Teklif Alın

Özel Entegratör Kuruluşları Bilgi Sistemleri Denetimi

Özel Entegratör Kuruluşları Bilgi Sistemleri Denetimi

Hazine ve Maliye Bakanlığı-Gelirler İdaresi Başkanlığı tarafından 19.11.2019 tarihinde “e-Belge Özel Entegratörleri Bilgi Sistemleri Denetimi Kılavuzu” yayınlanmıştır: https://ebelge.gib.gov.tr/duyurular.html

Yayınlanan kılavuz GİB’den izin alan/alacak olan Özel Entegratör kuruluşlarının e-Belge uygulamaları ile ilgili özel entegratörlük faaliyet ve süreçlerine ilişkin bilgi sistemlerinin Başkanlıkça bu Kılavuzda belirtilen isteklerin karşılanıp karşılanmadığına yönelik bilgi sistemleri bağımsız denetim faaliyetinin gerçekleştirilmesine ve özel entegratör kuruluşlar nezdindeki sonuçlarına ilişkin usul ve esasları belirlemek üzere hazırlanmıştır.

Mevcut durumda özel entegratörlük iznine sahip firmalara ilk denetimlerini yaptırmak üzere 31/12/2020 tarihine kadar süre verilmiştir. Firmalar ilk denetim tarihini takip eden her 2 yılda bir bilgi sistemleri süreçleri denetimi yaptırmak zorundadır.

Kılavuz ile denetim yapma yetkisi Bankacılık ve Sermaye Piyasası Mevzuatı çerçevesinde bilgi sistemleri denetimi yapma yetkisine haiz bağımsız denetim kuruluşlarına verilmiştir. “GÜRELİ Yeminli Mali Müşavirlik ve Bağımsız Denetim Hizmetleri A.Ş.” SPK ve BDDK nezdinde bilgi sistemleri denetimi yapmaya yetkili az sayıda denetim kuruluşundan biridir. e-Belge Özel Entegratörleri Bilgi Sistemleri Denetimi Kılavuzu’na uyum çalışmaları ve denetimi konularında sizlere destek olmak isteriz.

e-Belge Özel Entegratörleri Bilgi Sistemleri Denetimi Kılavuzu

Kritik varlıklar ve aktörler

ÖEBSD Kılavuzu içinde Kritik varlıklar ve aktörler ile ilgili tanımlara yer verilmiştir:

  • Kritik Varlıklar

Sistemde var olan ve ifşa olması veya tahrif edilmesi durumunda sistemin gizliliğini, bütünlüğünü, kaynak/kimlik doğruluğunu veya erişilebilirliğini olumsuz yönde etkileyecek varlıklardır:

  • Birincil Varlıklar: Mükellef/Kullanıcı Bilgileri, İşlem Kayıtları, Güvenli Haberleşmeye Dair Parametrelerin yanı sıra e-Fatura, e-Arşiv, e-İrsaliye, e-Belge Saklama gibi Verilen Hizmetlere Ait Bilgiler
  • İkincil Varlıklar: Birincil varlıkları korumak için özel entegratör tarafından kullanılan her türlü kriptografik anahtar, kullanıcı adı, erişim şifresi, HSM vb. özelleşmiş cihazlar, aktif ağ cihazları, sunucular, personel bilgisayarları ve diğer yazılımlar
  • Aktörler

Yetkili Kullanıcılar ve Yetkisiz Kullanıcılar (Hacker, Siber Terörist, vb.) olarak ikiye ayrılan aktörler ile ilgili tehditler tanımlanmıştır.

Bilgi Sistemleri Yönetimi

Ayrıca aşağıdaki başlıklar altında bilgi sistemlerinde tesis edilmesi ve işletilmesi gereken kontrollere yer verilmiştir:

ÖEBSD Süreci ve Sonuçları

ÖEBSD Kılavuzunda özel entegratörün ÖEBSD’ye ilişkin sorumlulukları, ÖEBSD raporunun içeriği ve oluşturulması ve ÖEBSD raporuna bağlı olarak GİB tarafından uygulanacak yaptırımlar tanımlanmıştır.

GİB, ÖEBSD raporunun sonuçlarına göre farklı yaptırımlar uygulayabilir. Buna göre;

 

Olumlu Görüş: Rapor sonucunun olumlu olması halinde özel entegratör, varsa kendisine tebliğ edilen eksikliklerin veya iyileştirmelere ilişkin alacağı tedbirleri içeren eylem planını ve buna ilişkin faaliyetleri ve tamamlama sürelerini GİB’e 15 gün içinde bildirir. Buna uymayan özel entegratör bir yazıyla uyarılır. GİB, eylem planına ilişkin tamamlama sürelerinde değişiklik yapmaya yetkilidir.

 
Şartlı Görüş veya Görüşten Kaçınma: Şartlı görüş veya görüşten kaçınma halinde, özel entegratör ivedilikle bir yazıyla uyarılır ve denetimi en geç 90 gün içinde tekrarlaması istenir. Üst üste 2 kez şartlı görüş veya görüşten kaçınma olması durumunda, olumlu görüş alacağı yeni bir denetim sonucuna kadar özel entegratörün faaliyeti askıya alınır. Faaliyetin askıya alınması nedeninin 2 kez üst üste görüşten kaçınma olması durumunda, faaliyetin askıya alınma süresi 3 aydan daha kısa olamaz.

 
Olumsuz Görüş: Rapor sonucunun olumsuz olması halinde özel entegratörün faaliyeti ivedilikle geçici süreyle durdurulur. 6 ay içinde olumlu görüş bildiren yeni bir denetim raporunun GİB’e ibraz edilmemesi halinde özel entegratörün yetkisi iptal edilir. Özel entegratör, 6 ay içinde yaptıracağı her yeni denetime ilişkin, denetim öncesinde ve sonrasında GİB’i bilgilendirmekle mükelleftir.

 


ÖEBSD Konuları

 

ÖEBSD_SER: Uluslararası Sertifikasyonlar, Sızma Testi Hizmeti ve BİS Raporu

Bu değerlendirme sınıfı, özel entegratörlerin sağlaması gereken uluslararası sertifikasyonların varlığı ve uygunluğu ile sızma testlerinin uygunluğunun kontrol edilmesini amaçlamaktadır.

  • ÖEBSD_SER.1 Uluslararası Sertifikasyonlar, Sızma Testi Hizmeti ve BİS Raporu: Özel entegartörün ISO/IEC 20000 Bilgi Teknolojileri Hizmet Yönetim Sistemi Belgesinin, ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi Belgesinin, ISO 22301 İş Sürekliliği Yönetim Sistemi Belgesinin, Sızma Testi Raporunun ve BİS Raporunun varlığı kontrol edilecektir.
  • ÖEBSD_SER.2: İç Kontrol ve Denetim Mekanizmaları: Özel entegratörün iç kontrol ve denetim süreçlerinin varlığı ve çıktıların uygunluğu kontrol edilecektir.

 
ÖEBSD_PER: Personelin Niteliği

Özel entegratörün, verdiği özel entegratörlük hizmetine uygun nitelikte ve sayıda personel istihdam edip etmediğinin kontrol edilmesini amaçlamaktadır.

 
ÖEBSD_SIS: Sistem ve Güvenlik Değerlendirme Sınıfı

Özel entegratörlerin bilgi sistemlerinde uyması gereken alt yapının, sistem mimarisi ve benzeri her türlü fiziki unsur ile iş sürekliliğinin temininin, gerekli güvenlik ve risk değerlendirme süreçlerinin oluşturulmasının, işletilmesinin, değişiklik yönetiminin, denetim izlerinin oluşturulmasının ve dışarıdan hizmet alınması durumundaki gerekliliklerin kontrol edilmesini amaçlamaktadır.

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ HAKKINDA
AYDINLATMA METNİ

Kişisel verilerin korunması Güreli Yeminli Mali Müşavirlik ve Bağımsız Denetim Hizmetleri A.Ş.’nin (Şirketimizin) en önemli öncelikleri arasındadır.

Kişisel Verileriniz Nelerdir?

Kişisel Verilerinizi Hangi Amaç İle Kullanılmaktadır?

Kişisel Verilerinizi İşlemenin Hukuki Sebebi ve Toplamanın Yöntemi Nelerdir?

Kişisel veriler, Kanunun 5. ve 6. maddesinde yer alan;

hukuki sebepler ile, Şirketimizle ilişkinizin kurulması esnasında ve söz konusu ilişkinin devamı süresince sizden sözlü veya yazılı olarak, internet sitesi, telefon, e-posta aracılığıyla otomatik ya da otomatik olmayan yöntemlerle toplanabilmektedir.

Kişisel Verilerinizi Kimlerle Paylaşıyoruz?

Kişisel verileriniz internet sitesi üzerinden yukarıda belirtilen amaçlarla sınırlı ve orantılı olacak şekilde internet sitesi tedarikçimiz ile paylaşılabilecektir.

Kişisel Verilerin Korunması Kanunu’na Göre Haklarınız nelerdir?

KVK Kanunu 11. Maddesine göre Şirketimize başvurarak sizinle ilgili;

  1. Kişisel veri işlenip işlenmediğini öğrenme,
  2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  6. İşlenmesini gerektiren yasal sebeplerin ortadan kalkması durumu ile kişisel verilerin silinmesini veya yok edilmesini isteme,
  7. (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

haklarına sahipsiniz.

Kanunun ilgili kişinin haklarını düzenleyen 11. maddesi kapsamındaki taleplerinizi, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”ine göre Şirketimize yazılı olarak veya KVK@gureli.com.tr isimli e-posta adresine güvenli elektronik imza, mobil imza ya da Şirketimize daha önce bildirilen ve sistemimizde kayıtlı bulunan elektronik posta adresiniz kullanmak suretiyle iletebilirsiniz.

 

Merkez Adres: Spine Tower Büyükdere Cad.No:243 Kat: 25 34398  Sarıyer / İstanbul – Merkez Ofis
Telefon: 444 9 475 – (0212) 285 01 50
İnternet Sitesi: www.gureli.com.tr
Eposta Adresi: KVK@gureli.com.tr

 

 

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ HAKKINDA AÇIK RIZA METNİ

Kişisel verilerin korunması Güreli Yeminli Mali Müşavirlik ve Bağımsız Denetim Hizmetleri A.Ş.’nin (Şirketimizin) en önemli öncelikleri arasındadır.

Kişisel Verileriniz Nelerdir?

Kişisel Verilerinizi Hangi Amaç İle Kullanılmaktadır?

Kişisel Verilerinizi Kimlerle Paylaşıyoruz?

Kişisel verileriniz internet sitesi üzerinden yukarıda belirtilen amaçlarla sınırlı ve orantılı olacak şekilde internet sitesi tedarikçimiz ile paylaşılabilecektir.

Kişisel verilerimin yukarıda belirtilen şekilde işlenmesini açık rızam ile kabul ediyorum.

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ HAKKINDA AYDINLATMA METNİ

Kişisel verilerin korunması Güreli Yeminli Mali Müşavirlik ve Bağımsız Denetim Hizmetleri A.Ş.’nin (Şirketimizin) en önemli öncelikleri arasındadır. Kişisel verileri;

İlkeleri çerçevesinde işlediğimizi bildiririz. Sizleri kişisel verilen korunması hakkında aydınlatmak ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 10. Maddesi kapsamında Veri Sorumlusu olarak aydınlatma yükümlülüğümüzü yerine getirmek amacıyla bu bilgilendirmeyi sunarız.

Kişisel Verileriniz Nelerdir?

Kişisel Verilerinizi Hangi Amaç İle Kullanılmaktadır?

Kişisel Verilerinizi İşlemenin Hukuki Sebebi ve Toplamanın Yöntemi Nelerdir?

Kişisel veriler, Kanunun 5. ve 6. maddesinde yer alan;

hukuki sebepler ile, Şirketimizle ilişkinizin kurulması esnasında ve söz konusu ilişkinin devamı süresince sizden sözlü veya yazılı olarak, internet sitesi, telefon, e-posta aracılığıyla otomatik ya da otomatik olmayan yöntemlerle toplanabilmektedir.

Kişisel Verilerinizi Kimlerle Paylaşıyoruz?

Kişisel verileriniz internet sitesi üzerinden yukarıda belirtilen amaçlarla sınırlı ve orantılı olacak şekilde internet sitesi tedarikçimiz ile paylaşılabilecektir.

Kişisel Verilerin Korunması Kanunu’na Göre Haklarınız nelerdir?

KVK Kanunu 11. Maddesine göre Şirketimize başvurarak sizinle ilgili;

  1. Kişisel veri işlenip işlenmediğini öğrenme,
  2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  6. İşlenmesini gerektiren yasal sebeplerin ortadan kalkması durumu ile kişisel verilerin silinmesini veya yok edilmesini isteme,
  7. (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

haklarına sahipsiniz.

Kanunun ilgili kişinin haklarını düzenleyen 11. maddesi kapsamındaki taleplerinizi, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”ine göre Şirketimize yazılı olarak veya KVK@gureli.com.tr isimli e-posta adresine güvenli elektronik imza, mobil imza ya da Şirketimize daha önce bildirilen ve sistemimizde kayıtlı bulunan elektronik posta adresiniz kullanmak suretiyle iletebilirsiniz.

Merkez Adres: Spine Tower Büyükdere Cad.No:243 Kat: 25 34398  Sarıyer / İstanbul – Merkez Ofis
Telefon: 444 9 475 – (0212) 285 01 50
İnternet Sitesi: www.gureli.com.tr
Eposta Adresi: KVK@gureli.com.tr

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ HAKKINDA AÇIK RIZA METNİ

Kişisel verilerin korunması Güreli Yeminli Mali Müşavirlik ve Bağımsız Denetim Hizmetleri A.Ş.’nin (Şirketimizin) en önemli öncelikleri arasındadır.

Kişisel Verileriniz Nelerdir?

Kişisel Verilerinizi Hangi Amaç İle Kullanılmaktadır?

Kişisel Verilerinizi Kimlerle Paylaşıyoruz?

Kişisel verileriniz internet sitesi üzerinden yukarıda belirtilen amaçlarla sınırlı ve orantılı olacak şekilde internet sitesi tedarikçimiz ile paylaşılabilecektir.

Kişisel verilerimin yukarıda belirtilen şekilde işlenmesini açık rızam ile kabul ediyorum.