1. Giriş: Veri Güvenliğinde Yeni Standart “Güven”
Dijitalleşen dünyada artık sadece “Hizmetimiz çok kaliteli” demek yetmiyor. Özellikle bulut bilişim (Cloud) ve SaaS (Software as a Service) modellerinin yaygınlaşmasıyla, şirketler verilerini emanet ettikleri iş ortaklarından somut kanıtlar bekliyor. Bir teknoloji şirketi olarak, müşterilerinizin hassas verilerini nasıl koruduğunuzu ispat etmenin en prestijli yollarından biri SOC 2 (System and Organization Controls) raporlamasıdır.
SOC 2, özellikle teknoloji odaklı şirketlerin hizmet kalitesini ve veri güvenliğini üçüncü taraf denetçiler aracılığıyla tescilleyen, küresel pazarda (özellikle ABD ve Kanada) kapıları açan bir anahtardır.
Stratejik Not: Eğer halihazırda bir bilgi güvenliği altyapınız varsa, ISO 27001 Bilgi Güvenliği Yönetim Sistemi sayfamızdaki prensiplerin SOC 2 ile nasıl %80 oranında örtüştüğünü bu yazımızda keşfedeceksiniz.
2. SOC 2 Nedir ve Neden Önemlidir?
SOC 2, Amerikan Sertifikalı Kamu Muhasebecileri Enstitüsü (AICPA) tarafından geliştirilen, bir hizmet kuruluşunun müşteri verilerini yönetme biçimine odaklanan bir denetim prosedürüdür. SOC 2 bir “sertifika” değil, bir **”denetim raporu”**dur.
Bu rapor, bir şirketin siber güvenlik risklerini ne kadar iyi yönettiğini “Güven Hizmet Kriterleri” (Trust Services Criteria) üzerinden değerlendirir.
SOC 2 Neden Önemlidir?
Pazara Giriş Bileti: Eğer ABD merkezli bir şirketle veya global bir bankayla çalışmak istiyorsanız, SOC 2 raporu olmadan “güvenlik anketlerini” geçmeniz neredeyse imkansızdır.
Müşteri Güvenini Tesciller: Müşterilerinize “Biz verilerinizi sadece koruduğumuzu söylemiyoruz, bağımsız denetçilere de kanıtladık” dersiniz.
Operasyonel Verimlilik: Denetim süreci, iç süreçlerinizdeki zayıf noktaları (örneğin; kodlama hataları, yetkisiz erişimler) ortaya çıkararak sisteminizi iyileştirmenizi sağlar.
3. Hangi Şirketlerin SOC 2 Uyumluluğuna İhtiyacı Var?
Eskiden SOC 2 sadece büyük veri merkezleri için gerekli görülürken, bugün kapsam çok genişledi. Eğer şirketiniz “Müşteri Verisi” tutuyor, işliyor veya bu veriye erişimi olan bir yazılım sunuyorsa SOC 2 radarına girmişsiniz demektir.
Öncelikli olarak ihtiyaç duyan sektörler:
SaaS (Yazılım Hizmeti) Sağlayıcıları: CRM, ERP, İK yazılımları vb.
Bulut Bilişim Firmaları: Veri depolama ve altyapı hizmeti sunanlar.
Veri Analitiği Şirketleri: Büyük veri işleme ve anlamlandırma yapanlar.
FinTech ve Ödeme Kuruluşları: Finansal verileri dijitalde yönetenler.
BT Danışmanlık ve Yönetilen Hizmetler (MSP): Müşteri sistemlerine uzaktan erişim sağlayanlar.
4. SOC 2 Güven Hizmet Kriterleri (Trust Services Criteria)
SOC 2 denetimi, her şirketin kendi iş modeline göre seçebileceği 5 temel “Güven Hizmet Kriteri” (TSC) üzerine inşa edilmiştir.
Güvenlik (Security – Ortak Kriter): Tüm SOC 2 raporlarında bulunması zorunlu olan tek kriterdir. Sistemin yetkisiz erişime, verilerin izinsiz değiştirilmesine ve kötü amaçlı yazılımlara karşı korunmasını kapsar. (Firewall’lar, iki faktörlü doğrulama, fiziksel güvenlik vb.)
Kullanılabilirlik (Availability): Sistemin, müşterinin sözleşmede belirtilen ihtiyaçlarını karşılamak üzere her an erişilebilir olup olmadığını sorgular. (Yedekleme, felaket kurtarma, sistem izleme vb.)
İşleme Bütünlüğü (Processing Integrity): Sistem işlemlerinin tam, doğru, zamanında ve yetkili olup olmadığına bakar. (Veri girişi kontrolleri, işlem takibi vb.)
Gizlilik (Confidentiality): “Gizli” olarak işaretlenen verilerin (fiyat listeleri, fikri mülkiyetler, iş planları) sadece yetkili kişi ve sistemlerce erişilebilir olmasını hedefler.
Gizlilik/Özel Hayatın Gizliliği (Privacy): Kişisel verilerin (PII – Ad, soyad, TC No vb.) toplanması, kullanılması ve imha edilmesi süreçlerinin yasalara ve şirket politikalarına uygunluğunu denetler.
→ Gizlilik kriterleri ve kişisel verilerin korunması konusundaki teknik detaylar için ISO 27701 Kişisel Veri Yönetim Sistemi rehberimizi inceleyebilirsiniz.
5. SOC 2 Rapor Türleri: Type 1 mi, Type 2 mi?
SOC 2 sürecine giren bir firmanın vermesi gereken en kritik karar rapor türüdür.
SOC 2 Type 1 (Noktasal Bakış)
Şirketin kontrollerinin belirli bir andaki (Örn: 15 Aralık 2025) tasarımını denetler.
Artısı: Daha hızlı sonuçlanır, daha ucuzdur.
Eksisi: Kontrollerin gerçekten çalışıp çalışmadığını değil, sadece “var olup olmadığını” belgeler. Genellikle Type 2 öncesi bir hazırlık aşamasıdır.
SOC 2 Type 2 (Süreç Odaklı Bakış) – Altın Standart
Kontrollerin belirli bir zaman dilimi boyunca (genellikle 6 ile 12 ay) ne kadar etkili çalıştığını test eder.
Artısı: En yüksek güven seviyesidir. Büyük kurumsal firmalar genellikle Type 2 raporu talep eder.
Eksisi: Uzun sürer ve sürekli disiplin gerektirir.
6. SOC 2 Uyumluluk Kontrol Listesi: Temel Gereksinimler
SOC 2 süreci bir sınav gibidir. İşte hazırlık yaparken mutlaka tik atmanız gereken maddeler:
[ ] Erişim Kontrolleri: Kimin hangi veriye eriştiğini izliyor musunuz? (RBAC – Rol Bazlı Erişim).
[ ] Değişim Yönetimi: Yazılım kodunuzda veya altyapınızda yapılan değişiklikler test ediliyor ve onaylanıyor mu?
[ ] Risk Değerlendirmesi: Şirketinizi tehdit eden siber ve operasyonel riskleri düzenli analiz ediyor musunuz?
[ ] Olay Müdahale (Incident Response): Bir sızıntı olduğunda ne yapacağınız belli mi? Ekibiniz eğitimli mi?
[ ] Tedarikçi Yönetimi: Alt yüklenicilerinizin (Örn: AWS, Azure) güvenlik seviyelerini denetliyor musunuz?
7. Vertacert’in Katma Değeri: “ISO 27001 ve SOC 2 Entegrasyonu”
İşte yazının en önemli “Uzmanlık” kısmı burasıdır. Birçok firma ISO 27001 ve SOC 2’yi iki ayrı devasa yük olarak görür. Oysa Vertacert olarak biz, bu iki süreci “Entegre Güvenlik” yaklaşımıyla yönetiyoruz.
Neden İkisini Beraber Düşünmelisiniz?
Ortak Kontroller: ISO 27001 Ek-A kontrolleri ile SOC 2 kriterleri %80 oranında örtüşür. Bir kez doğru bir Erişim Yönetimi kurduğunuzda, hem ISO hem de SOC denetçisini memnun edersiniz.
Yönetim Sistemi (ISMS): ISO 27001 size bir “Yönetim Sistemi” kurdurur. SOC 2 ise bu sistemin “Raporlamasını” yapar. ISO temeldir, SOC üst yapıdır.
Maliyet ve Zaman Tasarrufu: Tek tek uğraşmak yerine, Vertacert rehberliğinde verilerinizi bir kez toplayıp iki farklı denetimden (veya rapora hazırlıktan) geçebilirsiniz.
8. Sıkça Sorulan Sorular (SSS)
SOC 2 Sertifikası kaç yıl geçerlidir?
SOC 2 bir sertifika değil rapordur ve genellikle her yıl (en geç 12 ayda bir) yenilenmesi gerekir. Bayat bir raporun piyasada hükmü yoktur.
SOC 2 zorunlu mu?
Yasal bir zorunluluk (kanun gibi) değildir. Ancak iş ortaklarınız ve müşterileriniz için “ticari bir zorunluluk”tur.
Denetimi kim yapar?
SOC 2 denetimi sadece yetkili EBM (Emanetçi Bağımsız Müşavir) veya CPA (Certified Public Accountant) firmaları tarafından yapılabilir. Vertacert, raporlama öncesi sistemin kurulumu ve hazır hale getirilmesinde uzmanlaşmıştır.
9. Sonuç: Küresel Pazarda Güçlü Bir İmaj
SOC 2 raporuna sahip olmak, “Biz güvenliğe yatırım yapıyoruz” demenin en profesyonel yoludur. Özellikle bulut tabanlı bir hizmet sunuyorsanız, SOC 2 sizin için bir lüks değil, büyüme stratejinizin temel bir parçasıdır.
Vertacert olarak; ISO 27001 ile temelini attığımız güvenliğinizi, SOC 2 hazırlık süreçleriyle taçlandırıyor, firmanızı küresel denetimlere hazır hale getiriyoruz.
