Sanal Bölge Teknik Altyapı Gereksinimleri, Deloryen

Sanal Bölge Durumunuzu Güvenceye Almak için Teknik Altyapı Gereksinimleri

Geçen ay, müşterimizin Sanal Bölge durumu risk altındaydı. Sebebi? AWS'de çalışan tüm sistemler ve Almanya'dan erişen yöneticiler. Gürcistan Gelir Servisi (RS.ge) denetimi sırasında hiçbir “ekonomik madde” kanıtı bulunamadı.

Sanal Bölge durumunu korumak sadece yasal bir mesele değil, teknik bir konudur. Bu kılavuz, belirsiz yasal “ekonomik madde” kavramını somut altyapı gereksinimlerine çevirir: Gürcistan'daki yerel donanım, IP yönetimi ve denetim izleri.

Doğrudan Cevap: Sanal Bölge durumunu korumak için şirketlerin ekonomik özünü teknik yollarla kanıtlamaları gerekir: Gürcü IP'lerine sahip hibrit bulut altyapısı, ülke içinden yönetim erişimi ve dijital kanıt olarak depolanan ayrıntılı erişim kayıtları.

Dijital Ekonomik Madde: BT Şirketleri için Tanım

Gelir Servisi, ekonomik içeriği değerlendirirken sadece kağıt üzerindeki adreslere bakmaz. Proje gözlemlerimize dayanarak denetçiler sunucu günlüklerini, IP adreslerini ve sistem yönetimi kayıtlarını inceler.

RS.ge Teknoloji Altyapınızı Neden İnceliyor?

Baz Erozyonu ve Kar Kaydırma (BEPS) standartlarına göre, “Etkili Yönetim Yeri” (POEM) kavramı artık dijital izlerle kanıtlanmıştır. Şirketinizin gerçek yönetim merkezi nerede? Cevap sunucu günlüklerinde gizlidir.

Geçen yıl bir müşteriyle çalışırken şunu fark ettik: Tüm kritik kararlar Londra'dan alındı, sunucular Frankfurt'taydı, sadece muhasebe Tiflis'teydi. Bu, “kabuk şirketi” profiline uyar.

Operasyonel Teknoloji Merkezi ve Shell Şirketi

Ekonomik içeriği kanıtlamak için gereken asgari teknik gereklilikler:

• Yerel sunucu altyapısı (çıplak metal veya hibrit)
• Gürcü IP adreslerinden sistem yönetimi
• Yerel saat dilimi ile SSH erişim günlü kleri
• Gürcistan'dan Git ta ahhütleri ve kod dağıtımları

Bu liste teorik değil. Bunlar RS.ge denetimlerinde istenen belgelerdir.

Profesyonel İpucu: Sanal ofis yeterli değil. Denetçiler “dijital ayak izi” arıyor.

Sunucu İkilemi: Yerel Donanım ve Küresel Bulut

AWS/Azure'da %100 çalıştırmak Sanal Bölge için risklidir. Ancak tamamen yerel olmak da pratik değil.

%100 Yabancı Bulut Kullanımı Riski

Deloryen'in 15 yıllık deneyiminde gördüğümüz en büyük hata: Frankfurt veya İrlanda veri merkezlerinde tüm altyapıyı çalıştırmak.

Bu neden sorunlu?

• Yurtdışından sunucu yönetimi
• Gürcistan dışında veri işleme
• Yerel kontrol altında olmayan kritik sistem ler

Tiflis'te Çıplak Metal Sunucu: Çapa Fonksiyonu

Fiziksel sunucular ekonomik içeriğin en güçlü kanıtıdır. Ancak her şeyi yerel olarak çalıştırmak zorunda değilsiniz.

Hibrit Strateji:

1. Yönetim Sunuc usu → Tiflis'te (çıplak metal)
2. Üretim İş Yükleri → AWS/Azure (hibrit)
3. Veritabanı Yedeklem eleri → Yerel depolama
4. İzleme ve Günlükler → Gürcistan'da depolandı

Bu yaklaşımla hem operasyonel verimlilik hem de uyumluluk elde edersiniz.

Pratik Uygulama: Hibrit Mimari

Örnek kurulum:

• Tiflis Veri Merkezi: Yönetim, izleme, yedekleme
• AWS Europe: Üretim uygulamaları
• Gürcü IP: Tüm yönetici işlemleri için

Maliyetleri artırıyor mu? Evet. Ancak Sanal Bölge durumunu kaybetmek çok daha pahalıdır.

Ağ Hijyeni: VPN'ler, IP'ler ve Konum Yönetimi

Dijital göçebe VPN alışkanlıkları Sanal Bölge için ölümcüldür.

Dijital Göçebe VPN Alışkanlıklarının Tehlikesi

Müşterilerimizden biri şirketi Bali'den yönetiyordu. Gürcü IP'li VPN kullandılar. Denetim sırasında ortaya çıktı: Tüm bankacılık işlemleri Endonezya IP'ndendi.

Sonuç? “Daimi İşletme” riski ve Sanal Bölge durumu sorgulandı.

Statik Gürcü IP: Gereklilik

İdari işlemler için özel Gürcü IP gereklidir:

• Bankacılık girişleri
• Devlet portalları (rs.ge, house.gov.ge)
• Şirket yönetim sistemleri
• Kritik iş kararları

VPN değil, Gürcü ISP'den gerçek IP.

Uzaktan Ekip Yönetimi: PE Riskinin Önlenmesi

Uzak bir ekibiniz varsa dikkatli olun:

Güvenli Yaklaşım:

• Kritik kararlar → Sadece Gürcistan'dan
• Kod geliştirme → Her yerden (ancak Gürcistan'dan dağıtım)
• Müşteri toplantıları → Gürcü saat diliminde
• Finansal işlemler → Sadece yerel IP'den

Tehlikeli Yaklaşım:

• Almanya'dan tüm sistemi yöneten CTO
• CFO İngiltere'den finansal kararlar alıyor
• CEO Dubai'den şirket stratejisini belirliyor

Bu durum “madde” değil, bir “kabuk şirket” profili çiziyor.

Uyarı: Co ğrafi çit kullanın. Kritik sistemlere yalnızca Gürcü IP'lerinden erişim.

Denetime Dayanıklı Dijital İzler Oluşturma

RS.ge denetim sırasında hangi günlükleri isteyecek? Hazırlıklı olun.

Saklanması Gereken Günlükler

Denetim tecrübemizde talep edilen belgeler:

1. SSH Erişim Günlükleri

   • Zaman damgası (Gürcü saat dilimi)
   • Kaynak IP adresleri
   • Kullanıcı kimlik doğrulama kayıtları
   • Komut geçmişi

2. Git Deposu Etkinliği

   • Zaman damgalarını kaydet
   • Yazar konumları
   • Dağıtım günlükleri
   • Kod inceleme faaliyetleri

3. Bankacılık ve Finansal Sistem Erişimi

   • Oturum açma yerleri
   • İşlem onay IP'leri
   • Çok faktörlü kimlik doğrulama günlükleri

4. İş İletişimi

   • E-posta sunucusu günlükleri
   • Video konferans katılımı
   • Belge erişim kalıpları

Zaman Damgası ve Konum Doğrulama Araçları

Log Yönetim Sistemleri için Öneriler:

• ELK Yığını (Elasticsearch, Logstash, Kibana)
• Splunk kurumsal gün lüğü
• Prometheus + Grafana izleme
• Değişmez depolama ile denetim izi

Önemli: Günlükleri değiştirmeyin. Denetçiler değişiklikleri tespit edebilir.

Deloryen'in Altyapı Uyum Kontrol Listesi

Teknik Gereksinimler:

• Tiflis'te en az 1 çıplak metal sunucu
• Özel Gürcü IP aralığı
• Gürcistan'dan SSH anahtar yönetimi
• Yerel depolamada veritabanı yedeklemeleri
• Gürcü saat diliminde izleme paneli

Operasyonel Gereksinimler:

• Kritik sistem erişimi yalnızca yerel IP'den
• Finansal işlemler coğrafi olarak çitle çevrili
• Günlük tutma süresi en az 7 yıl
• Değişmez denetim izi
• Düzenli yedekleme doğrulaması

Uyum Belgeleri:

• Veri merkezi sözleşmeleri (Tiflis)
• ISP anlaşmaları (Gürcü IP)
• Sunucu bakım kayıtları
• Çalışan erişim günlükleri
• Üçüncü taraf hizmet sözleşmeleri

Bu liste teorik değil. Gerçek denetim deneyimlerimizden türetilmiştir.

Sıkça Sorulan Sorular

Sanal Bölge maddesi için sanal ofis yeterli mi?

Hayır, kesinlikle yeterli değil. Sanal ofis yalnızca yasal adres sağlar. RS.ge, ekonomik madde için “gerçek operasyonel faaliyet” arar. Bu, Gürcistan'da alınan teknik altyapı, personel ve operasyonel kararlar anlamına gelir. Proje gözlemlerimize dayanarak sanal ofisleri olan ancak yurt dışında teknik altyapısı olan şirketler denetimler sırasında sorunlarla karşılaşmaktadır.

Gürcistan'da olduğumu göstermek için VPN kullanabilir miyim?

Bu son derece riskli ve yasa dışıdır. VPN kullanımı “madde” değil, “aldatma” kategorisine girer. RS.ge denetçileri, IP coğrafi konumu, saat dilimi kalıpları ve ağ adli tıp bilgilerini kullanarak gerçek konumu tespit edebilir. Ek olarak, bankacılık sistemleri ve devlet portalları VPN trafiğini tespit eder. Yakalandığınızda, sadece Sanal Bölge kaybıyla değil, aynı zamanda vergi dolandırıcılığı riskiyle de karşı karşıyasınız.

Müşteri verilerini Gürcistan'da barındırmam gerekiyor mu?

Zorunlu değil, ancak hibrit bir yaklaşım öneriyoruz. Müşteri üretim verileri AWS/Azure'da kalabilir, ancak yönetim, izleme ve yedekleme sistemleri Gürcistan'da olmalıdır. Bu yaklaşım hem GDPR uyumluluğunu hem de Sanal Bölge içeriğini sağlar. Önemli olan “kontrol ve yönetim” faaliyetlerinin Gürcistan'dan yürütülmesidir.

RS.ge sunucu günlüklerimi denetlerse ne olur?

Denetim kaçınılmaz değildir, ancak hazırlıklı olmak gereklidir. RS.ge SSH günlüklerini, veritabanı erişim modellerini ve sistem yönetimi etkinliklerini inceleyebilir. Bu nedenle tüm kritik işlemler Gürcü IP'lerinden yapılmalıdır. Log manipülasyonu tespit edilirse, ciddi yasal sonuçlar doğar. En iyi strateji: Sahte günlükler değil gerçek madde oluşturun.

Hibrit bulut stratejisi maliyetleri ne kadar artırır?

Tamamen yabancı buluta kıyasla% 15-25 maliyet artışı normaldir. Ancak Sanal Bölge statüsünü kaybetmenin maliyeti çok daha yüksektir: geriye dönük vergi, cezalar, yasal ücretler. Deloryen müşterilerinde gözlemlenen yatırım getirisi: Uyumluluk yatırımına kıyasla 3-5 kat vergi tasarrufu. Ayrıca veri egemenliği ve güvenlik avantajları vardır.

Sonuç: Teknik Madde Çerçevesi

Sanal Bölge durumunu korumak sadece yasal değil aynı zamanda teknik disiplin gerektirir. “Dijital Ekonomik Madde” kavramını somutlaştırdık:

Temel İlkeler:

• Hibrit altyapı: Yerel+küresel bulut
• IP hijyeni: Özel Gürcü IP'leri
• Denetim izi: Kapsamlı günlük kaydı
• Operasyonel kontrol: Gürcistan'dan kritik kararlar

Bu çerçeve teorik değildir. Gerçek denetim deneyimlerimizden kaynaklanmaktadır.

Sonraki adım: Mevcut altyapınızın Sanal Bölge uyumluluğunu değerlendirin. Deloryen ekibi olarak teknik madde denetimleri sunuyoruz. Risk alanlarını belirliyor ve uyumluluk yol haritaları oluşturuyoruz.

Zaman kritiktir. RS.ge denetimleri artıyor, standartlar sıkılaşıyor. Proaktif davranın.

Not: Bu kılavuz teknik uygulamaya odaklanmaktadır. Hukuki tavsiye için kesinlikle bir Gürcü vergi hukuku uzmanına danışın.

Sanal Bölge Georgia teknik gereksinimleri. Şirketler için sanal bölge statüsünü korumak için ekonomik yollarla kanıtlanmış: Gürcistan IP'le hibrit.

Sanal Bölge Teknik Altyapı Gereksinimleri, Deloryen. Şirketler için sanal bölge statüsünü korumak için teknik yollarla ekonomik olarak kanıtlanmış: Gürcistan IP'le hibrit bulut entegrasyonu, ülke içinden yönetim girişimleri ve işleyişi