Gürcistan Gelir Servisi Denetim Savunması: 2026 Teknik Hazırlık Kılavuzu

Gürcistan Gelir Servisi Denetim Savunması: 2026 Teknik Hazırlık Kılavuzu

Müşterimizin Tiflis ofisinde geçen ay yapılan beklenmedik denetim çarpıcı bir gerçeği ortaya çıkardı. Şirketin faturaları kusursuzdu. Ama Git işleme geçmişi? Felaket.

Georgia Gelir Servisi (GRS) artık sadece kağıt belgelere bakmıyor. 2026'da dijital ayak iziniz vergi uyumluluğunun merkezinde yer alır. Teknik kanıtlarınız Sanal Bölge Kişisini (VZP) veya Uluslararası Şirket Statüsünü (ICS) korumaya hazır mı?

Doğrudan Cevap

2026'da GRS denetimlerini geçmek için BT şirketlerinin doğrulanabilir teknik verilerle 'Ekonomik Madde'yi kanıtlamalıdır: yerel IP erişim günlükleri, Gürcistan konumlarından tutarlı Git taahhüt geçmişi ve yerel çalışanlarla bağlantılı donanım satın alma kayıtları. Del-Ops metodolojisi bu üç unsuru birleştirir.

2026'da 'Dijital Madde' Kavramını Anlamak

Kahve dükkanı dizüstü bilgisayar dönemi sona erdi. Bu, Del-Ops ekibimizin 15 yıllık tecrübesinde gözlemlediği en büyük değişikliktir.

GRS, kağıt sözleşmelerden meta veri doğrulamasına geçti. Neden? Çünkü IP adresleri sahte olamaz. Git işlemleri değiştirilemez. CloudTrail kayıtları manipüle edilemez.

VZP ve ICS Gereksinimlerinin Teknik Terimlerle Tanımlanması

Yönetim Yeri artık fiziksel adres değil dijital etkinlik merkezi anlamına gelir:

• AWS/Azure erişim günlükleri Gürcü IP'lerini göstermelidir
• Slack/Teams mesajları yerel çalışma saatleriyle uyumlu olmalıdır
• Jira görev etkinlikleri GMT+4 saat diliminde yoğunlaşmalıdır

Ama dikkat: Her zaman bu kadar basit değildir.

Teknik Kanıt Üçlemesi (Çekirdek Çerçeve)

Proje gözlemlerimize dayanarak, denetçiler üç ana veri kaynağına odaklanmaktadır.

1. Sürüm Denetimi Adli Tıp: Git Taahhütleri Nasıl Yapılandırılır

Git geçmişiniz en güçlü kanıtınızdır. Ama yanlış yapılandırılmışsa, bu senin en büyük zayıflığın.

Doğru Git yapılandırması:

git config --global user.name “Giorgi Maisuradze” 
 git config --global user.email "giorgi@company.ge" git config --global user.timezone “Asya/Tiflis” 
 

Kırmızı bayrak örneği: Geç en yıl, bir istemci tüm taahhütleri UTC+0 ile yaptı. Denetçi sordu: “Çalışanlarınız Greenwich'te mi yaşıyor?”

Mesaj standartlarını taahhüt et:

• Gürcistan saat diliminde tarih/saat
• .ge etki alanında yazar e-postası
• Tbilisi/Batum'u gösteren IP coğrafi konumu

2. Altyapı Kayıtları: AWS/Azure Erişim Günlükleri

CloudTrail kayıtlarınız denetçiler için altındır. Çünkü AWS size yalan söyleyemez.

İzlenecek metrikler:

• EC2 bulut sunucusu erişim IP'leri
• S3 bucket yükleme/indirme etkinlikleri
• RDS veritabanı bağlantı günlükleri
• IAM kullanıcı giriş konumları

VPN kullanarak ABD IP üzerinden sürekli olarak erişilen bir istemciye. Sonuç? GRS, “gerçek yönetim ABD'de” olduğuna karar verdi.

3. Proje Yönetimi Yolları: Jira/Trello Etkinlik Haritalaması

Görev yönetim sistemleriniz çalışma saatlerinizi gösterir.

Analiz edilen veriler:

• Görev oluşturma/kapatma süreleri
• Yorum yazma zaman damgaları
• Sprint planlama toplantı kayıtları
• Kullanıcı etkinliği ısı haritaları

Örnek: Tüm Jira etkinlikleriniz 02:00-06:00 arasındaysa, gece vardiyasında çalışıyorsunuz veya farklı bir saat diliminden erişiyorsunuz.

Altyapı ve Donanım Uyumluluğu

Varlık Etiketleme: Kanıtlama Ekipmanı Gürcistan'da

MAC adres kayıtları çok önemlidir. Her cihazın fiziksel konumu izlenebilir olmalıdır.

Zorunlu belgeler:

• Dizüstü bilgisayar/masaüstü satın alma faturaları (.ge satıcısından)
• Varlık kaydı (MAC, seri numarası, konum)
• ISP sözleşmeleri (iş internet hatları)
• Ofis kiralama sözleşmesi

VPN Politikaları: Neden 'Her Zaman Açık VPN' Denetçiler İçin Kırmızı Bayrak

VPN kullanımı yasak değildir. Ancak sürekli VPN kullanımı şüphe uyandırır.

Güvenli VPN kullanımı:

• Sadece gerektiğinde aktif
• Yerel BT ekibi tarafından yönetilen VPN günlükleri
• Çıkış düğümleri Gürcistan'da olmalı
• Bölünmüş tünelleme yapılandırması

Bir girişim tüm internet trafiğini Hollanda üzerinden yönlendirdi. GRS şu sonuca vardı: “Gerçek operasyonlar Hollanda'da.”

ISP Sözleşmeleri: İş İnternet Hatlarının Önemi

Ev internet bağlantısı profesyonel aktivite için yetersizdir.

Gerekli kanıt:

• Kurumsal ISP sözleşmesi
• Statik IP adresi tahsisi
• SLA (Hizmet Seviyesi Sözleşmesi)
• Bant genişliği kullanım raporları

Del-Ops Ön Denetim Kontrol Listesi (2026 Sürümü)

Aylık Veri Dışa Aktarma Rutini

1. Git Deposu Yedekleme

git günlüğü --all --pretty=fuller --show-signature > git-audit-trail.txt 

2. CloudTrail Dış a Aktarma

• Son 12 ay AWS/Azure etkinlik günlükleri
• IP coğrafi konum filtreleme
• Kullanıcı oturum raporları

3. İletişim Günlükleri

• Slack dışa aktarma (çalışma alanı yöneticisi)
• E-posta başlıkları (zaman damgası, IP)
• Görüntülü arama kayıtları (Yakınlaştırma/Takımlar)

'Kırmızı Bayrak' Kendi Kendiliğinden Tarama

Riskli durumlar:

• Yabancı IP'lerden %80+ aktivite
• 00:00-06:00 arası Git işlemlerinin %50'si +
• Gürcü IP görünürlüğü olmadan AWS erişimi
• Tüm iletişim İngilizce (Gürcüce yok)
• Ev adresinde ofis internet faturası

Düşük riskli göstergeler:

• Tutarlı GMT+4 aktivitesi
• .ge alan adı e-posta kullanımı
• Yerel ISP sözleşmeleri
• Gürcü dokümantasyonu/yorumlar

Çalışan Konumu Doğrulama Protokolleri

Aylık kontroller:

• Dizüstü bilgisayar GPS kayıtları (Windows/macOS konum hizmetleri)
• WiFi ağ SSID günlükleri
• Mobil hotspot kullanım analizi
• Web kamerası meta verileri (arka plan analizi)

Bir müşterinin uzaktan geliştiricisi 3 ay boyunca Bali'den çalıştı. Dizüstü bilgisayarı “Tropical Paradise Resort” WiFi ağına bağlandı. GRS bunu fark etti.

Sıkça Sorulan Sorular

VPN kullanımı GRS denetim riskini etkiler mi?

VPN kullanımı tek başına bir risk değildir. Ancak sürekli olarak yabancı çıkış noktalarının kullanılması şüphe uyandırıyor. Çözüm: Gürcistan'da VPN sunucuları kurun veya yerel sağlayıcılardan hizmet alın. VPN üzerinden yalnızca gerekli trafiği yönlendirmek için bölünmüş tünellemeyi kullanın. Del-Ops metodolojimizde, VPN günlüklerini denetim izine dahil ediyoruz.

Gelir Servisi için sunucu günlüklerini ne kadar geride tutmalıyım?

Vergi Kanunu en az 5 yıllık belge saklama gerektirir. Ancak teknik günlükler için 3 yıl yeterli kabul edilir. AWS CloudTrail varsayılan olarak 90 gündür ve manuel dışa aktarma ile uzatılabilir. Kritik: Günlük döndürme politikanızı belgeleyin. Denetçiler “neden sadece 6 ay?” diye soracaklar

Evden çalışan serbest çalışanlar madde gereksinimlerini karşılayabilir mi?

Evet, ancak ek önlemlerle. Ev adresiniz iş adresi olarak kayıtlı olmalıdır. Ayrı iş internet hattı zorunludur. Dizüstü bilgisayarınız varlık kaydında görünmelidir. Ev ofisi kurulumunuzu fotoğraflayın, ekipmanı etiketleyin. Del-Ops kontrol listemizin ev tabanlı çalışanlar için özel bir bölümü vardır.

Ya geliştiricilerim Gürcistan dışındaki dijital göçebelerse?

Bu en riskli senaryo. Faaliyetlerin% 20'sinden fazlası yurt dışından geliyorsa, madde kaybı riski yüksektir. Çözümler: Rotasyon sistemi (yurtdışında en fazla 3 ay), zorunlu VPN, günlük aktivite raporlaması. Alternatif: Çalışan olarak değil, müteahhit olarak istihdama yapın. Ancak bunun KDV etkileri var.

Yapay zeka tarafından oluşturulan kod kullanımı denetim sorunları yaratır mı?

Bu, 2026'da yeni bir alan. GRS henüz net bir politika yayınlamadı. Ancak AI araçları Git geçmişinde de görünür. GitHub Copilot, ChatGPT kullanım günlüklerini saklayın. İnsan inceleme sürecini belgeleyin. Yapay zekanın bir araç olduğunu ve nihai kararların insan tarafından verildiğini kanıtlayın. Del-Ops çerçevemizde AI kullanım dokümantasyon standartları geliştiriyoruz.

Sonuç: Teknik Hijyen Artık Vergi Hijyeni

Del-Ops ekibi gözlemlerine göre teknik altyapı yönetimi 2026'da vergi uyumu ile aynı öneme sahip. Git işlemlerinizden AWS günlüklerine yapılan her dijital izleme, denetim kanıtıdır.

Bu kılavuzda özetlenen Teknik Kanıt Üçlüsü'nü uygulayın:

1. Sürüm Denetimi Adli Tıp - Düzgün yapılandırılmış Git geçmişi
2. Altyapı Günlü kleri - Gürcü IP'leri ile bulut erişim kayıtları
3. Proje Yönetimi Yol ları - Yerel çalışma saatlerine uygun faaliyet

Ancak unutmayın: Her şirketin durumu farklıdır. Genel kontrol listeleri yeterli değildir.

Harekete geçin: DEL- OPS uzmanlarıyla bir 'Sahte Teknik Denetim' planlayın. Gerçek denetimden önce zayıf yönlerinizi belirleyin. Çünkü GRS geldiğinde hazırlanmak için zamanınız olmayacak.

Profesyonel İpucu: Bu kılavuzu yazdırın ve BT ekibinizle paylaşın. Denetim gününde panik yapmak yerine, sistemlerinizi bugün denetime hazır hale getirin.

Gürcistan Gelir Servisi Denetimi. 2026'da GRS denetimini geçmesi için 'Ekonomik Öz'ü doğrulanabilir teknik veriyi doğrulayabilir: yerel.

BT şirketleri için GRS denetimini geçmek için 2026'da 'Ekonomik Öz' doğrulanmış teknik verileri kanıtlanabilir: yerel IP. Gürcistan Gelir Servisi.

BT şirketleri için GRS denetimini geçmek için 2026'da 'Ekonomik Öz' doğrulanmış teknik verileri kanıtlanabilir: yerel IP. Gürcistan Gelir Servisi.