14.12.2012 tarih ve 28497 sayılı Resmi Gazetede yayımlanan 421 sıra No.lu Vergi Usul Kanunu Genel Tebliği ile 397 sıra No.lu Vergi Usul Kanunu Genel Tebliğinde değişiklik yapılarak; bilgi işlem sistemlerini entegre etmek suretiyle e-fatura uygulamasından yararlanma yöntemine, özel entegratör vasıtasıyla e-fatura uygulamasından yararlanma yöntemi de eklenmiştir.
Özel entegratörlerin bilgi işlem sistemi vasıtasıyla, bilgi işlem altyapısı yetersiz olan mükellefler elektronik fatura alıp gönderebileceklerdir. Özel entegrasyon izni almak isteyen mükelleflerin ise e-fatura Uygulaması Başvuru Kılavuzunda belirtilen belgelerle birlikte Gelir İdaresi Başkanlığına başvuru yapmaları gerekmektedir. Başkanlık başvuruları 421 Sıra Numaralı Vergi Usul Kanunu Genel Tebliğine ve e-fatura uygulaması özel entegrasyon kılavuzunda yapılan açıklamalara uygunluğunu değerlendirecek ve yerinde inceleyebilecektir.
ISO 27001 / ISO 22301 / ISO 20000 BELGELERİ VE ITIL
Özel entegratör başvurusu yapacak olan mükelleflerde aşağıdaki ISO sertifikasyonlarına sahip olma ve uygunluk koşulu aranacaktır.
- TS ISO IEC 27001 veya ISO 27001
- ISO 22301
- TS ISO IEC 20000 veya ISO 20000
Gelir İdaresi Başkanlığı’nın E-fatura Özel Entegratörluk Başvuru sayfasında aşağıda ki ifadeler bulunmaktadır.
“Özel entegratör bilgi güvenliği için TS ISO IEC 27001 veya ISO27001 belgelerine, iş sürekliliği (Societal security - Business continuity) için ISO 22301 belgesine, Bilgi Teknolojileri Hizmet Yönetimi Sistemi için TS ISO IEC 20000 veya ISO 20000 belgelerine sahip olmalıdır.
Söz konusu ISO sertifikalardan en az birine sahip olan mükellefler, başvuru evrakları ile birlikte sunacakları BİS Raporunda henüz sahip olmadıkları belgelere ilişkin olarak; belgelerin ne şekilde, ne kadar sürede temin edileceğini ve belge temini konusunda hangi aşamada (başvuru, değerlendirme, tamamlanma sürecine ilişkin olarak ilgili kurumlardan alınacak resmi belgeler ile birlikte) olduklarını açıklamaları ve Başkanlığa belge temini için taahhütte bulunmaları halinde özel entegratörlük talepleri Başkanlıkça değerlendirilecektir. Başkanlıkça yapılan değerlendirme sonucu özel entegratör izni verilen mükelleflerin, taahhütlerine uygun olarak eksik belgelerini temin edememeleri halinde özel entegrasyon izinleri iptal edilebilecektir.
Ayrıca Türkiye’de faaliyet gösteren bankaların ilgili ISO standartlarını karşılayan benzer denetimlerden geçmeleri ve bu standartların gereksinimlerini nasıl karşıladıklarını BİS raporunda belirtmeleri halinde bankalardan bu standartlar aranmaz.
Özel entegratörün sistem yönetim süreçleri ITIL uyumlu olmalı ve sistem ITIL sertifikasına sahip personel tarafından yönetilmelidir.”
İŞ KESİNTİLERİ
Kılavuzda özel entegratörlerin sistemlerinin e- fatura uygulamalarında kesinti yaratmayacak şekilde 7/24 iş sürekliliğini sağlayabilecek yapıda kurmaları gerekmektedir. 7 gün 24 saat iş sürekliliğini sağlama yöntemlerini BİS raporunda açıklamalıdır.
KAPASİTE PLANLAMA
Kılavuzda özel entegratör bilgi işlem sistemlerinin kapasite planmasına ilişkin olarak BİS raporunda aşağıdaki bilgiler açıklanıyor olmalıdır.
“BİS raporunda; özel entegratör bilgi işlem sisteminin donanım yazılım alt yapısının yıllık olarak hizmet verebileceği ortalama fatura ve kullanıcı sayısı ile toplam veri büyüklüğüne, aynı anda hizmet verebileceği toplam kullanıcı ve fatura sayısına, bu faturaların ne kadar sürede dağıtılabileceği ile ilgili yapılan yük testlerine ilişkin verilere ayrıntılı olarak yer verilmelidir. İleriye dönük kapasite artırımında sistemin ölçeklenebilir/ayarlanabilirliğinin nasıl sağlanacağı açıklanmalıdır.”
GÜVENLİK
Özel entegratörlerın bilgi işlem süreçleri ve sistemleri ile ilgili olarak aşağıdaki bilgi güvenliği koşullarını yerine getirmeleri beklenmektedir.
“Özel entegratör sisteminde şifre, parola, e-imza gibi terminallere yer verilmeli, girişte gerekli güvenlik önlemleri alınmalı, her türlü işlemin kaydı tutulmalı, gerekli izler kaydedilmeli (loglama), ihtiyaç duyulan hiyerarşi içerisinde yetkilendirme yapılarak BİS raporunda açıklanmalıdır. İşlem Kayıt İzleme Kontrol Listesi dokümanındaki maddelere uyulmalıdır. Ayrıca BİS raporunda gönderilen/alınan veri ve belgelerin gizliliğinin nasıl sağlandığı belirtilmelidir.”
FELAKETTEN KURTARMA
E-fatura özel entegrasyonu için bir felaketin meydana gelme durumu için felaketten kurtama planları oluşturulmuş olmalı ve Kılavuzda yer alan Felaketten Kurtarma Kontrol Listesi’ndeki maddelere uyulmalıdır.
BİS raporunda felaket sonrası kayıtların kurtarılma yöntemi açıklanıyor olmalıdır.
Felaketten Kurtarma Kontrol Listesi
1. Felaketten kurtarma planı geliştirin.
2. İş etki analizi uygulayın
3. Önleyici kontrolleri belirleyin.
4. Felaketten kurtarma stratejileri geliştirin
5. Bilgi sistemi acil eylem planı geliştirin
6. Planlarınızı test edin ve çalışanlarınızı eğitin
7. Planlarınızı düzenli olarak gözden geçirin.
8. ISO 24762 Bilişim ve İletişim Teknolojileri Felaketten Kurtarma Servisleri Kılavuzu (Guidelines for information and communications technology disaster recovery services) uygulayın.
Özel entegrasyon hizmeti verecek kurumların e-Fatura saklama hizmeti de vermek istemeleri halinde, diğer sayılan şartların yanında e-Fatura Saklama Kılavuzunda açıklanan koşullara uygun altyapıyı oluşturmaları da gerekmektedir.
E-FATURA SAKLAMA HİZMETİ
E-fatura saklama hizmeti verecek mükelleflerin bilgi güvenliği, iş sürekliliği ve doküman yönetimi açısından E-Fatura Uygulaması Saklama Kılavuzu’nda aşağıdaki bilgilere yer verilmiştir.
“İzin başvurusu yapacak kurumun saklama ortamlarının, saklama ünitelerinin, fiziksel korucuyu malzemelerinin, depolama sistemlerinin, yedekleme sistemlerinin, iş sürekliliği ve felaketten kurtarma sistemlerinin, belgelerin maksimum saklama sürelerinin ve depolama ünitelerinin türleri ile ilgili ayrıntılı açıklamalara BİS raporunda yer vermesi gerekmektedir. Saklama izni alacak kurumların saklanacak belgeler için bir belge yönetim sistemi kurması ve yönetmesi gerekmektedir. Bu sistem dahilinde verilerin korunması, erişim haklarının belirlenmesi, güvenliğin sağlanması, afet ihtimali gibi konularda gerekli planlama yapılarak BİS raporunda ayrıntılı şekilde açıklamalara yer verilmelidir.
Elektronik saklama yapılacak sistemde şifre, parola, e-imza. gibi, terminallere girişte gerekli güvenlik önlemleri alınmalı, her türlü elektronik işlemin izi tutulmalı (loglama), ihtiyaç duyulan hiyerarşi içerisinde kişilere yetkilendirme yapılarak BİS raporunda açıklanmalıdır. Ek olarak BİS raporunda saklanan faturaların yetkisiz kişilere karşı gizliliğinin nasıl sağlanacağı belirtilmelidir. İleriye dönük kapasite artırımında sistemin ölçeklenebilir/ayarlanabilirliğinin nasıl sağlanacağı açıklanmalıdır
Öngörülmeyen bir felaketin meydana gelmesi durumunda hem iş sürekliliği hem de felaketten kurtarma planları yapılmış olmalı, iş sürekliliğinin nasıl sağlanacağı, felaket nedeniyle ana sistemde kaybolan, silinen kayıtların felaketten kurtarma sistemi ile nasıl tamamlanacağı BİS raporunda ayrıntılı olarak açıklanmalıdır. Afet sırasında ve sonrasında kurtarılan belgelerin bütünlüğünün korunduğu ispat edilebilmelidir.”
E-Fatura Uygulaması Özel Entegrasyon Kılavuzu için tıklayınız..
http://www.efatura.gov.tr/dosyalar/kilavuzlar/e-FaturaUygulamasiOzelEntegrasyonKilavuzu.pdf
E-Fatura Uygulaması Saklama Kılavuzu için tıklayınız..
http://www.efatura.gov.tr/dosyalar/kilavuzlar/e-FaturaUygulamasiSaklamaKilavuzu.pdf
