E-Belge Özel Entegratörleri Bilgi Sistemleri Denetim Rehberi

Bu kapsamlı rehber, Gelir İdaresi Başkanlığı (GİB) tarafından yayımlanan e-Belge Özel Entegratörleri Bilgi Sistemleri Denetimi (ÖEBSD) Kılavuzu’nun tüm teknik, idari ve operasyonel gereksinimlerini detaylandırmaktadır. Rehber, özel entegratörlerin uyması gereken 208 kontrol maddesini ve bu süreçlerin yönetim esaslarını bir bütün olarak ele alır.

ÖEBSD Nedir ve Neyi Amaçlar?

ÖEBSD, özel entegratörlerin e-Belge (e-Fatura, e-Arşiv, e-İrsaliye vb.) hizmetlerini sunarken kullandıkları bilgi sistemlerinin güvenliğini, sürekliliğini ve mevzuata uygunluğunu ölçen bağımsız bir denetim sürecidir. Bu denetimin temel amacı, mükelleflere ait kritik verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini garanti altına alarak dijital ekonominin güvenliğini sağlamaktır.

Denetim süreci, 509 Sıra No.lu Vergi Usul Kanunu Genel Tebliği çerçevesinde yürütülür ve GİB’den izin alan veya alacak olan tüm kuruluşları kapsar. Özel entegratörler, bu denetim sayesinde altyapılarını uluslararası standartlara (ISO 27001, 20000, 22301) ve GİB’in spesifik teknik kriterlerine uygun hale getirmekle yükümlüdür.

Denetim ve Onay Sürecinin İşleyişi

Özel entegratörlük başvurusu yapan adayların, denetimi yaptırmış olmaları ve raporu başvuru dosyasına eklemeleri zorunludur. Mevcut entegratörler için denetim döngüsü şu şekilde işler:

• Periyodik Denetim: İlk denetimi takip eden her 2 yılda bir denetim yaptırılması zorunludur.
• Raporun Geçerliliği: Denetim raporları tarihinden itibaren en fazla 2 yıl geçerlidir ve süre bitmeden yenisinin GİB’e sunulması gerekir.
• Bildirim Süresi: Tamamlanan raporlar, rapor tarihinden itibaren en geç 15 gün içinde GİB’e yazılı olarak gönderilmelidir.
• BİS Raporu Güncelleme: Denetimden en az 1 ay önce güncel Bilgi İşlem Sistemleri (BİS) raporu GİB’e ve denetim kuruluşuna iletilmelidir.

GİB, denetim sonuçlarını kendi web sitesinde yayınlayabilir. Belirlenen sürelerde rapor sunmayan entegratörlerin izinleri önce askıya alınır; 6 aylık ek sürede de rapor sunulmazsa yetki iptal edilir.

Özel entegratörlerin bilgi sistemleri denetimi kimler tarafından, ne sıklıkta gerçekleştirilmelidir?

Özel entegratörlerin bilgi sistemleri denetimi (ÖEBSD), bankacılık ve sermaye piyasası mevzuatı çerçevesinde bilgi sistemleri denetimi yapmaya yetkili bağımsız denetim kuruluşları tarafından, ilk yetkilendirme aşamasında ve sonrasında her 2 yılda bir periyodik olarak gerçekleştirilir.

Kuruluşların bu denetim süreçlerini nasıl yönetmesi gerektiğine dair detaylar aşağıda kategorize edilmiştir:

1. Denetimi Gerçekleştirecek Kuruluşlar

Denetimler, herhangi bir teknoloji firması veya danışmanlık şirketi tarafından değil, yalnızca belirli yetkilere sahip kurumlarca yapılabilir:

• Yetkili Kuruluşlar: Denetim, Bankacılık ve Sermaye Piyasası Mevzuatı çerçevesinde bilgi sistemlerine yönelik bağımsız denetim faaliyeti yürütme yetkisi bulunan bağımsız denetim kuruluşları tarafından yerine getirilir.
• Denetçi Rotasyonu: Özel entegratörler, denetim hizmetini aynı denetçiden en fazla 2 kez üst üste alabilir. Denetim ekibinin değişmesi şartıyla, aynı bağımsız denetim kuruluşundan (şirket olarak) en fazla 5 defaya kadar hizmet alınması mümkündür.

2. Denetim Zamanlaması ve Sıklığı

Denetimlerin zamanlaması, kuruluşun statüsüne (aday veya yetkili) göre değişiklik gösterir:

• Başvuru Aşaması: Özel entegratör olmak isteyen adayların, başvuru dosyalarına ÖEBSD Görüş Yazısı ve Raporu'nu eklemeleri zorunludur.
• Periyodik Denetimler: Yetki almış olan kuruluşlar, ilk denetim tarihinden itibaren her 2 yılda bir bu denetimi tekrarlamakla yükümlüdür.
• Rapor Geçerliliği: Hazırlanan bağımsız denetim raporları, rapor tarihinden itibaren en fazla 2 yıl geçerlidir. Yeni raporun, mevcut sürenin bitiminden önce GİB’e sunulması şarttır.
• Başkanlık Denetimi: GİB, periyodik denetimlerden bağımsız olarak dilediği zaman kendi personeliyle yerinde denetim yapabilir veya 2 yıl geçmemiş olsa dahi özel entegratörden yeni bir ÖEBSD yaptırmasını talep edebilir.

3. Denetim Öncesi ve Sonrası Bildirim Süreçleri

Denetim sürecinin resmiyet kazanması için belirli bildirim sürelerine uyulmalıdır:

• BİS Raporu Bildirimi: Özel entegratörler veya adayları, denetim tarihinden en az 1 ay önce güncellenmiş Bilgi İşlem Sistemleri (BİS) raporunu GİB'e ve denetimi yapacak kuruluşa göndermelidir.
• Rapor Teslimi: ÖEBSD sonuçlarını içeren görüş yazısı ve rapor, rapor tarihinden itibaren en geç 15 gün içinde GİB’e yazılı olarak iletilmelidir.

Özel Entegratör Bilgi Sistemleri Denetimi (ÖEBSD) Kapsamı ve 7 Alt Başlık

Özel Entegratör Bilgi Sistemleri Denetimi (ÖEBSD), Gelir İdaresi Başkanlığı'ndan (GİB) izin alan veya alacak olan kuruluşların e-Belge uygulamalarıyla ilgili faaliyet ve süreçlerine ilişkin bilgi sistemlerini kapsar. Bu denetim, kuruluşların bilgi sistemlerinin Kılavuz'da belirtilen teknik ve idari kriterleri karşılayıp karşılamadığını bağımsız denetim faaliyetleri aracılığıyla belirlemek üzere tasarlanmıştır.

Kılavuzda "Sistem ve Güvenlik Değerlendirme Sınıfı (ÖEBSD_SIS)" altında tanımlanan 7 temel alt başlık (bileşen) şunlardır:

Sistem ve Güvenlik Değerlendirmesinin 7 Alt Başlığı

1. ÖEBSD_SIS.1 Fiziki Şartlar ve Güvenlik Tedbirleri: Veri merkezlerinin fiziksel güvenliği, iklimlendirme ve afetlere karşı koruma önlemlerinin kontrol edilmesini kapsar.
2. ÖEBSD_SIS.2 Erişim Güvenliği: Bilgi sistemlerine yönelik hem fiziksel hem de elektronik erişim yetkilendirmeleri ve doğrulama mekanizmalarının uygunluğunu denetler.
3. ÖEBSD_SIS.3 İş Sürekliliği, Risk Yönetimi ve Acil Durum Planları: Hizmetin kesintisiz sürdürülmesi için hazırlanan planların ve risk analizlerinin kurallara uygunluğunu kontrol eder.
4. ÖEBSD_SIS.4 Değişiklik Yönetimi: Yazılım geliştirme, test ve canlı ortama geçiş süreçlerindeki sürüm kontrolleri ve onay mekanizmalarını inceler.
5. ÖEBSD_SIS.5 Denetim İzleri Yönetimi: Sistemde gerçekleşen tüm işlemlerin kayıt altına alınması (log yönetimi) ve bu kayıtların güvenli saklanması süreçlerini kapsar.
6. ÖEBSD_SIS.6 Dış Hizmet Sağlayıcılarının Yönetimi: Entegratörün dışarıdan aldığı hizmetlerin (taşeron yönetimi) Kılavuz kriterlerine ve sözleşme esaslarına uygunluğunu kontrol eder.
7. ÖEBSD_SIS.7 Hizmet Yazılımlarına İlişkin Kontroller: e-Fatura, e-Arşiv, e-İrsaliye gibi uygulama yazılımlarının GİB standartlarına, şematron kurallarına ve imza normlarına uygunluğunu denetler.

Bu alt başlıklar, denetim sırasında toplam 208 kontrol maddesi üzerinden değerlendirilir ve denetçinin nihai görüşünü (olumlu, şartlı vb.) oluşturmasında temel teşkil eder.

Kritik Varlıkların ve Aktörlerin Sınıflandırılması

Sistemde ifşa olması veya tahrif edilmesi durumunda tüm yapının bütünlüğünü bozabilecek unsurlar "Kritik Varlıklar" olarak tanımlanır.

Birincil Varlıklar

Bu varlıklar, özel entegratör tarafından üretilen veya saklanan ve en az 10 yıl boyunca korunması zorunlu olan verilerdir:

1. Mükellef Bilgileri: Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında korunması gereken özel bilgilerdir.
2. İşlem Kayıtları: Veri aktarım protokollerine ve güvenli haberleşmeye dair tüm loglar.
3. e-Belge Verileri: e-Fatura, e-Arşiv, e-İrsaliye içerikleri. Bu veriler, GİB’e gönderilen zarf içeriği ile birebir aynı olmalı ve tahrifata karşı korunmalıdır.
4. Saklama Verileri: Saklama hizmeti kapsamında Türkiye Cumhuriyeti sınırları içerisinde muhafaza edilen tüm belgeler.

İkincil Varlıklar

Birincil varlıkları korumak için kullanılan teknolojik altyapılardır. HSM (Donanım Güvenlik Modülü) cihazları, kriptografik anahtarlar, sunucular, güvenlik duvarları, ağ topolojileri ve yetkili kullanıcı listeleri bu kapsama girer.

Sistem Aktörleri ve Tehdit Kaynakları

• Yetkili Kullanıcılar: Personel, kurulumcu, bakımcı veya denetçilerdir. İhmal, yetersiz eğitim veya kötü niyet (şantaj, veri hırsızlığı, sabote) gibi nedenlerle tehdit oluşturabilirler.
• Yetkisiz Kullanıcılar: Hackerlar veya siber teröristlerdir. Sosyal mühendislik, sistem açıkları ve kriptografik saldırılarla sisteme zarar vermeye çalışırlar.

Teknik ve Fiziki Güvenlik Standartları

Fiziki Güvenlik ve Sistem Odası Şartları

Entegratörün bilgi sistemleri, ISO standartlarına uygun fiziksel koruma altında olmalıdır.

• Çevresel Faktörler: Uygun iklimlendirme, yangın söndürme, güç yedekliliği ve doğal afetlere karşı koruma sistemleri bulunmalıdır.
• Görüntüleme: Kritik odalar 7/24 görüntü kaydı altına alınmalı ve bu kayıtlar en az 6 ay saklanmalıdır.
• Giriş Kontrolü: Odalara erişimde en az iki faktörlü kimlik doğrulama kullanılmalı ve kapılar endüstri standardı çelik yapıda olmalıdır.

Erişim Güvenliği ve Şifreleme (Kriptografi)

Sistemlere erişimde "en az iki yetkili" ilkesi esastır; yani kritik bir işlem tek bir personelin onayıyla gerçekleşemez.

• Şifre Politikası: Kullanıcı şifreleri en geç 90 günde bir değiştirilmeli ve endüstriyel güvenli şifre standartlarına uygun olmalıdır.
• Kriptografik Modüller: Anahtarlar mutlaka FIPS 140-2 Düzey 3 veya EAL 4+ sertifikalı HSM cihazlarında saklanmalı ve işlemler cihaz üzerinde yapılmalıdır.
• Algoritmalar: Veri gizliliği için AES 256, asimetrik şifreleme için RSA 2048 ve özetleme (hash) için SHA-2 kullanılmalıdır.

Operasyonel Dayanıklılık: Risk, İş Sürekliliği ve FKM

Özel entegratörler, hizmetlerinin kesintisizliğini (aylık minimum %99,75 kullanılabilirlik) sağlamak zorundadır.

Risk Yönetimi ve Sızma Testleri

• Risk Analizi: Tüm varlıklar için olasılık ve etki analizine dayalı "Risk Değerlendirme Tablosu" oluşturulmalıdır. Yönetim gözden geçirme (YGG) raporları 10 yıl saklanmalıdır.
• Sızma Testleri: Yılda en az bir kez; ağ, işletim sistemi, uygulama, veri tabanı ve mobil uygulamaları kapsayan sızma testleri yaptırılmalıdır. Tespit edilen açıklar bir takvime bağlı eylem planıyla giderilmelidir.

Felaket Kurtarma Merkezi (FKM)

Ana merkezde bir kesinti yaşanması durumunda hizmetin devam etmesi için FKM kurulumu zorunludur:

• Konum: FKM, ana merkezden farklı bir ilde olmalıdır.
• Veri Senkronizasyonu: Veri tabanı yedeği en fazla 30 dakika gecikmeli olmalıdır.
• Kurtarma Süresi: Hizmet, kesinti başladıktan sonra en geç 6 saat içinde FKM üzerinden verilebilir hale gelmelidir.
• Tatbikatlar: Yılda en az bir kez, iki farklı senaryoya göre acil durum tatbikatı yapılmalıdır.

Yazılım Geliştirme ve Kayıt (Log) Yönetimi

Değişiklik Yönetimi

Yazılım süreçlerinde hata riskini azaltmak için "test" ve "canlı" ortamlar fiziksel veya mantıksal olarak birbirinden ayrılmalıdır.

• Sürüm Kontrolü: Yazılımın tüm geçmiş sürümleri, değişiklik tarihçesi (kim, ne zaman, niçin yaptı) ile birlikte 5 yıl saklanmalıdır.
• Veri Güvenliği: Test ortamlarında gerçek mükellef verileri yerine anonimleştirilmiş veya farklılaştırılmış veriler kullanılmalıdır.
• Bütünlük: Canlı ortamdaki yazılımların bütünlüğü anlık izlenmeli ve bozulma durumunda otomatik uyarı verilmelidir.

Denetim İzleri (Loglar)

Sistemdeki tüm hareketler (uygulama erişimi, yetkili onayları, hata kayıtları, ağ trafiği) kayıt altına alınmalıdır.

• İçerik: Loglarda işlem açıklaması, zaman bilgisi, sonuç ve etkilenen sistem bilgisi mutlaka bulunmalıdır.
• Koruma: Kayıtların bütünlüğü zaman damgası veya benzeri yöntemlerle korunmalı ve en az 10 yıl saklanmalıdır.
• Analiz: Olağan dışı veri yüklemeleri veya izinsiz erişim denemeleri için gerçek zamanlı analiz yapan ve uyarı üreten sistemler kurulmalıdır.

Kurumsal Yapı: Personel ve Dış Hizmet Yönetimi

Personel Gereksinimleri

Özel entegratör, belirli uzmanlık alanlarında (Ağ güvenliği, veri tabanı, yazılım geliştirme, konfigürasyon, test vb.) ayrı personel istihdam etmelidir.

• Görevler Ayrılığı: Geliştirme yapan personel ile test veya işletim yapan personel aynı kişi olamaz.
• Bildirim: Organizasyon şeması ve personel değişiklikleri (TCKN, eğitim durumu vb.) 15 gün içinde GİB’e bildirilmelidir.

Dış Hizmet Alımı (Taşeron Yönetimi)

Entegratör, bazı teknik hizmetleri dışarıdan alabilir ancak bu durum sorumluluğu değiştirmez.

• Sözleşme: Alınan hizmetin kapsamı ve süresi sözleşmede net olmalı ve GİB’e 15 gün içinde bildirilmelidir.
• Denetim Yetkisi: Taşeron kuruluş, kılavuzdaki tüm şartlara uymak ve denetçinin fiziksel erişimine açık olmak zorundadır.
• HSM Koşulu: Eğer HSM cihazı taşeronda bulunuyorsa, bu cihaz münhasıran o entegratöre adanmış olmalıdır.

Hizmet Yazılımlarına İlişkin Özel Kontroller

Kılavuzun en detaylı bölümlerinden biri (EK 1 - SIS.7), e-Belge türlerine göre yazılımların uyması gereken teknik kuralları içerir.

e-Fatura Kontrolleri

• Şematron ve İmza: Belgeler gönderilmeden önce güncel GİB şematron kontrolünden ve imza sertifikası (CRL, OCSP) doğrulamasından geçmelidir.
• Zarf Yönetimi: Hatalı zarflar kullanıcı müdahalesi olmadan belirli aralıklarla yeniden denenmelidir.
• 8 Gün Kuralı: Ticari faturalara gelen uygulama yanıtları, alıcıya ulaştıktan sonra 8 gün içinde kabul edilmelidir.
• UBL Teslimi: Hizmeti kapatan müşteriye belgeleri XML/UBL formatında teslim edilmelidir.

e-Arşiv Fatura Kontrolleri

• Özel Raporlama: Her e-Arşiv faturası GİB’e iletilecek e-Arşiv Raporu’na dahil edilmelidir.
• ETTN ve Numara: Sistemde aynı ETTN veya fatura numarasıyla mükerrer kayıt oluşturulması engellenmelidir.
• Görüntüleme: Müşteriye gönderilen e-postalarda imzalı UBL eki veya indirme URL'si bulunmalıdır.

e-İrsaliye Kontrolleri

• Yanıt Süresi: Gelen irsaliyelere yanıt oluşturma süresi 7 gün ile sınırlıdır.
• Sistem Yanıtı: Kullanıcıların manuel sistem yanıtı (zarf yanıtı) göndermesine izin verilmemeli, bu işlem otomatik yapılmalıdır.

Denetim Sonuçları ve Değerlendirme Puanlaması

Denetçi, 208 kontrol maddesi üzerinden yaptığı incelemeler sonucunda dört farklı görüşten birini bildirir:

1. Olumlu Görüş: 208 maddenin en az 166'sına (%80) tam uyum sağlanmalıdır. Ayrıca her bir değerlendirme sınıfından (Personel, Sistem vb.) en az %70 başarı sağlanması şarttır.
2. Şartlı Görüş: Denetim için yeterli kanıt bulunamadığında veya küçük eksikliklerde verilir. Entegratöre 90 gün süre verilir.
3. Olumsuz Görüş: Kritik güvenlik eksikliklerinde verilir. Faaliyet durdurulur ve 6 ay içinde olumlu rapor sunulmazsa yetki iptal edilir.
4. Görüşten Kaçınma: Denetçinin görevini yapması engellendiğinde verilir. Üst üste iki kez bu sonuç alınırsa faaliyet askıya alınır.

Sonuç

ÖEBSD süreci, özel entegratörlerin sadece teknik birer aracı değil, aynı zamanda güvenli birer veri kalesi olmalarını sağlar. ISO sertifikasyonları, HSM kullanımı, FKM yedekliliği ve 10 yıllık log saklama gibi zorunluluklar, Türkiye'nin e-Belge altyapısının sürdürülebilirliği için temel taşlardır. Entegratörlerin bu kılavuzdaki kurallara titizlikle uyması, hem hukuki yaptırımlardan korunmak hem de müşteri güvenini tesis etmek adına kritik önem taşımaktadır.

Not: E-Belge Özel Entegratörleri Bilgi Sistemleri Denetim Rehberi Kasım 2019’da yayınlanan e-BELGE ÖZEL ENTEGRATÖRLERİ BİLGİ SİSTEMLERİ DENETİMİ KILAVUZU baz alınarak hazırlanmıştır. İlgili kılavuza şuradan ulaşabilirsiniz.