ÖKC TSM merkezlerinin denetimi

advertisement
Yeni nesil ödeme kaydedici
cihazlara ait
ÖKC TSM
merkezlerinin
denetimi
Kayıt dışı ekonominin önüne geçilmesi amacıyla tasarlanan yeni ödeme kabul sistemleri yapısında Güvenli
Servis Sağlayıcı (Trusted Service Manager-TSM) merkezleri önemli bir rol üstlenmektedir. Bu sebeple Gelir
İdaresi Başkanlığı (GİB), 23 Kasım 2015’te yayınladığı Kılavuz ile TSM merkezleri için sertifikasyon süreçlerini
zorunlu tutmuş ve sertifikasyon değerlendirmesi sorumluluğunu TSM merkezinin anlaşacağı, GİB tarafından
yetkilendirilmiş kuruluşlara vermiştir.
Sertifikasyon denetimlerinde ele alınacak başlıklar
• Uluslararası sertifikalar
• Yazılım güvenliği
• Sistemlerin münhasırlığı
• İş sürekliliği yönetimi
• Mesaj ve iletişim yönetimi
• Sistem ve donanım güvenliği
• ÖKC yaşam döngüsü yönetimi
• Test ve onay süreçleri
• Risk yönetimi esasları
• Yönetim esasları
• Değişiklik yönetimi
• Güvenlik esasları
• Denetim izlerinin oluşturulması
• Personel gereksinimleri
• Anahtar yönetim süreçleri ve hassas veri güvenliği
• GİB uyarı mekanizmaları
Denetim süreci adımları
ÖKC Üreticisi
Gelir İdaresi
Başkanlığı
TSM
1
2
TÜBİTAK
3
Bağımsız Denetim
Kuruluşu
4
5
Gelir İdaresi
Başkanlığı
TÜBİTAK
6
1. ÖKC Üreticisi çalışacağı TSM merkezini seçer.
2. ÖKC Üreticisi kılavuzlarda belirtilen başvuru formlarını doldurur ve seçtiği TSM ve beraber çalışacağı bağımsız denetim
kuruluşunun ismini (veya TÜBİTAK'ı) bildirerek GİB’e başvuru yapar. Başvuru için belirlenen son tarih 2 Mayıs 2016’dır.
3. GİB, uygun gördüğü takdirde başvuruyu TÜBİTAK'a yönlendirir.
4. Denetim eğer TÜBİTAK tarafından gerçekleştirilmeyecek ise, TÜBİTAK başvuru belgelerini bağımsız denetim kuruluşuna
iletir. Bağımsız denetim kuruluşu veya TÜBİTAK TSM sertifikasyon denetimini gerçekleştirir.
5. Bağımsız denetim raporu TÜBİTAK'a sunulur.
6. TÜBİTAK raporları kontrol eder ve uygun görmesi halinde raporları bir üst yazı ile GİB’e iletir. GİB aldığı rapor doğrultusunda
TSM onayını verir.
Denetim süreci
Denetim Kriterleri
01
Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek
Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin
Denetimi Hakkında Yönetmelik
02
ÖKC TSM Merkezlerinin Başvuru, Test,
Denetim ve Onay Teknik Kılavuzu
04
Üç taraflı ilişki
Denetlenen:
TSM Merkezi
Denetleyen:
Bağımsız Denetçi
Otorite:
GİB
03
ÖKC TSM Merkezi Teknik Kılavuzu
TSM Düzenli Denetim Teknik Kılavuzu*
Test Senaryoları*
* Önümüzdeki dönemde yayınlanması bekleniyor.
Denetim süreci
Koordine eder
Gerçekleştirir
A. Güvencenin
sağlanacağı konu:
B. Konunun
değerlendirileceği
uygun kriter:
C. Güvence
çalışmasının
yürütülmesi:
ÖKC TSM
Merkezlerinin
kurulması,
işletilmesi, yönetimi
ÖKC TSM
Merkezi Teknik
Kılavuzları
D. Güvence
sorumlusu
tarafından
açıklanan sonuç:
Saha çalışması
Denetim raporu
ÖKC üreticisinin
sorumluluğunda
Bilgi alır
EY size nasıl destek olabilir?
İyileştirme ve Uygulama
Düzenlemelere ilişkin tüm hazırlıkların denetime kadar
tamamlanması için
• ISO 20000, ISO 22301, ISO 27001 ve PCI
sertifikasyonlarına yönelik danışmanlık verilmesi
• İş akış şemalarının, görev tanımlarının, politika ve
prosedürlerin ve diğer dokümanların hazırlanmasına
destek verilmesi
Denetim
Mevzuat kapsamında belirlenen usul ve esaslara yönelik
TSM sertifikasyon denetimlerinin ve yıllık bilgi sistemleri
denetimlerinin gerçekleştirilmesi ve raporlanması
Denetçinin
sorumluluğunda
Fark Analizi ve Yol Haritası
GİB düzenlemelerine yönelik TSM süreçlerinin ve
altyapısının incelenmesi ve gerekli aksiyonların
belirlenerek yol haritasının oluşturulması
Ön inceleme
Mevzuat kapsamında belirlenen usul ve esaslara
yönelik TSM süreçlerinin ve altyapısının ön
incelemesinin yapılması ve raporlanması
…Bugüne kadar
1984
11/04/2012
27/06/2013
01/10/2013
06/02/2015 13/03/2015
23/11/2015
3100
Sayılı
Kanun
Yeni Nesil
ÖKC’lerin
çıkışı
6493 Sayılı
Kanun
Seyyar
POS’ların
değişimi
Yeni Nesil
ÖKC
Teknik
Kılavuzları
TSM Merkezlerinin
başvuru, test,
denetim ve onay
teknik kılavuzu
TSM
Teknik
Kılavuzu
Bugünden sonra…
01/04/2016
01/07/2016
01/10/2016
01/01/2017
Gayri safi iş hasılatı
1 Milyon TL’yi aşan
mükellefler için
YN ÖKC kullanma
mecburiyeti
Gayri safi iş hasılatı
500 bin TL - 1 Milyon TL
arası olan mükellefler
için YN ÖKC kullanma
mecburiyeti
Gayri safi iş hasılatı
150 bin TL – 500 bin TL
arası olan mükellefler
için YN ÖKC kullanma
mecburiyeti
Gayri safi iş hasılatı 150 bin
TL’den az olan mükellefler ve
Bilgisayar Bağlantılı Ödeme
Kaydedici Cihazları kullanan
mükellefler için YN ÖKC
kullanma mecburiyeti
6 Aralık 1984 tarihli 3100 sayılı Kanun ile KDV
mükelleflerine Ödeme Kaydedici Cihaz (ÖKC)
kullanma zorunluluğu getirilmesiyle, ÖKC
teknolojileri de kesintisiz bir gelişim sürecine girdi.
Günümüzde ise Yeni Nesil ÖKC teknolojilerine
geçiş, ödeme kabul sistemlerinin de dönüşümünü
gerektiriyor.
ÖKC Üreticisi
Üye
İşyerleri
Operatörler
Gelir İdaresi
Başkanlığı
TSM
Banka /
Üye İşyeri
Anlaşması
Yapan Kuruluş
İletişim
Emre Beşli
EY Türkiye
Şirket Ortağı
Danışmanlık Hizmetleri
emre.besli@tr.ey.com
+90 212 315 30 00
Ümit Şen
EY Türkiye
Danışmanlık Hizmetleri
Direktör
umit.sen@tr.ey.com
+90 212 315 30 00
Can Ünver
EY Türkiye
Danışmanlık Hizmetleri
Müdür
can.unver@tr.ey.com
+90 212 315 30 00
EY | Assurance | Tax | Transactions | Advisory
EY Hakkında
EY bağımsız denetim, vergi, kurumsal finansman ve danışmanlık
hizmetlerinde bir dünya lideridir. Anlayışımız ve kaliteli hizmetlerimiz
dünya ekonomisi ve sermaye piyasalarında güvenin oluşmasına katkıda
bulunmaktadır. EY, güçlü yönetim ekibiyle tüm paydaş gruplarına verdiği
sözleri yerine getirmekte ve bu şekilde çalışanları, müşterileri ve içinde
yer aldığı diğer çevreler için daha iyi bir çalışma hayatı oluşturulmasında
önemli bir rol üstlenmektedir.
EY adı küresel organizasyonu temsil eder ve Ernst & Young Global Limited’in
her biri ayrı birer tüzel kişiliğe sahip olan, bir veya daha çok, üye firmasını
temsil edebilir. Sınırlı sorumlu bir Birleşik Krallık şirketi olan Ernst & Young
Global Limited müşteri hizmeti sunmamaktadır. Daha fazla bilgi için lütfen
ey.com adresini ziyaret ediniz.
© 2016 EY Türkiye.
Tüm Hakları Saklıdır.
Sadece genel bilgi verme amacıyla sunulan bu yayın muhasebe, vergi veya diğer profesyonel
hizmetler alanında geçerli bir kaynak olarak kullanılması amacıyla hazırlanmamıştır. Belirli bir
konuya ilişkin olarak ilgili danışmana başvurulmalıdır.
ey.com/tr
vergidegundem.com
facebook.com/ErnstYoungTurkiye
instagram.com/eyturkiye
twitter.com/EY_Turkiye
Download