Altuğ Kul - Deloitte Kurumsal Risk Hizmetleri Müdürü

Yeni Türk Ticaret Kanunu (TTK)'nın Bilgi Toplumu hedefi konusunda getirdiği önemli yeniliklerden biri de elektronik ortamda yapılmasına imkan tanılan kurullar (örnek anonim şirketler için genel kurul veya tüm sermaye şirketleri için yönetim kurulu veya müdürler kurulu gibi) olmuştur.

Günümüzde, elektronik dünya getirdiği faydalar kadar risklerle de doludur. Elektronik ortamda yapılan tüm işlemler, özellikle yasal sonuçlar doğuranlar, mutlaka aynı seviye güvenlik önlemleri ile desteklenmelidir.

Bu amaçla, Yeni TTK ile yayınlanan ikincil mevzuat ile elektronik ortamda kurullara güvenlik kriterleri detaylandırılmış ve çeşitlendirilmiştir. Buna göre gerek Elektronik Toplantı Sistemi gerekse anonim şirketler için Elektronik Genel Kurul Sistemi (EGKS) -bu yazı genelinde her iki sisteme ortak olarak elektronik toplantı sistemleri denilmiştir için şirketlerin (veya bu hizmeti veren hizmet sağlayıcıların) bir teknik rapor almaları zorunludur.

İki yılda bir yenilenecek olan bu teknik raporun elektronik toplantı sistemleri hakkında minimumda aşağıdakileri içermesi gerekmektedir:

a. ISO 27001’e uygun bir bilgi güvenliği ve kişisel verilerin korunması altyapısına sahip olduğu,

b. Güvenli elektronik imza oluşturma ve doğrulama uygulamalarının, 5070 sayılı Elektronik İmza Kanunu ve ikincil düzenlemelerle belirlenen standartlara uygun olduğu,

c. 5070 sayılı Elektronik İmza Kanunu ve ikincil düzenlemelerle belirlenen standart ve kriterlere uygun olarak verilerin uzun dönemli arşivlenmesine imkan tanıdığı,

d. MKK tarafından ve diğer destek hizmeti veren şirketler tarafından oluşturulan platform veya bilişim sisteminin MERSİS’e ve ilgili diğer veri tabanlarına entegrasyonu sağlayacak yeterlikte olduğu, şirketlerin kendilerinin kurdukları bilişim sisteminin ise tescili gerekli belgeleri bu veri tabanlarına iletebilecek nitelikte olduğu.

Yukarıda bahsedilen ve sektör tarafından genel kabul görmüş bilgi güvenliği yönetim sistemi standardı olan ISO27001 bir kurumda bilgi güvenliği yönetiminin baştan sona nasıl yapılması gerektiğini detaylandırmaktadır. Bu amaçla kurumların güvenlik politikaları oluşturması, bilgi güvenliği organizasyonunu kurması, varlık yönetimin yapması, insan kaynağı güvenliği süreçlerini kurması, fiziksel ve çevresel güvenlik kontrollerini oluşturması vb birçok konuda hazırlık yapması gerekmektedir. Bu konularda daha önce bir hazırlığı olmayan kurumlar için bu detayda bir çalışma büyük gibi görünmekle beraber ISO 27001 standardı sadece kapsama alınan sistem için bunların yapıldığı gösterildiği durumda sağlanabilecektir. Bu durumda sadece elektronik toplantı sistemleri için bu standarda uygunluk aranmaktadır.

Yukarıda bahsedilen teknik rapor; Türkiye Bilimsel ve Teknolojik Araştırma Kurumu (TÜBİTAK), Bilgi Teknolojileri ve İletişim Kurumu veya bünyesinde asgari CISA (bilgi sistemleri denetçi sertifi kası) sertifikası bulunan personele sahip ve bu alanda denetim yapmaya yetkilendirilmiş şirketlerden alınabilecektir. Bu amaçla denetim yapacak olan personel, elektronik toplantı sistemlerinin ISO 27001 ve kişisel verilerin korunmasına yönelik altyapısına ve yukarıda bahsedilen 5070 sayılı Elektronik İmza Kanunu ve düzenlemelerindeki gerekliliklere ve MERSİS ile entegrasyonuna bakacağı bir denetim planı oluşturacaktır.

Gene ilgili tebliğlere göre Elektronik Toplantı Sistemi ve EGKS gerekli tasarım ve kapasiteye, yedekleme ve felaketten kurtarma planlarına, yetkisiz erişimlere ve saldırılara karşı gerekli ağ ve sistem güvenliğine sahip olmalıdır. Bu sistemler, toplantı yerinden elektronik ortamda ses ve görüntü aktarımını sağlayacak, mesajlaşma gerçekleştirecek, birden çok güvenli elektronik imzanın seri ve paralel olarak atılabilmesini destekleyecek, sisteme erişim taleplerine mümkün olan en kısa sürede cevap iletebilecek bir yapıda olması gerekmektedir. EKGS, ayrıca genel kurul öncesi hak sahipleri tarafından elektronik genel kurul sistemine yapılacak kayıtların gizliliğini sağlayacak, toplantı başkanı ve bakanlık temsilcisi tarafından ilgili yönetmelik hükümlerinde belirtilen güvenli elektronik imzayla imzalanacak işlemleri destekleyecek altyapıya sahip olmalıdır.