Supply Chain & Procurement serimizin bir parçası
Tam kılavuzu okuyunTeknoloji Şirketleri için Satıcı Sözleşme Yönetimi En İyi Uygulamaları
Ortalama bir teknoloji şirketi, her biri kendi sözleşmesine, veri işleme şartlarına ve yenileme programına sahip 130 SaaS aracı kullanır. Yapılandırılmış tedarikçi yönetimi olmadan, sözleşmeler yüksek oranlarda otomatik olarak yenilenir, güvenlik boşlukları fark edilmez ve uyumluluk yükümlülükleri gözden kaçırılır. Bu kılavuz, sözleşme yaşam döngüsü boyunca satıcı ilişkilerini yönetmek için pratik bir çerçeve sağlar.
Önemli Çıkarımlar
- Kişisel verileri sizin adınıza işleyen her satıcının bir Veri İşleme Sözleşmesine (DPA) ihtiyacı vardır
- SLA izlemesi satıcının kendi raporlamasına bağlı olmadan otomatikleştirilmelidir
- Sözleşme yenileme takibi, anlaşmalı yenilemelerden %15-30 daha pahalı olan sürpriz otomatik yenilemeleri önler
- Satıcı risk değerlendirmeleri, satıcının veri hassasiyeti ve iş kritikliği ile orantılı olmalıdır
Satıcı Yaşam Döngüsü
Aşama 1: Seçim ve Durum Tespiti
İmzalamadan önce her satıcıyı şu kriterlere göre değerlendirin:
| Değerlendirme Alanı | Anahtar Sorular | Dokümantasyon |
|---|---|---|
| Güvenlik duruşu | SOC2 Tip II? ISO27001? Sızma testi sonuçları? | Güvenlik anketi yanıtı |
| Veri işleme | Veriler nerede saklanıyor? Kimin erişimi var? Şifreleme mi? | DPA, veri akış şeması |
| Uyumluluk | GDPR uyumlu mu? Ödemeler yapılıyorsa PCI-DSS mi? | Uyumluluk sertifikaları |
| Finansal istikrar | Ne kadar süredir iş hayatında? Finanse edildi mi? Kârlı mı? | Finansal referanslar |
| İş sürekliliği | DR planı mı? Çalışma süresi geçmişi? Veri taşınabilirliği? | SLA, DR belgeleri |
| Alt işlemciler | Verileri başka kim işliyor? Nerede? | Alt işlemci listesi |
Aşama 2: Müzakere ve Sözleşme
Teknoloji satıcıları için temel sözleşme maddeleri:
| Madde | Amaç | Müzakere Önceliği |
|---|---|---|
| Veri İşleme Sözleşmesi (DPA) | GDPR uyumluluğu | Zorunlu |
| Mali cezalı SLA | Performans garantisi | Yüksek |
| Veri taşınabilirliği maddesi | Çıkış stratejisi | Yüksek |
| Kolaylık sağlamak için sonlandırma | Esneklik | Yüksek |
| Fiyat kilidi / artış sınırı | Maliyet kontrolü | Orta |
| Sorumluluk sınırı | Risk tahsisi | Yüksek |
| Sigorta gereklilikleri | Mali koruma | Orta |
| Alt işlemci bildirimi | Yönetim değişikliği | Zorunlu (GDPR) |
| Denetim hakları | Uyumluluk doğrulaması | Zorunlu (GDPR) |
| İhlal bildirimi zaman çizelgesi | Olay müdahalesi | Zorunlu (GDPR) |
Aşama 3: Devam Eden Yönetim
| Etkinlik | Frekans | Sahibi |
|---|---|---|
| SLA izleme | Sürekli (otomatik) | BT/Operasyonlar |
| Fatura doğrulama | Aylık | Finans |
| Kullanım incelemesi (doğru boyutlandırma) | Üç Aylık | BT |
| Güvenlik incelemesi | Yıllık (veya olay anında) | Güvenlik/DPO |
| Sözleşme incelemesi | Yenilemeden 90 gün önce | Hukuk/Tedarik |
| Alt işlemci listesi incelemesi | Üç Aylık | DPO |
| Uyumluluk sertifikası kontrolü | Yıllık | DPO |
Aşama 4: Yenileme veya Çıkış
yenilemeden 90 gün önce:
- Mevcut kullanımın taahhütlü kapasite ile karşılaştırmasını inceleyin
- Alternatiflerle karşılaştırmalı fiyatlandırma
- Satıcı performansını SLA'lara göre değerlendirin
- Dönem boyunca meydana gelen güvenlik olaylarını inceleyin
- Yenileme şartlarını müzakere edin veya çıkışı başlatın
Veri İşleme Anlaşmaları (DPA'lar)
Bir DPA'ya İhtiyacınız Olduğunda
Bir tedarikçinin sizin adınıza kişisel verileri işlediği durumlarda, GDPR (Madde 28) uyarınca bir DPA gereklidir. Bu şunları içerir:
- Bulut barındırma sağlayıcıları (AWS, Azure, GCP)
- SaaS platformları (CRM, e-posta, analiz)
- Ödeme işlemcileri
- E-posta servis sağlayıcıları
- Müşteri destek platformları
- İK/maaş bordrosu hizmetleri
- Pazarlama otomasyon araçları
Temel DPA Maddeleri
| Madde | Gereksinim | GDPR Makalesi |
|---|---|---|
| İşleme amacı | Yalnızca belirli amaçlar için işlenen veriler | Sanat. 28(3)(a) |
| Gizlilik | Gizlilik ilkesine bağlı ve yetkili personel | Sanat. 28(3)(b) |
| Güvenlik önlemleri | Ayrıntılı teknik ve organizasyonel önlemler | Sanat. 28(3)(c) |
| Alt işlemci yönetimi | Alt işleyicileri görevlendirmeden önce yazılı onay | Sanat. 28(2) |
| Veri sahibi hakları | Veri sahibinin isteklerine yanıt verilmesinde denetleyiciye yardımcı olun | Sanat. 28(3)(e) |
| İhlal bildirimi | Aşırı gecikme olmadan denetleyiciye bildirimde bulunun | Sanat. 28(3) + Md. 33 |
| Silme/geri verme | Fesih durumunda verileri silin veya iade edin | Sanat. 28(3)(g) |
| Denetim hakları | Denetleyicinin uyumluluğu denetlemesine izin ver | Sanat. 28(3)(saat) |
| Uluslararası transferler | Varsa SCC'ler veya diğer transfer mekanizmaları | Sanat. 28(3) + Md. 46 |
SLA Yönetimi
Anlamlı SLA'ları Tanımlama
| Metrik | Standart Seviye | Kurumsal Katman |
|---|---|---|
| Çalışma Süresi | %99,9 (8,7 saat/yıl kesinti) | %99,99 (52 dakika/yıl kesinti) |
| Tepki süresi (P95) | <500ms | <200ms |
| Destek yanıtı (kritik) | 4 saat | 1 saat |
| Destek yanıtı (yüksek) | 8 saat | 4 saat |
| Veri kurtarma (RPO) | 24 saat | 1 saat |
| İhlal bildirimi | 72 saat | 24 saat |
SLA İzleme
Vendor SLA Dashboard:
+-------------------------------------------+
| Vendor | Uptime | Latency | Status |
|---------------|---------|---------|--------|
| AWS (hosting) | 99.98% | 45ms | OK |
| Stripe | 99.99% | 120ms | OK |
| Authentik | 99.95% | 85ms | OK |
| SendGrid | 99.82% | 350ms | WARN |
| Cloudflare | 100% | 12ms | OK |
+-------------------------------------------+
SLA uyumluluğunu harici olarak takip edin; asla yalnızca satıcı tarafından sağlanan çalışma süresi raporlarına güvenmeyin.
Satıcı Risk Değerlendirmesi
Risk Puanlama Matrisi
| Faktör | Ağırlık | Puan 1 (Düşük Risk) | Puan 5 (Yüksek Risk) |
|---|---|---|---|
| Veri hassasiyeti | %30 | Yalnızca halka açık veriler | Kişisel Bilgiler + finansal veriler |
| İş açısından kritiklik | %25 | Olsa güzel bir araç | Temel iş süreci |
| Satıcı boyutu/istikrar | %15 | Servet 500 | Erken aşama başlangıç |
| Değiştirme zorluğu | %15 | Birçok alternatif | Alternatif yok |
| Uyumluluk sertifikaları | %15 | SOC2 + ISO 27001 | Sertifika yok |
Risk kategorileri:
- Skor 1,0-2,0: Düşük risk. Standart şartlar kabul edilebilir. Yıllık inceleme.
- Puan 2,1-3,5: Orta risk. Gelişmiş DPA gerekli. Yarı yıllık inceleme.
- Puan 3,6-5,0: Yüksek risk. Tam güvenlik değerlendirmesi, özel DPA, üç aylık inceleme.
Sözleşme Yaşam Döngüsü Otomasyonu
Yenilemelerin Takibi
| Satıcı | Sözleşme Başlangıcı | Dönem | Otomatik Yenileme | Yenileme Tarihi | İhbar Süresi | Sahibi |
|---|---|---|---|---|---|---|
| AWS | 2026-01-01 | Yıllık | Evet | 2027-01-01 | 30 gün | DevOps |
| Şerit | 2025-06-15 | Aydan aya | Yok | Yok | Yok | Finans |
| Nöbetçi | 2026-03-01 | Yıllık | Evet | 2027-03-01 | 30 gün | Mühendislik |
| SendGrid | 2025-09-01 | Yıllık | Evet | 2026-09-01 | 60 gün | Pazarlama |
Takvim hatırlatıcılarını şurada ayarlayın:
- Yenilemeden 90 gün önce: İncelemeye başlayın
- 60 gün önce: Karşılaştırma ve müzakere stratejisinin tamamlanması
- 30 gün önce: Pazarlığı sonlandırın veya iptal bildirimini gönderin
Sıkça Sorulan Sorular
Her SaaS tedarikçisi için bir DPA'ya ihtiyacımız var mı?
Satıcı kişisel verileri sizin adınıza işliyorsa evet. Bu, aklınıza gelmeyebilecek satıcıları içerir: analiz araçları (kullanıcı IP'lerini ve davranışlarını işlerler), e-posta sağlayıcıları (alıcı e-posta adreslerini işlerler), müşteri destek araçları (müşteri adlarını ve sorgularını işlerler). Şüpheye düştüğünüzde bir DPA imzalayın. Çoğu büyük SaaS satıcısının istek üzerine standart DPA'ları vardır.
Bir satıcı veri ihlaliyle karşılaşırsa ne olur?
DPA'nız, satıcının aşırı gecikme olmadan (GDPR) veya belirli bir zaman dilimi içinde sizi bilgilendirmesini gerektirmelidir. Bildirim üzerine: (1) olay müdahale planınızı etkinleştirin, (2) etkilenen verilerin kapsamını değerlendirin, (3) denetleyici otorite bildiriminin gerekli olup olmadığını belirleyin (GDPR uyarınca 72 saat içinde), (4) yüksek risk varsa etkilenen veri sahiplerini bilgilendirin, (5) tüm süreci belgeleyin.
Odoo'daki satıcıları nasıl yönetiriz?
Odoo'nun Satın Alma modülü satıcı sözleşmelerini, koşullarını ve yenileme tarihlerini takip eder. Bunu DPA durumu, risk puanı ve uyumluluk sertifikasyon tarihlerine yönelik özel alanlarla genişletin. Yenileme hatırlatıcıları için otomatik eylemleri kullanın. ECOSIRE'ın Odoo uygulama hizmetleri, uyumluluğa duyarlı satın alma için satıcı yönetimi yapılandırmasını içerir.
Satıcı Çıkış Stratejisi
Her satıcı ilişkisinin, ilişki başlamadan önce belgelenmiş bir çıkış planı olmalıdır. Bir satıcı ilişkisi sona erdiğinde - ister seçim, ister satıcının iflası, ister güvenlik olayı nedeniyle - verilerinizi çıkarmanız ve işinizi kesintiye uğratmadan bir alternatife geçmeniz gerekir.
Kontrol Listesinden Çık
- Standart formatta (CSV, JSON, API) veri aktarımı tamamlandı
- Verilerin silinmesi satıcı tarafından onaylandı (yazılı onay)
- Tüm kullanıcı hesapları devre dışı bırakıldı
- API anahtarları ve entegrasyonların bağlantısı kesildi
- DPA yükümlülüklerinin feshedilmeye devam ettiği doğrulandı
- Alternatif satıcı veya süreç mevcut
- Ekip yeni çözüm konusunda eğitildi
- Geçmiş veriler taşındı veya arşivlendi
Satıcıya Bağlılık Değerlendirmesi
| Kilitlenme Faktörü | Risk Düzeyi | Azaltma |
|---|---|---|
| Tescilli veri formatı | Yüksek | Sözleşmede standart ihracatın sağlanması |
| Özel entegrasyonlar | Orta | Standart API'leri kullanın, satıcıya özel özelliklerden kaçının |
| Eğitim yatırımı | Düşük | Satıcıdan bağımsız belge süreçleri |
| Uzun vadeli sözleşme | Orta | Kolaylık sağlamak için fesih konusunda pazarlık yapın |
| Veri hacmi (geçiş maliyeti) | Orta | Yedekleme için düzenli ihracat |
Sırada Ne Var?
Satıcı yönetimi, veri yönetiminin bir temel direğidir. Bunu, yönetilen veri yaşam döngüsü için veri saklama politikaları, alıcı tarafı sözleşme bilgisi için SaaS sözleşmesinin temelleri ve uluslararası tedarikçi yönetimi için sınır ötesi aktarım düzenlemeleri ile birleştirin.
Satıcı yönetimi danışmanlığı ve uyumluluk denetimi için ECOSIRE ile iletişime geçin.
ECOSIRE tarafından yayınlandı - işletmelerin satıcı ilişkilerini güvenle yönetmelerine yardımcı oluyor.
Yazan
ECOSIRE Research and Development Team
ECOSIRE'da kurumsal düzeyde dijital ürünler geliştiriyor. Odoo entegrasyonları, e-ticaret otomasyonu ve yapay zeka destekli iş çözümleri hakkında içgörüler paylaşıyor.
İlgili Makaleler
Tedarik Zinciri Optimizasyonu için Yapay Zeka: Gerçek Zamanlı Tahmin Edin, Planlayın ve Yanıt Verin
Talep algılama, tedarikçi risk tahmini, lojistik optimizasyonu ve gerçek zamanlı aksaklıklara müdahale için tedarik zincirinizde yapay zekayı dağıtın. %20-30 maliyet azalması.
Denetim Hazırlığı Kontrol Listesi: ERP'niz Denetimleri Nasıl Yüzde 60 Daha Hızlı Hale Getirir?
ERP sistemlerini kullanarak denetim hazırlığı kontrol listesini tamamlayın. Uygun dokümantasyon, kontroller ve otomatik kanıt toplama ile denetim süresini yüzde 60 azaltın.
Çerez Onayı Uygulama Kılavuzu: Yasal Uyumlu Rıza Yönetimi
GDPR, eGizlilik, CCPA ve küresel düzenlemelere uygun çerez iznini uygulayın. İzin banner'larını, çerez kategorizasyonunu ve CMP entegrasyonunu kapsar.
Supply Chain & Procurement serisinden daha fazlası
Envanter Optimizasyonu için Yapay Zeka: Stokları Azaltın ve Taşıma Maliyetlerini Azaltın
Stokları %30-50 oranında azaltmak ve taşıma maliyetlerini %15-25 oranında azaltmak için yapay zeka destekli envanter optimizasyonunu kullanın. Talep tahminini, güvenlik stokunu ve yeniden sipariş mantığını kapsar.
Tedarik Zinciri Optimizasyonu için Yapay Zeka: Gerçek Zamanlı Tahmin Edin, Planlayın ve Yanıt Verin
Talep algılama, tedarikçi risk tahmini, lojistik optimizasyonu ve gerçek zamanlı aksaklıklara müdahale için tedarik zincirinizde yapay zekayı dağıtın. %20-30 maliyet azalması.
Otomotiv Tedarik Zincirinin Dijitalleştirilmesi: JIT, EDI ve ERP Entegrasyonu
Otomotiv üreticileri JIT sıralaması, EDI entegrasyonu, IATF 16949 uyumluluğu ve ERP odaklı tedarikçi yönetimi ile tedarik zincirlerini nasıl dijitalleştiriyor?
SaaS Anlaşmasının Esasları: Her Alıcının İmzalamadan Önce Bilmesi Gerekenler
Kurumsal yazılıma geçmeden önce SLA'lar, veri sahipliği, fesih hükümleri, sorumluluk sınırları ve gizli maliyetler dahil olmak üzere SaaS sözleşmesi koşullarını anlayın.
Shopify Çok Lokasyonlu Envanter Yönetimi: Tam Operasyon Kılavuzu
Depo kurulumu, stok transferleri, sipariş karşılama önceliği, sipariş yönlendirme ve envanter analizlerini kapsayan bu kılavuzla Shopify'ın çok konumlu envanterinde uzmanlaşın.
Akıllı Depo Operasyonları: Otomasyon, WMS ve ERP Entegrasyonu
Üretim ve dağıtım ortamları için WMS, AGV'ler, toplama optimizasyonu, RFID ve ERP entegrasyonuyla akıllı depo operasyonları tasarlayın.