SaaS Şirketleri için SOC 2 Uyumluluğu: Tip I ve Tip II Kılavuzu

Kurumsal alıcılar artık SOC 2 uyumlu olup olmadığınızı sormuyor; fiyatlandırmayı tartışmadan önce raporu istiyorlar. SOC 2, kurumsal müşterilere, finansal hizmetlere, sağlık hizmetlerine ve devlet müşterilerine satış yapan SaaS şirketleri için fiili güvenlik güven standardı haline geldi. Bu olmadan, anlaşmalar durur, satın alma ekipleri satıcıları reddeder ve yasal incelemeler aylarca sürer.

Bu kılavuz, SaaS kurucularına, mühendislik liderlerine ve uyumluluk ekiplerine, Güven Hizmeti Kriterleri çerçevesini, Tip I ve Tip II raporlar arasındaki kritik farkları, hazırlık değerlendirmesini, kanıt toplamayı, yaygın denetim hatalarını ve mühendislik birikiminizi şişirmeden sürecin nasıl hızlandırılacağını kapsayan SOC 2 uyumluluğuna yönelik kesin, uygulama odaklı bir yol haritası sunar.

Önemli Çıkarımlar

• SOC 2 Tip I, tasarımın belirli bir zamanda kontrol edildiğini kanıtlar; Tip II, 6-12 ay boyunca işletme verimliliğini kanıtlıyor
• Beş Güven Hizmeti Kriteri şunlardır: Güvenlik (zorunlu), Kullanılabilirlik, İşleme Bütünlüğü, Gizlilik ve Gizlilik
• Çoğu SaaS şirketi, temel olarak Güvenlik kapsamındaki CC6–CC9 kontrollerini hedeflemelidir
• Kanıt toplama en fazla zaman alan kısımdır; ilk günden itibaren bunu otomatikleştirmeye başlayın
• Yaygın denetim hataları: belgelenmemiş satıcı incelemeleri, eksik erişim incelemeleri, eksik olay günlükleri
• Sürekli uyumluluk platformları (Vanta, Drata, Secureframe) denetim hazırlık süresini %60-70 oranında azaltır
• Sıfır istisna içeren bir SOC 2 Tip II raporu, satışlarda önemli bir fark yaratır
• Hazırlık değerlendirmesinden Tip II raporun düzenlenmesine kadar 6-9 ayı planlayın

---

SOC 2 Çerçevesine Genel Bakış

SOC 2, Amerikan Yeminli Mali Müşavirler Enstitüsü (AICPA) tarafından geliştirilen gönüllü bir denetim çerçevesidir. Hizmet kuruluşlarının, beş Güven Hizmeti Kriterine (TSC) göre müşteri verilerini nasıl yönetmesi gerektiğini belirtir:

1. Güvenlik (CC1–CC9) — Ortak Kriterler, tüm SOC 2 raporları için zorunludur. Mantıksal ve fiziksel erişim kontrollerini, sistem işlemlerini, değişiklik yönetimini ve risk azaltmayı kapsar.

2. Kullanılabilirlik (A1) — Taahhüt edildiği şekilde işletim ve kullanım için sistemin kullanılabilirliği. SLA çalışma süresi garantisine sahip SaaS şirketleri için geçerlidir.

3. İşleme Bütünlüğü (PI1) — Sistem işlemesi tam, geçerli, doğru, zamanında ve yetkilidir. Finansal yazılımlar, bordro sistemleri ve veri işleme hizmetleri için kritiktir.

4. Gizlilik (C1) — Gizli olarak belirlenen bilgiler taahhüt edildiği şekilde korunur. Müşterinin özel verilerini, ticari sırlarını veya işle ilgili hassas bilgileri kullandığınızda geçerlidir.

5. Gizlilik (P1–P8) — Kişisel bilgiler AICPA'nın Gizlilik Yönetimi Çerçevesine (GDPR ve CCPA ilkelerine uygun olarak) uygun olarak toplanır, kullanılır, saklanır, ifşa edilir ve imha edilir.

İlk SOC 2'yi takip eden çoğu SaaS şirketi yalnızca Güvenliği içerir. Kullanılabilirlik eklemek, altyapı açısından kritik ürünler için yaygındır. AB veya sağlık hizmeti müşterilerine satış yaparken gizlilik giderek daha fazla ekleniyor.

---

Tip I ve Tip II: Uygulamada Farkın Anlamı

SOC 2 Tip I, kontrollerinizin belirli bir tarih itibarıyla Güven Hizmeti Kriterlerini karşılayacak şekilde uygun şekilde tasarlandığının kanıtıdır. Bir denetçi, kontrol belgelerinizi, politikalarınızı ve sistem açıklamalarınızı inceler ve bunların amaca uygun olup olmadığına karar verir. Tip I raporu, hazır olduğunuzda 4-8 hafta içinde yayınlanabilir.

SOC 2 Tip II, kontrollerinizin yalnızca iyi tasarlandığını değil aynı zamanda genellikle 6 veya 12 ay süren bir gözlem süresi boyunca etkili bir şekilde çalıştığını da kanıtlar. Denetçiler, dönem boyunca uygulanan kontrollere ilişkin kanıtları toplar ve inceler: erişim inceleme günlükleri, olay bildirimleri, değişiklik yönetimi kayıtları, satıcı değerlendirmeleri, sızma testi sonuçları.

Hangisini takip etmelisiniz?

Ortak bir strateji: Tip I'i derhal edinin, ardından 6 aylık bir gözlem periyodu uygulayın ve programa başladıktan sonraki 9 ay içinde Tip II'yi edinin. Bazı müşteriler, belirli bir zaman çizelgesinde Tip II'ye geçme taahhüdüyle başlangıçta Tip I'i kabul edeceklerdir.

---

Ayrıntılı Olarak Güven Hizmeti Kriterleri

Güvenlik Ortak Kriterleri (CC1–CC9)

CC1 — Kontrol Ortamı: Yönetişim yapısı, davranış kuralları, geçmiş kontrolleri, yeterlilik değerlendirmeleri. Denetçiler kuruluş şemanızı, belgelenmiş rollerinizi ve yönetim kurulunuzun veya yönetici ekibinizin güvenlik raporları aldığına dair kanıtları görmek ister.

CC2 — İletişim ve Bilgi: Güvenlik politikalarının iç ve dış iletişimi. Yayınlanmış bir güvenlik politikasına, çalışan eğitim kayıtlarına ve politika değişikliklerini iletmek için bir sürece ihtiyacınız var.

CC3 — Risk Değerlendirmesi: Belgelendirilmiş risk değerlendirme süreci, risk kaydı ve yıllık veya daha sık incelemelerin kanıtı. Denetçiler, belirlenen risklerin hafifletme eylemlerine kadar takip edilip edilmediğini kontrol eder.

CC4 — İzleme Faaliyetleri: İç denetim işlevi, kontrol izleme, eksiklik raporlama. Kanıtlar arasında denetim komitesi tutanakları, güvenlik açığı taraması sonuçları ve yönetimin inceleme kayıtları yer alır.

CC5 — Kontrol Faaliyetleri: Riskleri ele alan politikalar ve prosedürler. Burası yama yönetimi, değişiklik yönetimi, yedekleme prosedürleri gibi spesifik teknik ve operasyonel kontrollerinizin bulunduğu yerdir.

CC6 — Mantıksal ve Fiziksel Erişim Kontrolleri: En çok incelenen bölüm. Kullanıcı yetkilendirme/yetki kaldırma, MFA uygulamasını, ayrıcalıklı erişim yönetimini, veri merkezlerine fiziksel erişimi ve erişim incelemelerini kapsar.

CC7 — Sistem Operasyonları: Güvenlik açığı yönetimi, değişiklik yönetimi, olaylara müdahale. Kanıtlar arasında yama kayıtları, değişiklik bildirimleri, olay günlükleri ve otopsi raporları yer alır.

CC8 — Değişiklik Yönetimi: Onay iş akışları, test gereksinimleri ve geri alma prosedürlerini içeren resmi değişiklik yönetimi süreci. Kod incelemesi ve dağıtım günlükleri önemli kanıtlardır.

CC9 — Risk Azaltma: Satıcı risk yönetimi ve iş sürekliliği. Kanıtlar arasında satıcı anketleri, üçüncü taraf değerlendirmeleri, BCP belgeleri ve test edilmiş olağanüstü durum kurtarma prosedürleri yer alır.

---

Kontrol Çerçevenizi Oluşturma

Bir denetçiyle görevlendirilmeden önce, geçerli kriterlerin her birini karşılayan kontrolleri tasarlamanız ve uygulamanız gerekir. Bu uygulama çerçevesini kullanın:

Aşama 1 — Temel (1-4. Haftalar)

• Sistem açıklamanızı belgeleyin: ürününüzün ne yaptığını, üzerinde çalıştığı altyapıyı ve SOC 2 kapsamının sınırlarını
• AICPA'nın 2017 TSC yayınını kullanarak Güven Hizmeti Kriterlerine göre bir boşluk değerlendirmesi yapın
• En az 20-30 belgelenmiş risk ve bunların mevcut hafifletici kontrollerini içeren bir risk kaydı oluşturun
• Tüm çalışan hesapları için şifre yöneticisi ve MFA uygulayın
• Bilgi güvenliği politikanızı, kabul edilebilir kullanım politikanızı ve olay müdahale planınızı resmileştirin

2. Aşama — Teknik Kontroller (4-10. Haftalar)

• Kapsamdaki tüm sistemlerde (üretim, kaynak kontrolü, bulut altyapısı, SaaS araçları) rol tabanlı erişim kontrolünü uygulayın
• Üretim ortamlarına tüm ayrıcalıklı erişim için denetim günlüğünü yapılandırın
• Güvenlik açığı taraması (haftalık minimum) ve yama SLA'sı oluşturun (kritik: 24 saat, yüksek: 7 gün, orta: 30 gün)
• Test edilmiş geri yükleme prosedürleriyle otomatik yedeklemeleri yapılandırın
• Ağ segmentasyonu ve güvenlik duvarı kuralları dokümantasyonunu uygulayın
• İzinsiz giriş tespitini / SIEM uyarısını ayarlayın

Aşama 3 — Süreç Kontrolleri (6-14. Haftalar)

• Resmi değişiklik yönetimini uygulayın (PR incelemeleri, dağıtımların hazırlanması, onay kapıları)
• Kritik satıcılar için ilk satıcı risk değerlendirmenizi gerçekleştirin ve belgeleyin
• İlk erişim incelemenizi çalıştırın (bundan sonra üç aylık tempo)
• Tüm çalışanlara güvenlik farkındalığı eğitimi verilmesi ve belgelerin tamamlanması
• Bir sızma testi gerçekleştirin ve bulguların düzeltilmesini belgeleyin
• Olay müdahale planınızı yazın ve test edin (masa üstü egzersiz)
• Sistem erişimini kapsayan resmi bir çalışan işe alma/çıkarma prosedürünün oluşturulması

---

Kanıt Toplama: Yap ya da Boz Faktörü

SOC 2 denetimi temelde bir kanıt incelemesidir. Denetçiler gözlem dönemini kapsayan numuneler talep edeceklerdir; 12 aylık Tip II için tekrarlanan kontrolün 25-40 örneğini örnekleyebilirler. Eksik veya tutarsız kanıtlar, denetimlerin şartlı görüş veya istisnalarla sonuçlanmasının temel nedenidir.

Kanıt kategorileri ve örnekler:

Otomasyon şarttır: Bu kanıtların manuel olarak toplanması sürdürülemez. Vanta, Drata, Secureframe veya Tugboat Logic gibi uyumluluk platformları, kanıtları otomatik olarak almak için bulut sağlayıcılarınızla (AWS, GCP, Azure), kimlik sistemlerinizle (Okta, GSuite) ve kod depolarınızla (GitHub, GitLab) entegre olur. Bu, denetim hazırlığını aylardan haftalara indirir.

---

SOC 2'nizin Kapsamını Belirleme

SOC 2'deki en önemli kararlardan biri, kapsamın (denetim sınırına hangi sistemlerin, süreçlerin ve kişilerin dahil edildiği) tanımlanmasıdır. Dar bir kapsam, gerekli çalışmayı azaltır ancak tüm platformunuz üzerinde güvence isteyen müşterileri tatmin etmeyebilir.

Kapsam belirlemede dikkat edilecek noktalar:

• Müşteri verilerini saklayan, işleyen veya ileten tüm sistemleri dahil edin
• Geliştiricilerin üretim verilerine erişimi varsa geliştirme ortamlarını dahil edin
• Müşteri verilerini sizin adınıza işleyen üçüncü taraf alt işleyicileri dahil edin
• Müşteri verilerine dokunmuyorlarsa dahili İK/finans sistemlerini hariç tutun
• Doğrudan kontrol etmeniz gerekenleri azaltarak altyapı sağlayıcınızın SOC 2'sine (ör. AWS) güvenilip güvenilemeyeceğini değerlendirin

Denetçiler; kapsamı, sağlanan hizmetleri, kullanılan altyapıyı ve kontrol hedeflerini tam olarak tanımlayan bir Sistem Açıklamasına (SOC 2 raporunun 3. Bölümü) ihtiyaç duyar. Bu belge genellikle 15-30 sayfadan oluşur ve kurumsal müşterilerin ilk okuduğu şeylerden biridir.

---

Denetçinizi Seçmek ve Onunla Çalışmak

SOC 2 raporları yalnızca lisanslı bir CPA firması tarafından düzenlenebilir. AICPA, lisanslı uygulayıcıların bir listesini tutar. Denetçi seçimi önemli ölçüde önemlidir:

Müstakbel denetçilere sorulacak sorular:

• Sektörümüzde kaç tane SaaS SOC 2 denetimi gerçekleştirdiniz?
• Hazırlık değerlendirme aşamasına yönelik süreciniz nedir?
• Sürekli uyumluluk platformlarını (Vanta, Drata) destekliyor musunuz ve bunların kanıt ihracatını kabul ediyor musunuz?
• Başlangıçtan raporun düzenlenmesine kadar olan tipik zaman çizelgeniz nedir?
• Ücretinize neler dahildir ve kapsam değişikliklerini neler tetikler?

Tipik denetim ücretleri, kapsamın karmaşıklığına ve denetçi firmasına bağlı olarak Tip I için 15.000 – 35.000 ABD Doları ve Tip II için 25.000 – 75.000 ABD Doları arasında değişmektedir. 4 büyük firma prim oranları talep ediyor ancak Fortune 500 satın alma ekipleriyle daha fazla marka güvenilirliği taşıyor.

---

Yaygın Denetim Başarısızlıkları ve Bunlardan Nasıl Kaçınılacağı

1. Eksik erişim incelemeleri: Denetçiler üç aylık erişim incelemelerinizden örnekler alır. İncelemeler yapılmadıysa veya yürütüldü ancak belgelendirilmediyse bu bir istisna oluşturur. Erişim inceleme hatırlatıcılarını otomatikleştirin ve imzalanan raporları uyumluluk platformunuzda saklayın.

2. Eksik satıcı değerlendirmeleri: Birçok SaaS şirketi 50'den fazla üçüncü taraf araç kullanıyor. Kritik satıcılarınızın güvenlik duruşunu değerlendirdiğinizi gösteremezseniz denetçiler bunu işaretleyecektir. Müşteri verilerine erişimi olan satıcılara öncelik verin ve kademeli bir inceleme temposu oluşturun.

3. Değişiklik yönetimine ilişkin belgelenmemiş istisnalar: Değişiklik yönetimi sürecinizi atlayan (genellikle acil durum düzeltmesi olarak gerekçelendirilen) bir dağıtım bile belgelenmemişse bir istisnayı tetikleyebilir. Hala geriye dönük dokümantasyon gerektiren bir acil durum değişiklik prosedürü oluşturun.

4. Olay yanıtı günlüğündeki boşluklar: Her güvenlik olayı, hatta küçük olanlar bile (başarısız oturum açma girişimleri, kimlik avı e-postaları), olay izleme sisteminize kaydedilmelidir. Denetçiler sadece büyük olayları değil, resmin tamamını görmek istiyor.

5. Geçmiş kontrolü tutarsızlıkları: Politikanız tüm çalışanların özgeçmiş kontrollerini gerektiriyorsa ancak işe alınanlardan bazıları çekler iade edilmeden işe alım işlemini tamamlamışsa bu bir istisnadır. İşe alım sıranızı resmileştirin ve her istisnayı belgeleyin.

6. Sızma testi iyileştirme takibinin eksik olması: Sızma testi, yalnızca izlenen ve düzeltilen bulguları size gösterebiliyorsanız denetçiler için değerlidir. İyileştirme biletleri ve kapatma kanıtı olmadan test, kontrolden ziyade riski gösterir.

---

SOC 2 Hazırlık Kontrol Listesi

• Kapsam dahilindeki tüm hizmetleri ve altyapıyı kapsayacak şekilde hazırlanan sistem açıklaması
• Minimum 20 risk ve mevcut hafifletici kontrollerle oluşturulmuş risk listesi
• Bilgi güvenliği politikası belgelendi, onaylandı ve tüm personele iletildi
• Olay müdahale planı belgelendi ve masa üstü tatbikat tamamlandı
• Kapsam dahilindeki tüm sistemlerdeki tüm çalışan hesapları için MFA uygulandı
• Belgelenmiş izin matrisleriyle uygulanan rol tabanlı erişim kontrolü
• Erişim sağlama ve yetkilendirmeyi kaldırma prosedürleri belgelendi ve biletler doğrulandı
• Üç aylık erişim inceleme süreci uygulandı ve ilk inceleme belgelendi
• Güvenlik açığı taraması otomatikleştirildi (haftalık), bulgular düzeltmeye kadar takip edildi
• Yama SLA'sı tanımlandı ve uyumluluk izlendi
• Halkla İlişkiler inceleme zorunluluğunun uygulanmasıyla belgelenen değişiklik yönetimi süreci
• Satıcı risk değerlendirme süreci belgelendi, kritik satıcılar değerlendirildi
• Güvenlik farkındalığı eğitimi tüm çalışanlar tarafından tamamlandı, tamamlanma kaydedildi
• Sızma testi tamamlandı, bulgular takip edildi, maddi bulgular düzeltildi
• Yedekleme ve kurtarma prosedürleri test edildi, sonuçlar kaydedildi
• İş sürekliliği / felaket kurtarma planı belgelendi

---

Sıkça Sorulan Sorular

SOC 2 Type II sertifikasını almak ne kadar sürer?

Tip II için minimum gözlem süresi 6 aydır ancak denetimlerin çoğunda 12 ay kullanılır. Hazırlık hazırlığı, saha çalışması ve rapor taslağı hazırlama için 2-3 ay ekleyin. Programınıza başlamanızdan II. Tip raporu almanıza kadar geçen toplam zaman çizelgesi genellikle 9-15 aydır. Zaten olgun bir kontrol ortamınız varsa, hızlanabilirsiniz. Kontroller yapıldıktan sonra 2-4 ay içinde Tip I raporu alınabilir.

SOC 2 yasal bir gereklilik midir?

Hayır, SOC 2 isteğe bağlıdır. Ancak kurumsal, finansal hizmetler, sağlık hizmetleri ve devlet satın alma süreçleri, bunu giderek artan bir şekilde sözleşmeye bağlı bir gereklilik olarak zorunlu kılmaktadır. Hedef pazarınız bu segmentleri içeriyorsa, SOC 2 Type II, yasal olmasa bile fiilen bir pazar erişim gereksinimidir.

Yeni kurulan şirketler SOC 2 uyumluluğu alabilir mi?

Evet ve erken aşamadaki startuplar, sürece gerekli olduğunu düşündüklerinden daha erken başlamalılar. SOC 2 için gereken kontroller, MFA, erişim incelemeleri, değişiklik yönetimi, olay günlüğü tutma gibi her durumda iyi bir operasyonel hijyeni temsil eder. Erken başlamak, büyük bir kurumsal anlaşma öncesinde kontrolleri yenilemek için uğraşmak yerine, ürününüzü oluştururken doğal olarak 12 aylık Tip II kanıt biriktirmeniz anlamına gelir.

SOC 2 ile ISO 27001 arasındaki fark nedir?

Her ikisi de bilgi güvenliği yönetimini ele alır ancak yapı, coğrafya ve kapsam bakımından farklılık gösterir. SOC 2, müşteri denetçileri tarafından incelenen bir doğrulama raporu üreten, özellikle hizmet kuruluşlarına yönelik ABD menşeli bir çerçevedir. ISO 27001, Avrupa ve Asya-Pasifik'te yaygın olarak tanınan, 3 yıl geçerli bir sertifika üreten uluslararası bir standarttır. Birçok kurumsal odaklı SaaS şirketi her ikisini de takip ediyor. SOC 2 genellikle ABD'li kurumsal alıcılar tarafından talep edilir; AB ve APAC alıcıları tarafından ISO 27001. Kontroller önemli ölçüde örtüşüyor.

Denetimimiz istisnalarla sonuçlanırsa ne olur?

İstisnalar ("sapmalar" olarak da adlandırılır), denetçinin gözlem süresi boyunca bir kontrolün tasarlandığı gibi işlemediği durumlar bulduğu anlamına gelir. Denetçi bunları sapmanın tanımı ve sıklığı ile birlikte rapora dahil edecektir. Temel nedeni ve çözümünüzü açıklayan bir yönetim yanıtı ekleyebilirsiniz. Çoğu kurumsal müşteri, özellikle ilk kez yapılan Tip II denetimlerden gelen küçük istisnalar dışında raporları kabul eder. Tekrarlanan istisnalar veya kritik kontrollerdeki (erişim yönetimi gibi) istisnalar daha endişe vericidir.

GDPR'ye zaten uyumluysak SOC 2'ye ihtiyacımız var mı?

Evet. GDPR ve SOC 2 farklı hedef kitlelere ve gereksinimlere hitap etmektedir. GDPR, AB veri sahiplerinin haklarına odaklanır ve AB denetleyici makamları tarafından uygulanır. SOC 2, müşterilerinizin güvenlik kontrollerinize ilişkin güvence ihtiyacını karşılayan bir ABD çerçevesidir. Veri güvenliği ve olaylara müdahale gibi alanlarda örtüşüyorlar ancak GDPR, kurumsal satın alma ekiplerinin ihtiyaç duyduğu doğrulama raporunu üretmiyor. Birçok SaaS şirketi her iki programı da sürdürüyor ve kontroller büyük ölçüde örtüşüyor, bu da artan çabayı azaltıyor.

SOC 2 uyumluluğunun toplam maliyeti ne kadardır?

Toplam program maliyetleri büyük ölçüde mevcut kontrol olgunluğunuza ve kapsamın karmaşıklığına bağlıdır. Bütçe: uyumluluk platformu (15.000-30.000 ABD Doları/yıl), denetim ücretleri (Tip II için 25.000-75.000 ABD Doları), sızma testi (10.000-25.000 ABD Doları) ve dahili personel süresi (100-300 saat). Birçok şirket ayrıca programı yönetmek için kısmi bir CISO veya uyumluluk danışmanı (150-300$/saat) tutar. Orta ölçekli bir SaaS şirketi için toplam ilk yıl maliyeti genellikle 75.000 ila 200.000 ABD Doları arasında değişir; gözetim denetimleri ve program bakımı için devam eden yıllık maliyetler ise 50.000 ila 100.000 ABD Doları arasındadır.

---

Sonraki Adımlar

SOC 2 uyumluluğu, bir SaaS şirketinin yapabileceği en yüksek yatırım getirisi yatırımlarından biridir; doğrudan satın alma engellerini ortadan kaldırır ve kurumsal alıcılara güvenlik olgunluğunun sinyalini verir. Bunu sürdürülebilir kılmanın anahtarı, mühendislik ve operasyonel süreçlerinize baştan itibaren uyumluluk kazandırmaktır, bunu periyodik bir denetim uygulaması olarak ele almak değil.

ECOSIRE, SOC 2'ye hazır kontrol ortamlarını tasarlamak, uygulamak ve sürdürmek için her aşamada SaaS şirketleriyle birlikte çalışır. İster sıfırdan başlıyor olun ister Tip II gözlem döneminize hazırlanıyor olun, hizmetlerimiz açığı etkili bir şekilde kapatmanıza yardımcı olur.

Hizmetlerimizi keşfedin: ECOSIRE Hizmetleri

Sorumluluk reddi: Bu kılavuz yalnızca bilgilendirme amaçlıdır ve yasal veya denetim tavsiyesi niteliğinde değildir. SOC 2 gereklilikleri ve yorumları farklılık gösterebilir. Resmi SOC 2 sınavınız için nitelikli bir CPA firmasıyla iletişime geçin.