Yeni nesil ödeme kaydedici cihazlara ait ÖKC TSM merkezlerinin denetimi Kayıt dışı ekonominin önüne geçilmesi amacıyla tasarlanan yeni ödeme kabul sistemleri yapısında Güvenli Servis Sağlayıcı (Trusted Service Manager-TSM) merkezleri önemli bir rol üstlenmektedir. Bu sebeple Gelir İdaresi Başkanlığı (GİB), 23 Kasım 2015’te yayınladığı Kılavuz ile TSM merkezleri için sertifikasyon süreçlerini zorunlu tutmuş ve sertifikasyon değerlendirmesi sorumluluğunu TSM merkezinin anlaşacağı, GİB tarafından yetkilendirilmiş kuruluşlara vermiştir. Sertifikasyon denetimlerinde ele alınacak başlıklar • Uluslararası sertifikalar • Yazılım güvenliği • Sistemlerin münhasırlığı • İş sürekliliği yönetimi • Mesaj ve iletişim yönetimi • Sistem ve donanım güvenliği • ÖKC yaşam döngüsü yönetimi • Test ve onay süreçleri • Risk yönetimi esasları • Yönetim esasları • Değişiklik yönetimi • Güvenlik esasları • Denetim izlerinin oluşturulması • Personel gereksinimleri • Anahtar yönetim süreçleri ve hassas veri güvenliği • GİB uyarı mekanizmaları Denetim süreci adımları ÖKC Üreticisi Gelir İdaresi Başkanlığı TSM 1 2 TÜBİTAK 3 Bağımsız Denetim Kuruluşu 4 5 Gelir İdaresi Başkanlığı TÜBİTAK 6 1. ÖKC Üreticisi çalışacağı TSM merkezini seçer. 2. ÖKC Üreticisi kılavuzlarda belirtilen başvuru formlarını doldurur ve seçtiği TSM ve beraber çalışacağı bağımsız denetim kuruluşunun ismini (veya TÜBİTAK'ı) bildirerek GİB’e başvuru yapar. Başvuru için belirlenen son tarih 2 Mayıs 2016’dır. 3. GİB, uygun gördüğü takdirde başvuruyu TÜBİTAK'a yönlendirir. 4. Denetim eğer TÜBİTAK tarafından gerçekleştirilmeyecek ise, TÜBİTAK başvuru belgelerini bağımsız denetim kuruluşuna iletir. Bağımsız denetim kuruluşu veya TÜBİTAK TSM sertifikasyon denetimini gerçekleştirir. 5. Bağımsız denetim raporu TÜBİTAK'a sunulur. 6. TÜBİTAK raporları kontrol eder ve uygun görmesi halinde raporları bir üst yazı ile GİB’e iletir. GİB aldığı rapor doğrultusunda TSM onayını verir. Denetim süreci Denetim Kriterleri 01 Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmelik 02 ÖKC TSM Merkezlerinin Başvuru, Test, Denetim ve Onay Teknik Kılavuzu 04 Üç taraflı ilişki Denetlenen: TSM Merkezi Denetleyen: Bağımsız Denetçi Otorite: GİB 03 ÖKC TSM Merkezi Teknik Kılavuzu TSM Düzenli Denetim Teknik Kılavuzu* Test Senaryoları* * Önümüzdeki dönemde yayınlanması bekleniyor. Denetim süreci Koordine eder Gerçekleştirir A. Güvencenin sağlanacağı konu: B. Konunun değerlendirileceği uygun kriter: C. Güvence çalışmasının yürütülmesi: ÖKC TSM Merkezlerinin kurulması, işletilmesi, yönetimi ÖKC TSM Merkezi Teknik Kılavuzları D. Güvence sorumlusu tarafından açıklanan sonuç: Saha çalışması Denetim raporu ÖKC üreticisinin sorumluluğunda Bilgi alır EY size nasıl destek olabilir? İyileştirme ve Uygulama Düzenlemelere ilişkin tüm hazırlıkların denetime kadar tamamlanması için • ISO 20000, ISO 22301, ISO 27001 ve PCI sertifikasyonlarına yönelik danışmanlık verilmesi • İş akış şemalarının, görev tanımlarının, politika ve prosedürlerin ve diğer dokümanların hazırlanmasına destek verilmesi Denetim Mevzuat kapsamında belirlenen usul ve esaslara yönelik TSM sertifikasyon denetimlerinin ve yıllık bilgi sistemleri denetimlerinin gerçekleştirilmesi ve raporlanması Denetçinin sorumluluğunda Fark Analizi ve Yol Haritası GİB düzenlemelerine yönelik TSM süreçlerinin ve altyapısının incelenmesi ve gerekli aksiyonların belirlenerek yol haritasının oluşturulması Ön inceleme Mevzuat kapsamında belirlenen usul ve esaslara yönelik TSM süreçlerinin ve altyapısının ön incelemesinin yapılması ve raporlanması …Bugüne kadar 1984 11/04/2012 27/06/2013 01/10/2013 06/02/2015 13/03/2015 23/11/2015 3100 Sayılı Kanun Yeni Nesil ÖKC’lerin çıkışı 6493 Sayılı Kanun Seyyar POS’ların değişimi Yeni Nesil ÖKC Teknik Kılavuzları TSM Merkezlerinin başvuru, test, denetim ve onay teknik kılavuzu TSM Teknik Kılavuzu Bugünden sonra… 01/04/2016 01/07/2016 01/10/2016 01/01/2017 Gayri safi iş hasılatı 1 Milyon TL’yi aşan mükellefler için YN ÖKC kullanma mecburiyeti Gayri safi iş hasılatı 500 bin TL - 1 Milyon TL arası olan mükellefler için YN ÖKC kullanma mecburiyeti Gayri safi iş hasılatı 150 bin TL – 500 bin TL arası olan mükellefler için YN ÖKC kullanma mecburiyeti Gayri safi iş hasılatı 150 bin TL’den az olan mükellefler ve Bilgisayar Bağlantılı Ödeme Kaydedici Cihazları kullanan mükellefler için YN ÖKC kullanma mecburiyeti 6 Aralık 1984 tarihli 3100 sayılı Kanun ile KDV mükelleflerine Ödeme Kaydedici Cihaz (ÖKC) kullanma zorunluluğu getirilmesiyle, ÖKC teknolojileri de kesintisiz bir gelişim sürecine girdi. Günümüzde ise Yeni Nesil ÖKC teknolojilerine geçiş, ödeme kabul sistemlerinin de dönüşümünü gerektiriyor. ÖKC Üreticisi Üye İşyerleri Operatörler Gelir İdaresi Başkanlığı TSM Banka / Üye İşyeri Anlaşması Yapan Kuruluş İletişim Emre Beşli EY Türkiye Şirket Ortağı Danışmanlık Hizmetleri emre.besli@tr.ey.com +90 212 315 30 00 Ümit Şen EY Türkiye Danışmanlık Hizmetleri Direktör umit.sen@tr.ey.com +90 212 315 30 00 Can Ünver EY Türkiye Danışmanlık Hizmetleri Müdür can.unver@tr.ey.com +90 212 315 30 00 EY | Assurance | Tax | Transactions | Advisory EY Hakkında EY bağımsız denetim, vergi, kurumsal finansman ve danışmanlık hizmetlerinde bir dünya lideridir. Anlayışımız ve kaliteli hizmetlerimiz dünya ekonomisi ve sermaye piyasalarında güvenin oluşmasına katkıda bulunmaktadır. EY, güçlü yönetim ekibiyle tüm paydaş gruplarına verdiği sözleri yerine getirmekte ve bu şekilde çalışanları, müşterileri ve içinde yer aldığı diğer çevreler için daha iyi bir çalışma hayatı oluşturulmasında önemli bir rol üstlenmektedir. EY adı küresel organizasyonu temsil eder ve Ernst & Young Global Limited’in her biri ayrı birer tüzel kişiliğe sahip olan, bir veya daha çok, üye firmasını temsil edebilir. Sınırlı sorumlu bir Birleşik Krallık şirketi olan Ernst & Young Global Limited müşteri hizmeti sunmamaktadır. Daha fazla bilgi için lütfen ey.com adresini ziyaret ediniz. © 2016 EY Türkiye. Tüm Hakları Saklıdır. Sadece genel bilgi verme amacıyla sunulan bu yayın muhasebe, vergi veya diğer profesyonel hizmetler alanında geçerli bir kaynak olarak kullanılması amacıyla hazırlanmamıştır. Belirli bir konuya ilişkin olarak ilgili danışmana başvurulmalıdır. ey.com/tr vergidegundem.com facebook.com/ErnstYoungTurkiye instagram.com/eyturkiye twitter.com/EY_Turkiye