönetici uygunluk testi (criminal record, BDDK uygunluk başvurusu).
  • Veri merkezi seçimi (Türkiye); ana DC + DR site.
  • İlk uyum görevlisi atama; MASAK kayıt.

Ay 4-6: Başvuru

  • BDDK lisans dosyası (80+ belge).
  • BT altyapı testleri, ISO 27001 sertifikasyon başvuru.
  • KVKK by-design altyapı: VERBİS kayıt, veri envanteri.
  • MASAK uyum programı dökümentasyonu.
  • İlk pen-test + güvenlik açığı düzeltme.

Ay 7-9: BDDK İnceleme

  • BDDK denetim ziyareti (BT, uyum, finans).
  • Eksiklik bildirimine yanıt (genelde 2-3 round).
  • PCI-DSS denetimi.
  • İlk müşteri segmenti pilot tasarımı.

Ay 10-12: Onay + Launch

  • Lisans onayı.
  • Pilot kullanıcı (50-200) ile sınırlı launch.
  • Uyum görevlisi aylık raporlaması başlar.
  • Marketing + ölçeklendirme.

Hangi danışmanlıklar dış kaynaklı alınır?

QSA (PCI), bağımsız denetim (Big4), pen-test (CEH/OSCP belgeli), KVKK uyum, MASAK uyum dış desteği yaygın.

VC yatırımı bu süreci kısaltır mı?

Evet — sermaye taahhüdü hızlanır. Ancak BDDK incelemesi süresi VC ile değişmez.

İlk yıl ortalama uyum maliyeti?

Lisans + sermaye + altyapı + danışmanlık dahil 5-15M TL aralığı. EMI lisansı maliyetleri PI'ye göre %50 daha yüksek.

Mevcut bir banka ile partnership ile kısalır mı?

BaaS (Banking-as-a-Service) modeliyle evet. Banka lisansı altında çalışırsanız BDDK lisansı zorunlu değil; ancak banka + altyapı sözleşmesi zorlu.

Lisans alındıktan sonra ne kadar süre korunur?

Süresizdir, ancak yıllık denetimler sonucu ihlal/yetersizlik bulunursa askıya alma + iptal yetkisi BDDK'da.

İlgili mevzuat

  • 6493 sayılı Kanun — Ödeme & elektronik para; lisanslama, faaliyet izni.
  • BDDK Yönetmelikleri — Ödeme kuruluşu / EPK izin, sermaye, raporlama.
  • 5549 SK — MASAK; KYC, STR, düzenli faaliyet.
  • KVKK + GDPR — Veri güvenliği, sınır ötesi aktarım.
  • PCI-DSS — Kart saklama; PCI seviye 1-4 uyumu.
Yasal uyarı: Bu yazı genel bilgilendirme amaçlıdır; somut olay için avukatlık görüşmesi gereklidir. Süreler, oranlar ve uygulama içtihatla şekillenir; başvuru öncesi güncel mevzuatı kontrol edin.

Hukuki destek arıyorsanız

Bu konuda profesyonel hukuki destek için Aycan Ceylan Avukatlık Bürosu olarak yanınızdayız.

Görüşme Planla