SOC 2, kurumsal alıcıların SaaS satıcılarından beklediği fiili güvenlik standardı haline gelmiştir. İster Type I anlık görüntüsüne ister tam Type II dönem denetimine hazırlanıyor olun, hazırlık aylar süren bilinçli çalışma gerektirir. Bu kontrol listesi, teknik liderleri, mühendislik yöneticilerini ve uyum sorumlularını her katmanda — yönetişim, altyapı, erişim kontrolü, izleme ve tedarikçi riski — yönlendirerek denetiminize güvenle girmenizi sağlar.
SOC 2 Çerçevesini Anlayın ve Kapsamınızı Tanımlayın
SOC 2, beş Güven Hizmeti Kriterleri (TSC) üzerine inşa edilmiştir: Güvenlik (zorunlu), Kullanılabilirlik, İşleme Bütünlüğü, Gizlilik ve Mahremiyet. Tek bir politika yazmadan önce, hangi kriterlerin ürününüze uygulandığına karar verin ve denetim sınırınıza giren sistemleri, altyapıyı ve kişileri net biçimde tanımlayın.
- Hangi TSC'lerin ilgili olduğunu belirleyin — Güvenlik her zaman zorunludur; çalışma süresi SLA'larınız varsa Kullanılabilirlik, hassas iş verileri işliyorsanız Gizlilik, kişisel veriler işliyorsanız Mahremiyet ekleyin.
- Net bir sistem sınırı çizin: kapsam dahilindeki her üretim hizmetini, veri deposunu, bulut hesabını ve CI/CD pipeline'ını listeleyin.
- Kapsam dışında olanları açıkça belgeleyin ve kapsam kaymasını önlemek için erken aşamada denetçi mutabakatı alın.
- Denetim türünüzü seçin: Type I (anlık tasarım etkinliği) veya Type II (6–12 ay boyunca operasyonel etkinlik).
- SOC 2 konusunda uzmanlaşmış lisanslı bir CPA firması seçin ve denetim öncesi hazırlık görüşmesi planlayın.
Politika ve Prosedür Kütüphanenizi Oluşturun
Denetçiler kontrolleri yazılı politikalara göre test eder. Onaylanmış, sürüm kontrollü belgeler olmadan, iyi teknik uygulamalar bile kriterleri karşılamayacaktır. Politikaların uygulanabilir olacak kadar spesifik, ancak her sprint'te güncelliğini yitirmeyecek kadar geniş kapsamlı olmasını hedefleyin.
- Üst yönetim tarafından imzalanmış bir Bilgi Güvenliği Politikası taslağı hazırlayın ve onaylayın.
- Çalışan cihazlarını, bulut kimlik bilgilerini ve veri işlemeyi kapsayan bir Kabul Edilebilir Kullanım Politikası yazın.
- Hassasiyet katmanlarını tanımlayan bir Veri Sınıflandırma Politikası oluşturun (örn. Genel, Dahili, Gizli, Kısıtlı).
- Üretim dağıtımından önce eş gözden geçirme, test ve onay gerektiren bir Değişiklik Yönetimi Politikası belgeleyin.
- Tanımlanmış rolleri, yükseltme yollarını ve kontrol altına alma ile bildirim için SLA hedeflerini içeren bir Olay Müdahale Planı yayınlayın.
- Test edilmiş RTO ve RPO hedeflerini içeren bir İş Sürekliliği ve Felaket Kurtarma Planı yazın.
- Önem derecesine göre iyileştirme zaman çizelgelerini belirten bir Güvenlik Açığı Yönetimi Politikası oluşturun (örn. Kritik: 24 saat içinde, Yüksek: 7 gün içinde).
- Tüm politikaları sürüm kontrollü bir belge yönetim sisteminde saklayın ve yıllık incelemeler planlayın.
Resmi Risk Değerlendirmesi Yapın
SOC 2, kuruluşunuzun riskleri periyodik olarak belirlemesini ve bunlara yanıt vermesini gerektirmektedir. Denetimden bir hafta önce oluşturulan tek seferlik bir risk değerlendirme belgesi, deneyimli bir denetçiyi tatmin etmeyecektir. Bunun yerine yaşayan bir risk kaydı oluşturun.
- Varlıkları (veri depoları, hizmetler, üçüncü taraf entegrasyonları) belirleyin ve her birine bir sahip atayın.
- Yapılandırılmış bir metodoloji (örn. STRIDE veya nitel risk matrisi) kullanarak her varlık için tehdit ve güvenlik açıklarını sıralayın.
- Doğal risk puanı üretmek için her riski olasılık ve etkiye göre puanlayın.
- Her risk için bir işlem kararı belgeleyin: Kabul Et, Azalt, Devret veya Kaçın.
- Kontroller uygulandıktan sonra kalan riski kaydedin ve yönetimden onay alın.
- Risk değerlendirmelerini en az yıllık ve önemli mimari değişikliklerden sonra planlamanıza ekleyin.
Altyapı ve Uygulama Katmanınızı Güçlendirin
Teknik kontroller SOC 2 uyumluluğunun temelini oluşturur. Denetçiler yapılandırma kanıtlarınızı inceleyecektir; bu nedenle ekran görüntüleri, dışa aktarılan yapılandırma dosyaları ve otomatik kanıt toplama önem taşır.
- Tüm veritabanları, nesne depolama kovaları ve yedekleme dosyaları için bekleme durumunda şifreleme (AES-256 veya eşdeğeri) etkinleştirin.
- Tüm harici ve dahili hizmet uç noktalarında TLS 1.2 veya üzerini zorunlu kılın — Sensagraph, zayıf TLS yapılandırmaları ve süresi dolmuş sertifikalar için alan adlarınızı sürekli tarar.
- Tüm gereksiz portları ve hizmetleri devre dışı bırakın; onaylanan ağ topolojinizi belgeleyin.
- Müşterilere yönelik hizmetlerin önüne bir Web Uygulama Güvenlik Duvarı (WAF) uygulayın ve OWASP Top 10 saldırı düzenlerini engelleyecek şekilde ayarlayın.
- Yama yönetimi süreci uygulayın: tüm işletim sistemi ve bağımlılık sürümlerini envanterleyin, CVE akışlarına abone olun ve mümkün olan yerlerde yamalamayı otomatikleştirin.
- Üretim ve hazırlama ortamlarına karşı düzenli güvenlik açığı taramaları çalıştırın; bulguları risk kaydınızda takip edin.
- Bir kıyaslama (örn. CIS AWS Temelleri, CIS Azure) kullanarak bulut sağlayıcı yapılandırmalarını güçlendirin ve kritik bulguları giderin.
- Tüm web özelliklerinde HSTS başlıklarıyla yalnızca HTTPS'yi zorunlu kılın; eksik güvenlik başlıklarını (CSP, X-Frame-Options vb.) kontrol edin.
- Herkese açık saldırı yüzeyinizi düzenli olarak tarayın — Sensagraph, açık hizmetleri ve yanlış yapılandırmaları otomatik olarak izler.
Sıkı Erişim Kontrolleri Uygulayın
SOC 2 bulgularının büyük çoğunluğu, diğer herhangi bir kategoriden daha fazla erişim kontrolü açıklarına dayanmaktadır. En az ayrıcalık ilkesini her yerde uygulayın ve roller değiştikçe erişim haklarını doğru tutan süreçler oluşturun.
- Tüm çalışanlar için kapsamdaki her sistemde — bulut konsolları, kod depoları, SaaS araçları, VPN — Çok Faktörlü Kimlik Doğrulamayı (MFA) zorunlu kılın.
- İşten ayrılmanın erişimi anında iptal etmesi için merkezi bir kimlik sağlayıcısıyla Tek Oturum Açma (SSO) uygulayın.
- Rol tabanlı erişim kontrolü (RBAC) uygulayın ve her role yalnızca gereken minimum izinleri verin.
- Paylaşılan veya genel hesapları yasaklayın; her işlem bireysel bir kullanıcıya atfedilebilir olmalıdır.
- En az üç ayda bir resmi erişim incelemeleri yapın — kimin erişimi olduğunu, bunun hâlâ gerekip gerekmediğini gözden geçirin ve eski izinleri kaldırın.
- Birleşme/taşınma/ayrılma (JML) sürecini belgeleyin ve İK ile tutarlı biçimde uygulandığını doğrulayın.
- Tüm ayrıcalıklı (root/admin) erişimi kısıtlayın ve günlüğe kaydedin; kalıcı ayrıcalığı ortadan kaldırmak için tam zamanında (JIT) erişim araçlarını değerlendirin.
- Gizli bilgileri (API anahtarları, veritabanı şifreleri) bir gizlilik yöneticisinde saklayın — asla kod depolarında veya düz metin yapılandırma dosyalarında değil.
Günlük Kaydı, İzleme ve Uyarı Sistemi Kurun
Kullanılabilirlik ve Güvenlik kriterleri, anomalileri tespit edip yanıt vermenizi gerektirmektedir. Anlamlı uyarılarla merkezi günlük kaydı, kontrollerinizin zaman içinde nasıl çalıştığını kapsayan Type II denetimi sırasında temel kanıt niteliği taşır.
- Kapsam dahilindeki tüm sistemlerde denetim günlüğünü etkinleştirin: bulut sağlayıcı günlükleri (CloudTrail, GCP Audit Logs, Azure Monitor), uygulama günlükleri ve veritabanı sorgu günlükleri.
- Tüm günlükleri, kurcalamaya karşı dayanıklı depolama özelliğine sahip merkezi bir SIEM veya günlük yönetim platformuna yönlendirin.
- TSC gereksinimlerinizi karşılayan saklama sürelerini tanımlayın (SOC 2 için genellikle en az 12 ay).
- Kritik güvenlik olayları için uyarılar oluşturun: başarısız oturum açma girişimleri, ayrıcalık yükseltme, yapılandırma değişiklikleri, veri sızdırma göstergeleri.
- Kullanılabilirlik TSC taahhütleri için nöbetçi uyarısıyla çalışma süresi ve gecikme izleme sistemi kurun.
- Olay müdahale oyun kitaplarınızı belgeleyin ve test edin; yılda en az bir masa başı tatbikatı yapın.
- Yanlış pozitif yorgunluğunu azaltırken tespit sadakatini korumak için uyarı eşiklerini düzenli olarak gözden geçirin.
Üçüncü Taraf ve Tedarikçi Riskini Yönetin
Denetim kapsamınız, alt işlemciler ve kritik tedarikçilerden kaynaklanan riskleri içermektedir. Bir tedarikçi ihlali müşteri verilerinizi açığa çıkarırsa siz hâlâ sorumlusunuzdur. Paylaşılan verinin hassasiyetiyle orantılı bir tedarikçi risk programı oluşturun.
- Kapsam dahilindeki verilere erişen, bunları depolayan veya işleyen tüm üçüncü taraf tedarikçilerin ve alt işlemcilerin eksiksiz bir envanterini tutun.
- Tedarikçileri veri hassasiyetine ve entegrasyon derinliğine göre risk katmanına göre sınıflandırın.
- Yüksek riskli tedarikçilerden yıllık olarak SOC 2 Type II raporları (veya ISO 27001 sertifikaları) toplayın ve ilgili istisnalar için inceleyin.
- Kişisel veya gizli verileri işleyen tüm tedarikçilerle Veri İşleme Sözleşmeleri (DPA) imzalayın.
- Tedarikçi sözleşmelerine güvenlik gereksinimleri ve ihlal bildirim zaman çizelgeleri ekleyin.
- Tedarikçi erişim haklarını üç aylık erişim inceleme döngünüzün bir parçası olarak gözden geçirin.
- Tedarikçi çıkarma planı oluşturun: veri silme onayı, kimlik bilgisi iptali ve sözleşme fesih süreci.
Denetim Öncesi Boşluk Analizi ve İyileştirme Sprinti Yapın
Denetçinizle çalışmaya başlamadan önce dahili bir hazırlık değerlendirmesi yapın. Bunu sahte bir denetim gibi ele alın: kontrollerinizi test edin, kanıt toplayın ve boşlukları belgeleyin. Bulguları şimdi gidermek, nihai raporunuzda denetçi istisnası almaktan çok daha az zahmetlidir.
- Her SOC 2 kontrol gereksinimini sahip olduğunuz belirli bir politika, süreç veya teknik kontrole eşleyin.
- Bir kontrolün eksik, kısmen uygulanmış veya belgelenmiş kanıtı olmadığı boşlukları belirleyin.
- İyileştirmeyi risk düzeyi ve denetim etkisine göre önceliklendirin — Güvenlik TSC boşluklarını Kullanılabilirlik veya Mahremiyet boşluklarından önce ele alın.
- Kanıt artifaktlarını toplayın ve düzenleyin: ekran görüntüleri, yapılandırma dışa aktarmaları, erişim inceleme kayıtları, eğitim tamamlama günlükleri.
- Denetçi testlemesinde görünebilecek açık hizmetleri veya yanlış yapılandırmaları bulmak için harici bir saldırı yüzeyi incelemesi yapın — Sensagraph, web odaklı maruziyetinizin sürekli bir görünümünü sağlayabilir.
- Çalışan güvenlik farkındalığı eğitimi yapın ve tamamlama oranlarını belgeleyin; denetçiler bunu kontrol eder.
- Denetçinizle bir hazırlık önizlemesi yapın ve resmi denetim dönemi başlamadan önce ön gözlemlerini ele alın.
Denetim Sonrasında Sürekli Uyumu Sürdürün
SOC 2 Type II tek seferlik bir proje değildir — devam eden bir dönemi kapsar ve yıllık olarak yenilenir. Bunu bir onay kutusu egzersizi olarak ele alan şirketler her yıl telaş içinde kendilerini bulur. Bunun yerine uyumu mühendislik ve operasyon ritminize entegre edin.
- Denetim zamanındaki manuel çabayı azaltmak için kanıt toplamayı mümkün olan her yerde otomatikleştirin (erişim günlükleri, güvenlik açığı tarama raporları, yedekleme onayları).
- Her çekme isteğinde SAST, bağımlılık taraması ve gizli bilgi tespiti ile güvenlik kontrollerini CI/CD pipeline'ınıza entegre edin.
- Proje yönetim aracınızda yinelenen görevler planlayın: aylık günlük incelemeleri, üç aylık erişim incelemeleri, yıllık politika incelemeleri, yıllık risk değerlendirmesi.
- Kontrol sağlığını izlemekten ve yıllık denetim döngüsünü koordine etmekten sorumlu adlandırılmış bir uyum sahibi (dahili veya fraksiyonel) atayın.
- SOC 2 durumunuzu güven portalınız aracılığıyla müşterilere bildirin ve raporu satış ve tedarik süreçlerine dahil edin.
- Önemli yeni bir özellik başlattığınızda, altyapıyı taşıdığınızda veya önemli bir yeni tedarikçi eklediğinizde kontrol setinizi gözden geçirin ve güncelleyin.