Türkiye’deki kurum ve kuruluşlara ait Buluttaki (Cloud) taki verilerinin, Türkiye’deki veri merkezlerinde bulundurulması zorunluluğu gelmiştir.

5 Ocak 2018 tarihinde 30292 sayılı Resmî Gazetede SPK adına yayınlanan tebliği maddelerini bilişim tarafında birçok yeni sorumluluk ve geliştirme ihtiyacı getiriyor.

01 Kasım 2006 tarih ve 26333 sayılı Resmî Gazete ’de BDDK adına yayınlan ve ve 01 Haziran 2016 tarihinde revize gören “Bankaların birincil ve ikincil sistemlerini yurt içinde bulundurmaları zorunludur” ibaresi ile örtüşen “MADDE 26 – (1) (1) Kurum, Kuruluş ve Ortaklıkların birincil ve ikincil sistemlerini yurt içinde bulundurmaları zorunludur.” ibaresi;

a) Borsa İstanbul A.Ş.,

b) Borsalar ve piyasa işleticileri ile teşkilatlanmış diğer pazar yerleri,

c) Emeklilik yatırım fonları,

ç) İstanbul Takas ve Saklama Bankası A.Ş.,

d) Merkezi Kayıt Kuruluşu A.Ş.,

e) Portföy saklayıcısı kuruluşlar,

f) Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş.,

g) Sermaye piyasası kurumları,

ğ) Halka açık ortaklıklar,

h) Türkiye Sermaye Piyasaları Birliği,

ı) Türkiye Değerleme Uzmanları Birliği.

bağlayan ve değişim gerekliliği getiren bir madde olarak ortaya çıkıyor…

Peki nedir bu Birincil ve ikincil Sistemler?

Birincil sistemler: Kurum, kuruluş ve ortaklıkların kanundan ve kanuna ilişkin alt düzenlemelerden kaynaklanan görevlerini yerine getirmeleri için gerekli bilgilerin elektronik ortamda güvenli ve istenildiği an erişime imkân sağlayacak şekilde kaydedilmesini ve kullanılmasını sağlayan altyapı, donanım, yazılım ve veriden oluşan sistemin tamamını,

İkincil sistemler: Birincil sistemler aracılığı ile yürütülen faaliyetlerde bir kesinti olması halinde, bu faaliyetlerin iş sürekliliği planında belirlenen kabul edilebilir kesinti süreleri içerisinde sürdürülür hale getirilmesini ve Kanunda ve Kanuna ilişkin alt düzenlemelerde kurum, kuruluş ve ortaklıklar için tanımlanan sorumlulukların yerine getirilmesi açısından gerekli olan bütün bilgilere kesintisiz ve istenildiği an erişilmesini sağlayan birincil sistem yedeklerini,

Maddeyi açacak olur isek; Kurum, kuruluş ve ortaklıkların görevlerini ifa için birincil (altyapı, donanım, yazılım ve veriden oluşan sistemin tamamını) ve ikincil (bütün bilgilere kesintisiz ve istenildiği an erişilmesini sağlayan birincil sistem yedekleri) yurt içinde bulundurmaları zorunludur.”

Tebliğin geneli şurada yer alıyor…

http://www.resmigazete.gov.tr/eskiler/2018/01/20180105-8.htm

Bilgi Sistemleri Yönetimi Tebliği 5 Ocak 2018’de yayımlandı.

Bu yönetmelik özünde kapsamı ve vardığı sonucu özetlemek gerekirse;

-Türkiye’nin askeri verisi kadar, ticari ve ekonomik verisi de değerlidir.

-Yurtdışından, Türkiye’de bulut tabanlı hizmet veren global markalar; bundan sonra, Türkiye’deki kurum ve kuruluşlara buluttan verdikleri hizmetlere ait olan, 1. sistemlerini ve onların yedeği olan 2. sistemlerini yani tüm verileri, Türkiye’deki veri merkezlerinde (data centerlarda) bulundurmak zorundadır.

-Yurtdışı kaynaklı iş süreçleri yönetimi programı sağlayan firmalar, mobil aplikasyonlar ve güvenlik yazılımları, virüs programları da buna dahildir. Bunu şöylede ifade edebiliriz; ister İK, ister CRM, ister virüs programı olsun, Türkiye’nin kurum ve kuruluşlarına ait olan verilerin Türkiye’de tutulması zorunludur.

-Buradan yola çıkılarak bir sonraki sonuca ulaşırsak şu ana fikre varırız.

Bu datalardan bazıları önemsiz olabilir. Ancak tümü için bu şekilde yaklaşım göstermek doğru değildir. Örneğin, Savunma sanayisine üretim yapan, Ar-Ge yapan orta ölçekli bir firmanın, CRM dataları, insan kaynakları dataları, teknik bakım onarım dataları, inovasyon bilgisi datalarının bulutla (cloudla) birlikte, yurtdışındaki veri merkezlerinde saklanması güvenli olmayabilir. Yine, ülkenin ihracat ve ithalat ile ilgili kritik verilerinin, ürün bilgilerinin de bir güvenlik konusu olarak, bulut üzerinden yurtdışındaki veri merkezlerinde saklanması uygun olmayacaktır. Buradaki databaselere ulaşılması durumunda önemli analiz verilerine, hedeflere, rekabet stratejilerine, geleceğe yönelik inovasyonlara ulaşılabilir.  Bu bir firma nezdinde ya da bir sektör yada tümüyle ülke nezdinde gerçekleşebilir. Yıkıcı boyutları olan böyle bir bilgi kaybı farklı düzeylerde maddi kayıplara ve kaynak israflarına yol açacak; kimi zaman ulusal yada ticari tehdit ve güvenlik ihlali sonuçlarını doğuracaktır. Bu nedenle;

“Veriler yurtdışında olmasın. Askeri, ticari ya da ekonomik verilerimizin izlenmesinin veya görülmesinin önüne geçilmeli.”