Compliance & Regulation serimizin bir parçası
Tam kılavuzu okuyunDenetim İzi Gereksinimleri: Uyumluluğa Hazır ERP Sistemleri Oluşturma
SEC, 2025 yılında büyük bir finans kuruluşuna yetersiz kayıt tutma nedeniyle 35 milyon dolar ceza verdiğinde bunun temel nedeni bir güvenlik ihlali veya hileli bir işlem değildi. Kimin neyi, ne zaman ve neden yaptığını gösteren güvenilir bir denetim izi oluşturamamaktı. Uygun denetim kayıtlarının bulunmaması, yönetilebilir bir uyumluluk soruşturmasını milyonlarca dolarlık bir cezaya dönüştürdü.
ERP sistemlerini çalıştıran şirketler için denetim kayıtları yalnızca teknik bir özellik değildir; mevzuat uyumluluğunun temelidir. GDPR'den SOC2'ye ve SOX'a kadar her önemli uyumluluk çerçevesi, bir tür denetim günlüğünün tutulmasını gerektirir. Soru, denetim yollarına ihtiyacınız olup olmadığı değil, bunların aynı anda birden fazla düzenleyici gereksinimi karşılayacak şekilde nasıl uygulanacağıdır.
Önemli Çıkarımlar
- Her denetim günlüğü girişi dört soruyu yanıtlamalıdır: kim, ne, ne zaman ve nerede
- Değiştirilemezlik tartışılamaz --- denetim günlükleri sistem yöneticileri tarafından bile değişiklik yapılmasına karşı korunmalıdır
- Saklama gereksinimleri 1 yıl (PCI-DSS) ila 7+ yıl (SOX) arasında değişir; dolayısıyla depolamayı buna göre planlayın
- Odoo ve modern ERP sistemleri kapsamlı denetim günlüğü kaydı için yapılandırılabilir ancak nadiren kutudan çıktığı haliyle çalışır
Ne Kaydedilecek: Dört W
Bir denetim takibi, herhangi bir işlem veya veri değişikliğine ilişkin olayların sırasını yeniden oluşturmak için yeterli bilgiyi yakalamalıdır. Tüm uyumluluk çerçevelerindeki temel gereksinim "dört W"dur.
Denetim Günlüğünün Dört Kuralı
| W | Soru | Yakalanacak Veriler | Örnek |
|---|---|---|---|
| Kim | Eylemi kim gerçekleştirdi? | Kullanıcı Kimliği, kullanıcı adı, IP adresi, oturum kimliği, kimlik doğrulama yöntemi | user_id: 1042, ip: 203.0.113.45, kimlik doğrulama: SSO |
| Ne | Hangi eylem gerçekleştirildi? | Eylem türü, etkilenen kaynak, eski değer, yeni değer | eylem: GÜNCELLEME, tablo: satış_siparişleri, alan: durum, eski: "taslak", yeni: "onaylandı" |
| Ne zaman | Ne zaman oldu? | Zaman dilimini ve sıra numarasını içeren UTC zaman damgası | 2026-03-15T14:32:07.891Z, sıra: 482901 |
| Nerede | Sistemin neresinde? | Uygulama modülü, sunucu, uç nokta, kaynak sistemi | modül: satış, sunucu: app-prod-01, uç nokta: /api/orders/1042/confirm |
Nelerin Günlüğe Kaydedilmesi Gerekir
Farklı uyumluluk çerçevelerinin farklı günlük kaydı gereksinimleri vardır ancak tüm gereksinimlerin birleşimi şu kategorileri kapsar:
Kimlik doğrulama etkinlikleri:
- Başarılı ve başarısız giriş denemeleri
- Şifre değişiklikleri ve sıfırlamalar
- MFA kaydı ve doğrulaması
- Oturum oluşturma ve sonlandırma
- Hesap kilitleme ve kilit açma
Yetkilendirme etkinlikleri:
- Rol atamaları ve iptalleri
- İzin değişiklikleri
- Hassas verilere erişim (PII, mali, sağlık kayıtları)
- Ayrıcalık yükseltme girişimleri
- İdari işlemler
Veri etkinlikleri:
- Kayıt oluşturma, değiştirme ve silme
- Toplu veri işlemleri (içe aktarma, dışa aktarma, toplu güncellemeler)
- Görüntülemek için veri erişimi (özellikle hassas veriler)
- Hassas içeriğe sahip rapor oluşturma
- Veri dışa aktarmaları ve indirmeleri
Sistem olayları:
- Yapılandırma değişiklikleri
- Sistemin başlatılması ve kapatılması
- Yedek oluşturma ve geri yükleme
- Yazılım güncellemeleri ve dağıtımları
- Güvenlik aracı uyarıları ve yanıtları
Finansal olaylar (SOX/finansal uyumluluk için):
- Günlük girişi oluşturma ve değiştirme
- Fatura oluşturma ve ödeme kaydı
- Banka mutabakat faaliyetleri
- Hesap planı değişiklikleri
- Mali rapor oluşturma
Denetim İzi Gereksinimlerine İlişkin Düzenleme
Farklı düzenlemeler, farklı kayıt tutma, saklama ve inceleme gerekliliklerini zorunlu kılar. Aşağıdaki tablo, ana düzenlemeleri kendi özel denetim takibi talepleriyle eşleştirmektedir.
| Yönetmelik | Ne Kaydedilmeli | Saklama Süresi | Gereksinimi İnceleyin | Değişmezlik |
|---|---|---|---|---|
| GDPR (Mad. 5, 30, 33) | İşleme faaliyetleri, izin değişiklikleri, DSAR'lar, veri ihlalleri, PII'ye erişim | İşleme süresi + kanıtlanabilir süre | Belirli bir sıklık yoktur ancak talep üzerine uyumluluk gösterilmelidir | Zımni (sorumluluk ilkesi) |
| SOC2 (CC7.2, CC7.3) | Güvenlik olayları, erişim değişiklikleri, sistem değişiklikleri, olaylar | Denetim süresi + makul düzeyde elde tutma | Düzenli inceleme (genellikle kritik için günlük, standart için haftalık) | Gerekli (kanıt bütünlüğü) |
| PCI-DSS (Gerek. 10) | Kart sahibi verilerine, kimlik doğrulama etkinliklerine, yönetici eylemlerine, denetim günlüğü erişimine tam erişim | Minimum 1 yıl (3 ay hemen kullanılabilir) | Tüm güvenlik olaylarının günlük incelemesi | Gerekli (sabotaj tespiti) |
| SOX (Böl. 302, 404) | Finansal işlem değişiklikleri, onay iş akışları, görevler ayrılığı | minimum 7 yıl | Mali kontrollerin yıllık denetimi | Gerekli (finansal bütünlük) |
| ISO 27001 (A.8.15) | Güvenlik olayları, erişim kontrolü, değişiklik yönetimi, operasyonel faaliyetler | Risk değerlendirmesine göre tanımlanır (genellikle 1-3 yıl) | Operasyonel prosedürlere göre düzenli inceleme | Gerekli (kanıtların korunması) |
| HIPAA (45 CFR 164.312) | ePHI'ye erişim, kullanıcı etkinliği, güvenlik olayları | minimum 6 yıl | Düzenli inceleme (genellikle günlük) | Gerekli (bütünlük kontrolleri) |
Çoklu Düzenlemelere Yönelik Tasarım
Pratik yaklaşım, her boyuttaki en katı gerekliliği uygulamaktır:
- Neler kaydedilmeli: Tüm gereksinimlerin birleşimi (yukarıda listelenen her şeyi günlüğe kaydedin)
- Saklama: 7 yıl (SOX gereksinimi), 3 ay sıcak depolamada (PCI-DSS) ve geri kalanı soğuk/arşiv depolamada
- İnceleme: İstisnaların haftalık olarak insan tarafından incelenmesiyle günlük otomatik inceleme
- Değişmezlik: Tüm denetim günlükleri için bir kez yazılan, yalnızca eklenen depolama
Değiştirilemez Denetim Günlükleri
Değişmezlik, en kritik ve en sık gözden kaçırılan denetim takibi gereksinimidir. Sistem yöneticileri de dahil olmak üzere herkes tarafından değiştirilebilen bir denetim günlüğünün uyumluluk kanıtı olarak değeri sınırlıdır.
Değişmezlik Neden Önemlidir
Bir çalışanın bir mali kayıtta değişiklik yapması ve ardından bu değişikliği kaydeden denetim günlüğü girişini silmesi durumunda denetim takibi atlatılmış olur. Düzenleyiciler ve denetçiler özellikle denetim günlüklerinin değiştirilemeyeceğine dair kanıt ararlar.
Uygulama Yaklaşımları
Yaklaşım 1: Bir Kez Yazılabilen Depolama
Bir kere yaz çok oku (WORM) semantiğini uygulayan depolama sistemlerini kullanın:
- AWS S3 Nesne Kilidi (Yönetim veya Uyumluluk modu)
- Azure Değişmez Blob Depolama
- Google Bulut Depolama saklama politikaları
- Amaca yönelik olarak oluşturulmuş değişmez veritabanları (immudb, Amazon QLDB)
Yaklaşım 2: Kriptografik Zincirleme
Kriptografik karmalar kullanan zincir günlük girişleri (blockchain'e benzer):
- Her günlük girişi, önceki girişin karmasını içerir
- Herhangi bir girişi değiştirmek veya silmek zinciri kırar
- Zincir bağımsız olarak doğrulanabilir
- Bu yaklaşım her türlü depolama arka ucuyla çalışır
Yaklaşım 3: Ayrı Kayıt Altyapısı
Denetim günlüklerini kısıtlı erişime sahip ayrı bir sisteme gönderin:
- Merkezi kayıt platformu (ELK Stack, Datadog, Splunk)
- Kimlik bilgilerini ve erişim kontrollerini uygulamadan ayırın
- Silme izni yok --- yöneticiler için bile
- Kayıt platformunun kendisine erişim denetlenir
En iyi uygulama: Yaklaşımları birleştirin. Denetim günlüklerini hem uygulama veritabanına (sorgulama için) hem de değişmez bir harici depoya (kanıt bütünlüğü için) yazın. Uygulama veritabanına itiraz edilmesi durumunda harici depo yetkili kayıt görevi görür.
Odoo Denetim Yolu Uygulaması
Odoo, sohbet sistemi ve create_uid/write_uid alanları aracılığıyla temel denetim oturumu kapatma olanağı sağlar, ancak bu çoğu uyumluluk gereksinimi için yeterli değildir. Odoo'da kapsamlı bir denetim izinin nasıl oluşturulacağı aşağıda açıklanmıştır.
Dahili Odoo Takibi
Odoo'nun varsayılan izleme yetenekleri:
| Özellik | Ne Yakalar | Sınırlama |
|---|---|---|
| KOD0 / KOD1 | Kaydı kim ve ne zaman oluşturdu | Değişiklikler değil, yalnızca oluşturma |
| KOD0 / KOD1 | Kaydı en son kim ve ne zaman değiştirdi | Yalnızca son değişiklik, geçmiş değil |
Posta takibi (track_visibility) | Sohbette günlüğe kaydedilen alan değişiklikleri | Alan başına açık yapılandırma gerektirir |
| KOD0 | Sohbet mesajları ve sistem bildirimleri | Kurcalamaya dayanıklı değildir, silinebilir |
Odoo Denetim Yollarının Geliştirilmesi
Odoo'da uyumluluğa hazır denetim yolları oluşturmak için:
1. Alan düzeyinde değişiklik takibi. İlgili tüm modellerdeki tüm hassas alanlarda track_visibility'ı etkinleştirin. Bu, sohbetteki eski/yeni değerleri yakalar.
2. Özel denetim günlüğü modeli. Her önemli işlem için dört W'yi yakalayan özel bir denetim günlüğü modeli oluşturun:
- Kullanıcı kimliği, IP adresi ve oturum bilgisi (kim)
- Model, kayıt kimliği, alan, eski değer, yeni değer (ne)
- Mikrosaniye hassasiyetinde UTC zaman damgası (ne zaman)
- Modül, yöntem ve istek bağlamı (burada)
3. Veritabanı tetikleyicileri. Kritik tablolar (finansal kayıtlar, kullanıcı yönetimi) için ayrı bir denetim şemasına yazan PostgreSQL tetikleyicilerini uygulayın. Bu tetikleyiciler, uygulama katmanı atlansa bile tetiklenir.
4. Değiştirilemez depolama. Denetim günlüklerini harici bir değişmez depoya (Object Lock özellikli S3 veya özel bir SIEM) gerçek zamanlı olarak aktarın. Bu, Odoo veritabanından bağımsız olarak kurcalamaya karşı korumalı kanıt sağlar.
5. Erişim günlüğü. Yalnızca yazma işlemlerini değil, hassas kayıtlara yönelik tüm okuma erişimini günlüğe kaydedin. Bu, GDPR (kişisel verilere kimin eriştiğini gösteren) ve HIPAA (ePHI erişimini izleme) açısından özellikle önemlidir.
ECOSIRE ile entegrasyon
ECOSIRE'ın Odoo ERP uygulamaları GDPR, SOC2 ve ISO 27001 gereksinimlerini karşılayan önceden yapılandırılmış denetim takibi modülleri içerir. Uygulama, saha düzeyinde izleme, değişmez günlük depolama, otomatik saklama yönetimi ve uyumluluğa hazır raporlama kontrol panellerini içerir.
Denetim Günlüğü Mimarisi En İyi Uygulamaları
Performansla İlgili Hususlar
Kapsamlı denetim günlüğü önemli miktarda veri hacmi oluşturur. Günde 10.000 işlem gerçekleştiren orta ölçekli bir ERP sistemi, günde 500.000'den fazla denetim günlüğü girişini kolayca oluşturabilir. Buna göre plan yapın:
- Ayrı depolama: Uygulama performansının etkilenmesini önlemek için denetim günlüklerini ayrı bir veritabanında veya şemada tutun
- Eşzamansız günlük kaydı: Günlük yazmayı işlem işlemeden ayırmak için mesaj kuyruklarını (Redis, RabbitMQ) kullanın
- Kademeli depolama: En son günlükler (30-90 gün) için sıcak depolama (SSD), 1-2 yıl boyunca sıcak depolama, uzun süreli saklama için soğuk/arşiv depolama
- Dizine ekleme stratejisi: Sıklıkla sorgulanan alanları (zaman damgası, kullanıcı_id, kaynak_türü, eylem) dizine ekleyin, ancak her alanı dizine eklemeyin
Günlük Formatı Standardizasyonu
Tüm sistemlerde tutarlı, yapılandırılmış bir format kullanın:
- Makine tarafından okunabilirlik ve kolay ayrıştırma için JSON formatı
- UTC zaman damgaları küresel operasyonlarda saat dilimi karışıklığını önlemek için
- Tüm günlük kaynaklarında tutarlı alan adları
- İlgili günlük girişlerini hizmetler arasında bağlayan Korelasyon Kimlikleri (ör. birden fazla modüldeki etkinlikleri tetikleyen tek bir kullanıcı eylemi)
- Bilgi amaçlı günlük kaydını güvenlikle ilgili denetim olaylarından ayıran günlük düzeyleri
Denetim Günlükleri için Erişim Kontrolü
Denetim günlüğü sisteminin kendisi güvence altına alınmalıdır:
- Denetim günlüklerine yalnızca belirlenen uyumluluk görevlileri erişebilir
- Hiç kimse denetim günlüğü girişlerini silemez (sistem yöneticileri dahil)
- Denetim günlüklerine erişim günlüğe kaydedilir (meta denetim)
- Denetim günlüğü sorguları amaç/gerekçeyle birlikte günlüğe kaydedilir
- Görevler ayrılığı: ERP'yi yöneten kişi aynı zamanda denetim günlüğü sistemini de yönetemez
Denetim izlerinin daha geniş uyumluluk çerçevesine nasıl uyduğu konusunda rehberlik için kurumsal uyumluluk el kitabımıza bakın.
Sıkça Sorulan Sorular
Denetim günlükleri ne kadar depolama alanı gerektirir?
Depolama gereksinimleri işlem hacmine ve günlük ayrıntı düzeyine bağlıdır. Kaba bir kılavuz olarak: Saha düzeyinde değişiklik takibiyle günde 10.000 ERP işlemi gerçekleştiren bir şirket, ayda yaklaşık 2-5 GB denetim günlüğü verisi üretir. 7 yıllık saklama (SOX gereksinimi) ile bu, toplam 168-420 GB denetim günlüğü depolama alanı anlamına gelir. Sıkıştırma genellikle bunu %70-80 oranında azaltır. Bu birimin bulut depolama maliyetleri makul düzeydedir (aylık 50-200 ABD Doları), bu da depolama kapasitesini sorun olmaktan çıkarır.
Ayrı bir denetim sistemi yerine ERP'nin yerleşik günlük kaydını kullanabilir miyiz?
Temel uyumluluk için ERP'nin yerleşik günlük kaydı yeterli olabilir. Bununla birlikte, sağlam uyumluluk için üç nedenden dolayı ayrı bir denetim sistemi önerilir: değişmezlik (uygulama düzeyindeki günlükler yönetici kullanıcılar tarafından değiştirilebilir), görevlerin ayrılması (denetim günlüğü yönetimi ERP yönetiminden bağımsız olmalıdır) ve performans (yoğun denetim sorguları ERP işlem sürecini etkilememelidir).
Sistem geçişleri sırasında ne olur --- denetim izimizi kaybeder miyiz?
Sistem geçişleri sırasında denetim takibinin sürekliliği kritik bir planlama hususudur. Geçişten önce mevcut tüm denetim günlüklerini değiştirilemez, mevzuata uygun bir formatta arşivleyin. Geçiş sırasında eski ve yeni kayıt tanımlayıcıları arasında net bir eşleme sağlayın. Geçişten sonra, yeni sistemde denetim günlüğünün etkin olduğunu ve geçmiş günlüklerin erişilebilir durumda kaldığını doğrulayın. Veri dönüştürme mantığı da dahil olmak üzere geçişin kendisini denetim takibinde belgeleyin.
Silinen kayıtlara ilişkin denetim günlüklerini nasıl ele alırız?
Bu, GDPR (silme hakkı) ile diğer düzenlemeler (denetim takibinin tutulması) arasındaki ortak bir gerilimdir. Önerilen yaklaşım, denetim günlüğü girişlerini silmek yerine silinen kayıtlarla ilgili denetim günlüğü girişlerini anonimleştirmektir. Eylemin, zaman damgasının ve iş bağlamının kaydını tutarken kişisel tanımlayıcıları anonim belirteçlerle değiştirin. Bu, mali ve güvenlik uyumluluğuna yönelik denetim takibini korurken GDPR'nin gizlilik gereksinimlerini karşılar.
Sırada Ne Var
Denetim izleri uyumluluğun söylenmemiş temelidir. Bunlar olmadan diğer uyumluluk kontrollerinin hiçbiri doğrulanamaz. Kapsamlı, değişmez ve iyi tasarlanmış denetim kayıtlarına yatırım yapmak artık denetimler, soruşturmalar ve düzenleyici soruşturmalar sırasında çok büyük çaba tasarrufu sağlıyor.
ECOSIRE, ilk günden itibaren kurumsal düzeyde denetim izleri ile uyumluluğa hazır ERP sistemleri oluşturur. Odoo ERP uygulamalarımız alan düzeyinde değişiklik izlemeyi, değişmez günlük depolamayı ve uyumluluk raporlama kontrol panellerini içerir. Yapay zeka destekli denetim günlüğü analizi ve anormallik tespiti için OpenClaw AI platformumuzu keşfedin. Denetim takibi gereksinimlerinizi görüşmek için bize ulaşın.
ECOSIRE tarafından yayınlandı — işletmelerin Odoo ERP, Shopify eCommerce ve OpenClaw AI genelinde yapay zeka destekli çözümlerle ölçeklenmesine yardımcı oluyor.
Yazan
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
Odoo ERP ile İşinizi Dönüştürün
Operasyonlarınızı kolaylaştırmak için uzman Odoo uygulaması, özelleştirme ve destek.
İlgili Makaleler
Odoo ve NetSuite Pazar Ortası Karşılaştırması: Tam Satın Alma Rehberi 2026
2026'da orta ölçekli pazar için Odoo ve NetSuite karşılaştırması: özellik bazında puanlama, 50 kullanıcı için 5 yıllık TCO, uygulama zaman çizelgeleri, sektöre uygunluk ve iki yönlü geçiş kılavuzu.
Odoo Geçişi 2026'nın Puantiyesi: Hintli KOBİ'ler için Adım Adım Kılavuz
2026'da Hindistan'daki KOBİ'ler için Odoo geçiş taktik kitabının puanları: veri modeli eşleme, 12 adımlı plan, GST işleme, COA çevirisi, paralel çalıştırma, UAT ve geçiş.
E-ticaret için Yapay Zeka Dolandırıcılık Tespiti: Satışları Engellemeden Geliri Koruyun
Sahte pozitif oranları %2'nin altında tutarken, sahtekarlık işlemlerinin %95'ten fazlasını yakalayan yapay zeka sahtekarlık tespitini uygulayın. Makine öğrenimi puanlaması, davranış analizi ve yatırım getirisi kılavuzu.
Compliance & Regulation serisinden daha fazlası
E-ticaret için Siber Güvenlik: 2026'da İşletmenizi Koruyun
2026 için eksiksiz e-ticaret siber güvenlik kılavuzu. PCI DSS 4.0, WAF kurulumu, bot koruması, ödeme sahtekarlığını önleme, güvenlik başlıkları ve olaylara müdahale.
Kimya Endüstrisi için ERP: Güvenlik, Uyumluluk ve Toplu İşleme
ERP sistemleri kimya şirketleri için SDS belgelerini, REACH ve GHS uyumluluğunu, toplu işlemeyi, kalite kontrolü, tehlikeli madde sevkıyatını ve formül yönetimini nasıl yönetir?
İthalat/İhracat Ticareti için ERP: Çoklu Para Birimi, Lojistik ve Uyumluluk
ERP sistemleri, ticari şirketler için akreditif mektuplarını, gümrük belgelerini, incoterms'i, çok para birimli P&L'yi, konteyner takibini ve görev hesaplamasını nasıl ele alıyor?
ERP ile Sürdürülebilirlik ve ÇSY Raporlaması: Uyumluluk Kılavuzu 2026
2026'da ESG raporlama uyumluluğunu ERP sistemleriyle yönlendirin. CSRD, GRI, SASB, Kapsam 1/2/3 emisyonlarını, karbon takibini ve Odoo sürdürülebilirliğini kapsar.
Denetim Hazırlığı Kontrol Listesi: Kitaplarınızı Hazırlamak
Mali tabloların hazırlığı, destekleyici belgeler, iç kontrol belgeleri, denetçi PBC listeleri ve ortak denetim bulgularını kapsayan eksiksiz denetim hazırlık kontrol listesi.
E-Ticaret İşletmeleri için Avustralya GST Kılavuzu
ATO kaydını, 75.000 $ eşiğini, düşük değerli ithalatı, BAS ödemesini ve dijital hizmetler için GST'yi kapsayan e-Ticaret işletmeleri için eksiksiz Avustralya GST kılavuzu.