Türk savunma sanayinde F-16 parça üretimi, helikopter motoru, aviyonik kart, radar bileşeni gibi alanlarda çalışan firmalar — Tier-1 ana yüklenicilerden Tier-3 KOBİ'lere kadar — ABD ihracat kontrolü olan ITAR (International Traffic in Arms Regulations) ve EAR (Export Administration Regulations) kapsamına girer. ITAR teknik veri "ABD vatandaşı olmayanlarla paylaşılamaz" sınıfına girer, kontrol ihlali firmanın ABD ihracat lisansını kaybetmesi anlamına gelir.

Bu rehber ITAR uyumlu bulut çözümlerini, standart Microsoft 365 ile GCC High arasındaki farkları, Türk savunma sanayinde pragmatik hibrit yaklaşımı ve GCC High geçiş yol haritasını içerir. Önemli netlik: standart Microsoft 365 (Commercial) ITAR uyumlu değildir, GCC High gerekir — ancak GCC High Türkiye'de doğrudan satılmaz.

1. ITAR ve EAR Çerçevesi

1.1 ITAR Nedir?

International Traffic in Arms Regulations (ITAR), ABD State Department tarafından düzenlenen, askeri ürün ve teknolojilerin ihracatını kontrol eden mevzuattır. Yönetim Directorate of Defense Trade Controls (DDTC) tarafından yapılır. ITAR kapsamı:

  • Defense Articles — askeri ürünler (silah, mühimmat, askeri donanım)
  • Technical Data — askeri teknik bilgi (tasarım, üretim süreci, performans)
  • Defense Services — askeri hizmetler (eğitim, danışmanlık)

USML (United States Munitions List) 21 kategori askeri ürün listeler. Bu listede yer alan ürünlerin parça üretimi, montajı, testi ITAR kapsamına girer.

1.2 EAR Nedir?

Export Administration Regulations (EAR), ABD Commerce Department (Bureau of Industry and Security — BIS) tarafından düzenlenir. Çift kullanımlı (sivil + askeri) ürünleri ve teknolojileri kapsar. CCL (Commerce Control List) bu ürünleri listeler.

F-16 motor parçası ITAR, ticari uçak motoru parçası genelde EAR kapsamındadır. Bazen sınır net değildir, ihracat danışmanı ile karar verilir.

1.3 Türk Firmaları için Anlamı

  • F-16/F-35 yedek parça üretimi → ITAR
  • Helikopter motoru parça üretimi (T700, T800) → ITAR
  • Aviyonik kart üretimi (askeri) → ITAR çoğunlukla
  • Radar/elektronik harp sistemleri → ITAR
  • Sivil havacılık (Boeing 737, Airbus A320) ticari → EAR
  • Sivil/askeri çift kullanımlı elektronik → EAR

2. Standart Microsoft 365 Neden ITAR Uyumlu Değil?

2.1 Veri İkametgahı (Data Residency)

Standart Microsoft 365 (Commercial) verileri Microsoft'un global data center'larında tutulur — İrlanda, Hollanda, ABD doğu/batı kıyısı, Asya. ITAR teknik verisinin bu data center'larda işlenmesi, ABD vatandaşı olmayan Microsoft mühendisleri tarafından yönetilmesi ITAR ihlalidir.

2.2 Personel Yetkilendirmesi

Standart Microsoft 365 destek + işletim ekipleri global. Microsoft mühendisleri Türk, Hindistan, Filipin gibi ülkelerden de olabilir. Bu mühendislerin ITAR teknik verisine erişebilmesi (debug, support, maintenance amaçlı) ITAR ihlalidir.

2.3 Yabancı Hisse

Microsoft Corporation Amerikan şirketidir, ancak global personel + global hissedar yapısı vardır. ITAR çok katı: "ABD vatandaşı olmayan herhangi bir kişinin teknik veriye potansiyel erişimi" ihlal sayılır.

3. Microsoft 365 GCC High Nedir?

3.1 Tanım

GCC High (Government Community Cloud High), Microsoft'un ABD federal hükümet ve savunma kuruluşları için tasarladığı özel buluttur:

  • Veriler ABD topraklarındaki özel data center'larda
  • Sadece ABD vatandaşı + güvenlik onaylı (Cleared) Microsoft personeli erişebilir
  • FedRAMP High + DoD Impact Level 5 sertifikalı
  • ITAR + DFARS + CMMC uyumlu
  • Standart Commercial M365'ten tamamen ayrı tenant

3.2 GCC High'in Kim Kullanır?

  • ABD Department of Defense (Pentagon, NSWC, AFRL)
  • ABD Defense Industrial Base — Lockheed Martin, Boeing, Northrop Grumman, Raytheon, General Dynamics
  • ABD federal kuruluşlar (CIA, NSA, DOJ, etc.)
  • ITAR kapsamlı uluslararası firmalar (özel onayla)

3.3 Türkiye'de GCC High Erişimi

GCC High Türkiye'de doğrudan satılmaz. Türk firma için erişim yolları:

  1. ABD merkezli iş ortağı / şube — Türk firma ABD'de bir LLC/Corp kurar, GCC High aboneliği ABD üzerinden alır
  2. Microsoft direkt onay — Microsoft ABD ekibi ile özel görüşme, Microsoft tarafından özel olarak onay verilebilir (nadir)
  3. Ana yüklenicinin GCC High'ında alt-tenant — eğer Lockheed/Boeing gibi bir ana yüklenicinin alt yüklenicisi iseniz, ana yükleniciden GCC High erişimi talep edebilirsiniz

Tüm bu yolların süresi 6-12 ay, maliyeti standart M365'in 2-3 katıdır.

4. Pragmatik Hibrit Yaklaşım — Türk Firmaları için

Çoğu Türk savunma firması için GCC High'a tam geçiş hem maliyetli hem operasyonel zor. Pragmatik çözüm hibrit yaklaşımdır:

4.1 İki Sistem Stratejisi

Veri TipiSistemYapılandırma
İdari veriler (HR, finans, satınalma)Standart M365 E5Information Protection + DLP
ITAR olmayan teknik veri (sivil havacılık)Standart M365 E5Information Barriers + Compartmentalization
EAR teknik veri (çift kullanım)Standart M365 E5EAR uyum politikası + audit log
ITAR teknik veriGCC High veya air-gapped sistemTam izolasyon, Microsoft 365'ten ayrı

4.2 ITAR Verisi için 3 Seçenek

Seçenek 1: GCC High Geçiş

  • 6-12 ay süreç, yüksek maliyet
  • Lockheed Martin/Boeing gibi ABD ana yüklenicilerle uzun vadeli iş için anlamlı
  • Standart M365 maliyetinin 2-3 katı

Seçenek 2: Air-Gapped Sistem

  • İnternete bağlı olmayan ayrı bilgisayar/sunucu sistemi
  • Sadece ITAR veri için kullanılır
  • USB ile fiziksel veri transferi (kontrollü)
  • Düşük maliyet, ama operasyonel zor

Seçenek 3: Ana Yüklenicinin GCC High'ında Alt-tenant

  • Eğer ABD ana yüklenicinin alt yüklenicisi iseniz
  • Ana yükleniciden GCC High erişimi talep
  • Sınırlı ama pragmatik

4.3 Information Barriers ile Yabancı Personel İzolasyonu (Standart M365)

Standart M365'te tüm projeler izole olamasa da, ITAR olmayan operasyonda yabancı uyruklu personeli izole edebilirsiniz:

  • Türk vatandaşı olmayan personel "Foreign National" grubuna
  • ITAR etiketli belgelere erişim engeli (etiketler standart M365'te de uygulanabilir)
  • ITAR projeli SharePoint/Teams alanları izole
  • Yanlışlıkla mesaj/belge gönderim bloke

Bu çözüm "tam ITAR uyumu" sağlamaz ama operasyonel dijital güvenlik sınırını yükseltir.

5. EAR Uyumu — Daha Esnek

EAR ITAR'a göre daha esnektir:

  • Çoğu EAR teknik veri standart M365'te işlenebilir
  • EAR99 (sınıflandırılmamış) veriler genelde sınırsız
  • License gerektiren EAR (örn. Çin, İran ihracat) için ek kontroller
  • EU Data Boundary aktive edilirse veri AB'de kalır (EAR için kabul edilebilir)

EAR uyumu için standart M365 E5 + Information Protection + DLP yeterli olur (çoğu durumda).

6. GCC High Geçiş Yol Haritası — Tier-2 Firma için Tipik Süreç

1-3. Ay: Hazırlık

  • İhracat danışmanı ile ITAR/EAR kapsam analizi
  • Mevcut ITAR projeleri ve veri envanteri
  • ABD ana yüklenicilerle GCC High erişimi görüşmesi
  • ABD'de LLC/Corp kurma değerlendirmesi

4-6. Ay: Microsoft Onay Süreci

  • Microsoft GCC High başvuru formu
  • Detaylı uyum dokümantasyonu
  • Microsoft güvenlik denetimi
  • Onay süreci tipik 2-3 ay

7-9. Ay: GCC High Tenant Kurulum

  • GCC High tenant aktive
  • ITAR uyumlu Microsoft mühendisleri ile yapılandırma
  • Standart M365'ten ITAR verilerinin migration'u
  • Personel ABD vatandaşlığı doğrulaması

10-12. Ay: Operasyonel Geçiş

  • ITAR projeleri GCC High'a taşınır
  • Hibrit operasyon stabilize
  • Personel eğitimi (GCC High kullanımı)
  • İlk denetim (Microsoft + DDTC)

7. Tipik Maliyetler

Standart M365 E5

  • ~$57/kullanıcı/ay (yıllık)
  • Tier-2 100 kişilik firma: $5.700/ay

GCC High Geçiş + Operasyon

  • GCC High lisansı: $90-130/kullanıcı/ay (2-2.5x standart)
  • Geçiş danışmanlık: $50.000-150.000 (tek seferlik)
  • ABD'de LLC/Corp kurma: $5.000-15.000 + yıllık $5.000-10.000
  • İhracat danışmanı: $20.000-50.000/yıl

Hibrit Yaklaşım (Standart M365 + Air-Gapped ITAR)

  • Standart M365 E5: yukarıdaki gibi
  • Air-gapped sistem kurulum: $30.000-80.000 (donanım + yazılım)
  • İşletim: kişi başı düşük

Hibrit yaklaşım çoğu Tier-2/Tier-3 Türk firma için pragmatik en uygun seçenek.

8. ITAR İhlali Riskleri

ITAR ihlali ciddi sonuçları olan bir konudur:

  • Kişisel ceza: 1 milyon USD'ye kadar para cezası, 20 yıl hapis (ABD vatandaşı için)
  • Şirket cezası: 1 milyon USD/ihlal sınır, kümülatif olabilir
  • İhracat lisansı kaybı: ABD ile gelecek iş yapma yasağı
  • Debarment: ABD savunma sanayine giriş yasağı (3-10 yıl)
  • İtibar zararı: müşteri kaybı, sözleşme iptali

Geçmişte ihlal yapan firmalara ortalama 20-50 milyon USD para cezası uygulanmıştır.

9. Pratik Tavsiyeler

Tier-3 KOBİ — Hibrit Yaklaşım

  • ITAR olmayan iş için standart M365 E3 + Information Protection
  • ITAR projesi sınırlı ise air-gapped sistem (1-2 bilgisayar)
  • Yıllık maliyet düşük, operasyon yönetilebilir

Tier-2 Alt Yüklenici — GCC High Değerlendirmesi

  • Standart M365 E5 + Information Barriers + Compartmentalization
  • ITAR projeleri için GCC High geçiş başlat (12 aylık plan)
  • Hibrit operasyon stabilize

Tier-1 Ana Yüklenici — GCC High Şart

  • Standart M365 ile ITAR taahhüdü uyumsuz
  • GCC High geçişi 6 aylık öncelikli proje
  • İhracat danışmanı tam zamanlı

Sonuç

ITAR uyumu Türk savunma sanayinde stratejik bir karar konusudur. Standart Microsoft 365 ITAR uyumlu değildir, GCC High gerekir ancak Türkiye'de erişimi sınırlıdır. Pragmatik hibrit yaklaşım çoğu firma için en uygulanabilir çözümdür: ITAR olmayan iş için standart M365 + Information Barriers, ITAR teknik veri için ayrı izole sistem veya GCC High geçiş.

Micro Bilgi Microsoft Yetkili Çözüm Ortağı (CSP) olarak Türk savunma sanayi firmalarına ITAR/EAR kapsam analizi, hibrit yapılandırma, GCC High geçiş yol haritası ve ihracat uyum danışmanlığı hizmeti sunmaktadır. Görüşmeler NDA ile yapılır. Savunma Sanayi için Microsoft 365 sayfamızı inceleyin veya ücretsiz değerlendirme için iletişime geçin.

İlgili yazılar: MSY 317-2 Uyum Rehberi · Information Protection Rehberi