Supply Chain & Procurement serimizin bir parçası
Tam kılavuzu okuyunTeknoloji Şirketleri için Satıcı Sözleşme Yönetimi En İyi Uygulamaları
Ortalama bir teknoloji şirketi, her biri kendi sözleşmesine, veri işleme şartlarına ve yenileme programına sahip 130 SaaS aracı kullanır. Yapılandırılmış tedarikçi yönetimi olmadan, sözleşmeler yüksek oranlarda otomatik olarak yenilenir, güvenlik boşlukları fark edilmez ve uyumluluk yükümlülükleri gözden kaçırılır. Bu kılavuz, sözleşme yaşam döngüsü boyunca satıcı ilişkilerini yönetmek için pratik bir çerçeve sağlar.
Önemli Çıkarımlar
- Kişisel verileri sizin adınıza işleyen her satıcının bir Veri İşleme Sözleşmesine (DPA) ihtiyacı vardır
- SLA izlemesi satıcının kendi raporlamasına bağlı olmadan otomatikleştirilmelidir
- Sözleşme yenileme takibi, anlaşmalı yenilemelerden %15-30 daha pahalı olan sürpriz otomatik yenilemeleri önler
- Satıcı risk değerlendirmeleri, satıcının veri hassasiyeti ve iş kritikliği ile orantılı olmalıdır
Satıcı Yaşam Döngüsü
Aşama 1: Seçim ve Durum Tespiti
İmzalamadan önce her satıcıyı şu kriterlere göre değerlendirin:
| Değerlendirme Alanı | Anahtar Sorular | Dokümantasyon |
|---|---|---|
| Güvenlik duruşu | SOC2 Tip II? ISO27001? Sızma testi sonuçları? | Güvenlik anketi yanıtı |
| Veri işleme | Veriler nerede saklanıyor? Kimin erişimi var? Şifreleme mi? | DPA, veri akış şeması |
| Uyumluluk | GDPR uyumlu mu? Ödemeler yapılıyorsa PCI-DSS mi? | Uyumluluk sertifikaları |
| Finansal istikrar | Ne kadar süredir iş hayatında? Finanse edildi mi? Kârlı mı? | Finansal referanslar |
| İş sürekliliği | DR planı mı? Çalışma süresi geçmişi? Veri taşınabilirliği? | SLA, DR belgeleri |
| Alt işlemciler | Verileri başka kim işliyor? Nerede? | Alt işlemci listesi |
Aşama 2: Müzakere ve Sözleşme
Teknoloji satıcıları için temel sözleşme maddeleri:
| Madde | Amaç | Müzakere Önceliği |
|---|---|---|
| Veri İşleme Sözleşmesi (DPA) | GDPR uyumluluğu | Zorunlu |
| Mali cezalı SLA | Performans garantisi | Yüksek |
| Veri taşınabilirliği maddesi | Çıkış stratejisi | Yüksek |
| Kolaylık sağlamak için sonlandırma | Esneklik | Yüksek |
| Fiyat kilidi / artış sınırı | Maliyet kontrolü | Orta |
| Sorumluluk sınırı | Risk tahsisi | Yüksek |
| Sigorta gereklilikleri | Mali koruma | Orta |
| Alt işlemci bildirimi | Yönetim değişikliği | Zorunlu (GDPR) |
| Denetim hakları | Uyumluluk doğrulaması | Zorunlu (GDPR) |
| İhlal bildirimi zaman çizelgesi | Olay müdahalesi | Zorunlu (GDPR) |
Aşama 3: Devam Eden Yönetim
| Etkinlik | Frekans | Sahibi |
|---|---|---|
| SLA izleme | Sürekli (otomatik) | BT/Operasyonlar |
| Fatura doğrulama | Aylık | Finans |
| Kullanım incelemesi (doğru boyutlandırma) | Üç Aylık | BT |
| Güvenlik incelemesi | Yıllık (veya olay anında) | Güvenlik/DPO |
| Sözleşme incelemesi | Yenilemeden 90 gün önce | Hukuk/Tedarik |
| Alt işlemci listesi incelemesi | Üç Aylık | DPO |
| Uyumluluk sertifikası kontrolü | Yıllık | DPO |
Aşama 4: Yenileme veya Çıkış
yenilemeden 90 gün önce:
- Mevcut kullanımın taahhütlü kapasite ile karşılaştırmasını inceleyin
- Alternatiflerle karşılaştırmalı fiyatlandırma
- Satıcı performansını SLA'lara göre değerlendirin
- Dönem boyunca meydana gelen güvenlik olaylarını inceleyin
- Yenileme şartlarını müzakere edin veya çıkışı başlatın
Veri İşleme Anlaşmaları (DPA'lar)
Bir DPA'ya İhtiyacınız Olduğunda
Bir tedarikçinin sizin adınıza kişisel verileri işlediği durumlarda, GDPR (Madde 28) uyarınca bir DPA gereklidir. Bu şunları içerir:
- Bulut barındırma sağlayıcıları (AWS, Azure, GCP)
- SaaS platformları (CRM, e-posta, analiz)
- Ödeme işlemcileri
- E-posta servis sağlayıcıları
- Müşteri destek platformları
- İK/maaş bordrosu hizmetleri
- Pazarlama otomasyon araçları
Temel DPA Maddeleri
| Madde | Gereksinim | GDPR Makalesi |
|---|---|---|
| İşleme amacı | Yalnızca belirli amaçlar için işlenen veriler | Sanat. 28(3)(a) |
| Gizlilik | Gizlilik ilkesine bağlı ve yetkili personel | Sanat. 28(3)(b) |
| Güvenlik önlemleri | Ayrıntılı teknik ve organizasyonel önlemler | Sanat. 28(3)(c) |
| Alt işlemci yönetimi | Alt işleyicileri görevlendirmeden önce yazılı onay | Sanat. 28(2) |
| Veri sahibi hakları | Veri sahibinin isteklerine yanıt verilmesinde denetleyiciye yardımcı olun | Sanat. 28(3)(e) |
| İhlal bildirimi | Aşırı gecikme olmadan denetleyiciye bildirimde bulunun | Sanat. 28(3) + Md. 33 |
| Silme/geri verme | Fesih durumunda verileri silin veya iade edin | Sanat. 28(3)(g) |
| Denetim hakları | Denetleyicinin uyumluluğu denetlemesine izin ver | Sanat. 28(3)(saat) |
| Uluslararası transferler | Varsa SCC'ler veya diğer transfer mekanizmaları | Sanat. 28(3) + Md. 46 |
SLA Yönetimi
Anlamlı SLA'ları Tanımlama
| Metrik | Standart Seviye | Kurumsal Katman |
|---|---|---|
| Çalışma Süresi | %99,9 (8,7 saat/yıl kesinti) | %99,99 (52 dakika/yıl kesinti) |
| Tepki süresi (P95) | <500ms | <200ms |
| Destek yanıtı (kritik) | 4 saat | 1 saat |
| Destek yanıtı (yüksek) | 8 saat | 4 saat |
| Veri kurtarma (RPO) | 24 saat | 1 saat |
| İhlal bildirimi | 72 saat | 24 saat |
SLA İzleme
Vendor SLA Dashboard:
+-------------------------------------------+
| Vendor | Uptime | Latency | Status |
|---------------|---------|---------|--------|
| AWS (hosting) | 99.98% | 45ms | OK |
| Stripe | 99.99% | 120ms | OK |
| Authentik | 99.95% | 85ms | OK |
| SendGrid | 99.82% | 350ms | WARN |
| Cloudflare | 100% | 12ms | OK |
+-------------------------------------------+
SLA uyumluluğunu harici olarak takip edin; asla yalnızca satıcı tarafından sağlanan çalışma süresi raporlarına güvenmeyin.
Satıcı Risk Değerlendirmesi
Risk Puanlama Matrisi
| Faktör | Ağırlık | Puan 1 (Düşük Risk) | Puan 5 (Yüksek Risk) |
|---|---|---|---|
| Veri hassasiyeti | %30 | Yalnızca halka açık veriler | Kişisel Bilgiler + finansal veriler |
| İş açısından kritiklik | %25 | Olsa güzel bir araç | Temel iş süreci |
| Satıcı boyutu/istikrar | %15 | Servet 500 | Erken aşama başlangıç |
| Değiştirme zorluğu | %15 | Birçok alternatif | Alternatif yok |
| Uyumluluk sertifikaları | %15 | SOC2 + ISO 27001 | Sertifika yok |
Risk kategorileri:
- Skor 1,0-2,0: Düşük risk. Standart şartlar kabul edilebilir. Yıllık inceleme.
- Puan 2,1-3,5: Orta risk. Gelişmiş DPA gerekli. Yarı yıllık inceleme.
- Puan 3,6-5,0: Yüksek risk. Tam güvenlik değerlendirmesi, özel DPA, üç aylık inceleme.
Sözleşme Yaşam Döngüsü Otomasyonu
Yenilemelerin Takibi
| Satıcı | Sözleşme Başlangıcı | Dönem | Otomatik Yenileme | Yenileme Tarihi | İhbar Süresi | Sahibi |
|---|---|---|---|---|---|---|
| AWS | 2026-01-01 | Yıllık | Evet | 2027-01-01 | 30 gün | DevOps |
| Şerit | 2025-06-15 | Aydan aya | Yok | Yok | Yok | Finans |
| Nöbetçi | 2026-03-01 | Yıllık | Evet | 2027-03-01 | 30 gün | Mühendislik |
| SendGrid | 2025-09-01 | Yıllık | Evet | 2026-09-01 | 60 gün | Pazarlama |
Takvim hatırlatıcılarını şurada ayarlayın:
- Yenilemeden 90 gün önce: İncelemeye başlayın
- 60 gün önce: Karşılaştırma ve müzakere stratejisinin tamamlanması
- 30 gün önce: Pazarlığı sonlandırın veya iptal bildirimini gönderin
Sıkça Sorulan Sorular
Her SaaS tedarikçisi için bir DPA'ya ihtiyacımız var mı?
Satıcı kişisel verileri sizin adınıza işliyorsa evet. Bu, aklınıza gelmeyebilecek satıcıları içerir: analiz araçları (kullanıcı IP'lerini ve davranışlarını işlerler), e-posta sağlayıcıları (alıcı e-posta adreslerini işlerler), müşteri destek araçları (müşteri adlarını ve sorgularını işlerler). Şüpheye düştüğünüzde bir DPA imzalayın. Çoğu büyük SaaS satıcısının istek üzerine standart DPA'ları vardır.
Bir satıcı veri ihlaliyle karşılaşırsa ne olur?
DPA'nız, satıcının aşırı gecikme olmadan (GDPR) veya belirli bir zaman dilimi içinde sizi bilgilendirmesini gerektirmelidir. Bildirim üzerine: (1) olay müdahale planınızı etkinleştirin, (2) etkilenen verilerin kapsamını değerlendirin, (3) denetleyici otorite bildiriminin gerekli olup olmadığını belirleyin (GDPR uyarınca 72 saat içinde), (4) yüksek risk varsa etkilenen veri sahiplerini bilgilendirin, (5) tüm süreci belgeleyin.
Odoo'daki satıcıları nasıl yönetiriz?
Odoo'nun Satın Alma modülü satıcı sözleşmelerini, koşullarını ve yenileme tarihlerini takip eder. Bunu DPA durumu, risk puanı ve uyumluluk sertifikasyon tarihlerine yönelik özel alanlarla genişletin. Yenileme hatırlatıcıları için otomatik eylemleri kullanın. ECOSIRE'ın Odoo uygulama hizmetleri, uyumluluğa duyarlı satın alma için satıcı yönetimi yapılandırmasını içerir.
Satıcı Çıkış Stratejisi
Her satıcı ilişkisinin, ilişki başlamadan önce belgelenmiş bir çıkış planı olmalıdır. Bir satıcı ilişkisi sona erdiğinde - ister seçim, ister satıcının iflası, ister güvenlik olayı nedeniyle - verilerinizi çıkarmanız ve işinizi kesintiye uğratmadan bir alternatife geçmeniz gerekir.
Kontrol Listesinden Çık
- Standart formatta (CSV, JSON, API) veri aktarımı tamamlandı
- Verilerin silinmesi satıcı tarafından onaylandı (yazılı onay)
- Tüm kullanıcı hesapları devre dışı bırakıldı
- API anahtarları ve entegrasyonların bağlantısı kesildi
- DPA yükümlülüklerinin feshedilmeye devam ettiği doğrulandı
- Alternatif satıcı veya süreç mevcut
- Ekip yeni çözüm konusunda eğitildi
- Geçmiş veriler taşındı veya arşivlendi
Satıcıya Bağlılık Değerlendirmesi
| Kilitlenme Faktörü | Risk Düzeyi | Azaltma |
|---|---|---|
| Tescilli veri formatı | Yüksek | Sözleşmede standart ihracatın sağlanması |
| Özel entegrasyonlar | Orta | Standart API'leri kullanın, satıcıya özel özelliklerden kaçının |
| Eğitim yatırımı | Düşük | Satıcıdan bağımsız belge süreçleri |
| Uzun vadeli sözleşme | Orta | Kolaylık sağlamak için fesih konusunda pazarlık yapın |
| Veri hacmi (geçiş maliyeti) | Orta | Yedekleme için düzenli ihracat |
Sırada Ne Var?
Satıcı yönetimi, veri yönetiminin bir temel direğidir. Bunu, yönetilen veri yaşam döngüsü için veri saklama politikaları, alıcı tarafı sözleşme bilgisi için SaaS sözleşmesinin temelleri ve uluslararası tedarikçi yönetimi için sınır ötesi aktarım düzenlemeleri ile birleştirin.
Satıcı yönetimi danışmanlığı ve uyumluluk denetimi için ECOSIRE ile iletişime geçin.
ECOSIRE tarafından yayınlandı - işletmelerin satıcı ilişkilerini güvenle yönetmelerine yardımcı oluyor.
Yazan
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE ile İşinizi Büyütün
ERP, e-Ticaret, yapay zeka, analitik ve otomasyon genelinde kurumsal çözümler.
İlgili Makaleler
Kimya Endüstrisi için ERP: Güvenlik, Uyumluluk ve Toplu İşleme
ERP sistemleri kimya şirketleri için SDS belgelerini, REACH ve GHS uyumluluğunu, toplu işlemeyi, kalite kontrolü, tehlikeli madde sevkıyatını ve formül yönetimini nasıl yönetir?
İthalat/İhracat Ticareti için ERP: Çoklu Para Birimi, Lojistik ve Uyumluluk
ERP sistemleri, ticari şirketler için akreditif mektuplarını, gümrük belgelerini, incoterms'i, çok para birimli P&L'yi, konteyner takibini ve görev hesaplamasını nasıl ele alıyor?
ERP RFP Nasıl Yazılır: Ücretsiz Şablon ve Değerlendirme Kriterleri
Ücretsiz şablonumuz, zorunlu gereksinimler kontrol listemiz, satıcı puanlama metodolojimiz, demo komut dosyalarımız ve referans kontrol kılavuzumuzla etkili bir ERP Teklif Talebi yazın.
Supply Chain & Procurement serisinden daha fazlası
Tedarik Zinciri Optimizasyonu için Yapay Zeka: Görünürlük, Tahmin ve Otomasyon
Yapay zeka ile tedarik zinciri operasyonlarını dönüştürün: talep algılama, tedarikçi risk puanlaması, rota optimizasyonu, depo otomasyonu ve kesinti tahmini. 2026 kılavuzu.
ERP RFP Nasıl Yazılır: Ücretsiz Şablon ve Değerlendirme Kriterleri
Ücretsiz şablonumuz, zorunlu gereksinimler kontrol listemiz, satıcı puanlama metodolojimiz, demo komut dosyalarımız ve referans kontrol kılavuzumuzla etkili bir ERP Teklif Talebi yazın.
Talep Planlama için Makine Öğrenimi: Envanter İhtiyaçlarını Doğru Şekilde Tahmin Edin
Envanter ihtiyaçlarını %85-95 doğrulukla tahmin etmek için makine öğrenimi destekli talep planlamasını uygulayın. Zaman serisi tahmini, mevsimsel modeller ve Odoo entegrasyon kılavuzu.
Odoo Satın Alma ve Tedarik: Tam Otomasyon Kılavuzu 2026
RFQ'lar, satıcı yönetimi, 3 yönlü eşleştirme, ithalat maliyetleri ve yeniden sipariş kuralları ile Odoo 19 Satın Alma ve Tedarik konusunda uzmanlaşın. Tam otomasyon kılavuzu.
Power BI Tedarik Zinciri Kontrol Paneli: Görünürlük ve Performans Takibi
Envanter dönüşlerini, tedarikçi teslim sürelerini, sipariş karşılamayı, talep ve tedariki, lojistik maliyetlerini ve depo kullanımını takip eden bir Power BI tedarik zinciri panosu oluşturun.
Tedarik Zinciri Dayanıklılığı: 2026'da Kesintilerden Kurtulmak için 10 Strateji
İkili kaynak kullanımı, güvenlik stoku modelleri, yakın kıyıya erişim, dijital ikizler, tedarikçi çeşitlendirmesi ve ERP odaklı görünürlük stratejileriyle tedarik zinciri esnekliğini oluşturun.