SSL Sertifika Analizi Açık Port Tespiti Web Uygulama Tarama DNS Güvenlik Denetimi HTTP Başlık Analizi Yanlış Yapılandırma Tespiti Yazılım Parmak İzi Alt Alan Adı Tarama
SSL Sertifika Analizi Açık Port Tespiti Web Uygulama Tarama DNS Güvenlik Denetimi HTTP Başlık Analizi Yanlış Yapılandırma Tespiti Yazılım Parmak İzi Alt Alan Adı Tarama

Tüm Rehberler

SOC 2, kurumsal alıcıların SaaS satıcılarından beklediği fiili güvenlik standardı haline gelmiştir. İster Type I anlık görüntüsüne ister tam Type II dönem denetimine hazırlanıyor olun, hazırlık aylar süren bilinçli çalışma gerektirir. Bu kontrol listesi, teknik liderleri, mühendislik yöneticilerini ve uyum sorumlularını her katmanda — yönetişim, altyapı, erişim kontrolü, izleme ve tedarikçi riski — yönlendirerek denetiminize güvenle girmenizi sağlar.

01

SOC 2 Çerçevesini Anlayın ve Kapsamınızı Tanımlayın

SOC 2, beş Güven Hizmeti Kriterleri (TSC) üzerine inşa edilmiştir: Güvenlik (zorunlu), Kullanılabilirlik, İşleme Bütünlüğü, Gizlilik ve Mahremiyet. Tek bir politika yazmadan önce, hangi kriterlerin ürününüze uygulandığına karar verin ve denetim sınırınıza giren sistemleri, altyapıyı ve kişileri net biçimde tanımlayın.

  • Hangi TSC'lerin ilgili olduğunu belirleyin — Güvenlik her zaman zorunludur; çalışma süresi SLA'larınız varsa Kullanılabilirlik, hassas iş verileri işliyorsanız Gizlilik, kişisel veriler işliyorsanız Mahremiyet ekleyin.
  • Net bir sistem sınırı çizin: kapsam dahilindeki her üretim hizmetini, veri deposunu, bulut hesabını ve CI/CD pipeline'ını listeleyin.
  • Kapsam dışında olanları açıkça belgeleyin ve kapsam kaymasını önlemek için erken aşamada denetçi mutabakatı alın.
  • Denetim türünüzü seçin: Type I (anlık tasarım etkinliği) veya Type II (6–12 ay boyunca operasyonel etkinlik).
  • SOC 2 konusunda uzmanlaşmış lisanslı bir CPA firması seçin ve denetim öncesi hazırlık görüşmesi planlayın.
02

Politika ve Prosedür Kütüphanenizi Oluşturun

Denetçiler kontrolleri yazılı politikalara göre test eder. Onaylanmış, sürüm kontrollü belgeler olmadan, iyi teknik uygulamalar bile kriterleri karşılamayacaktır. Politikaların uygulanabilir olacak kadar spesifik, ancak her sprint'te güncelliğini yitirmeyecek kadar geniş kapsamlı olmasını hedefleyin.

  • Üst yönetim tarafından imzalanmış bir Bilgi Güvenliği Politikası taslağı hazırlayın ve onaylayın.
  • Çalışan cihazlarını, bulut kimlik bilgilerini ve veri işlemeyi kapsayan bir Kabul Edilebilir Kullanım Politikası yazın.
  • Hassasiyet katmanlarını tanımlayan bir Veri Sınıflandırma Politikası oluşturun (örn. Genel, Dahili, Gizli, Kısıtlı).
  • Üretim dağıtımından önce eş gözden geçirme, test ve onay gerektiren bir Değişiklik Yönetimi Politikası belgeleyin.
  • Tanımlanmış rolleri, yükseltme yollarını ve kontrol altına alma ile bildirim için SLA hedeflerini içeren bir Olay Müdahale Planı yayınlayın.
  • Test edilmiş RTO ve RPO hedeflerini içeren bir İş Sürekliliği ve Felaket Kurtarma Planı yazın.
  • Önem derecesine göre iyileştirme zaman çizelgelerini belirten bir Güvenlik Açığı Yönetimi Politikası oluşturun (örn. Kritik: 24 saat içinde, Yüksek: 7 gün içinde).
  • Tüm politikaları sürüm kontrollü bir belge yönetim sisteminde saklayın ve yıllık incelemeler planlayın.
03

Resmi Risk Değerlendirmesi Yapın

SOC 2, kuruluşunuzun riskleri periyodik olarak belirlemesini ve bunlara yanıt vermesini gerektirmektedir. Denetimden bir hafta önce oluşturulan tek seferlik bir risk değerlendirme belgesi, deneyimli bir denetçiyi tatmin etmeyecektir. Bunun yerine yaşayan bir risk kaydı oluşturun.

  • Varlıkları (veri depoları, hizmetler, üçüncü taraf entegrasyonları) belirleyin ve her birine bir sahip atayın.
  • Yapılandırılmış bir metodoloji (örn. STRIDE veya nitel risk matrisi) kullanarak her varlık için tehdit ve güvenlik açıklarını sıralayın.
  • Doğal risk puanı üretmek için her riski olasılık ve etkiye göre puanlayın.
  • Her risk için bir işlem kararı belgeleyin: Kabul Et, Azalt, Devret veya Kaçın.
  • Kontroller uygulandıktan sonra kalan riski kaydedin ve yönetimden onay alın.
  • Risk değerlendirmelerini en az yıllık ve önemli mimari değişikliklerden sonra planlamanıza ekleyin.
04

Altyapı ve Uygulama Katmanınızı Güçlendirin

Teknik kontroller SOC 2 uyumluluğunun temelini oluşturur. Denetçiler yapılandırma kanıtlarınızı inceleyecektir; bu nedenle ekran görüntüleri, dışa aktarılan yapılandırma dosyaları ve otomatik kanıt toplama önem taşır.

  • Tüm veritabanları, nesne depolama kovaları ve yedekleme dosyaları için bekleme durumunda şifreleme (AES-256 veya eşdeğeri) etkinleştirin.
  • Tüm harici ve dahili hizmet uç noktalarında TLS 1.2 veya üzerini zorunlu kılın — Sensagraph, zayıf TLS yapılandırmaları ve süresi dolmuş sertifikalar için alan adlarınızı sürekli tarar.
  • Tüm gereksiz portları ve hizmetleri devre dışı bırakın; onaylanan ağ topolojinizi belgeleyin.
  • Müşterilere yönelik hizmetlerin önüne bir Web Uygulama Güvenlik Duvarı (WAF) uygulayın ve OWASP Top 10 saldırı düzenlerini engelleyecek şekilde ayarlayın.
  • Yama yönetimi süreci uygulayın: tüm işletim sistemi ve bağımlılık sürümlerini envanterleyin, CVE akışlarına abone olun ve mümkün olan yerlerde yamalamayı otomatikleştirin.
  • Üretim ve hazırlama ortamlarına karşı düzenli güvenlik açığı taramaları çalıştırın; bulguları risk kaydınızda takip edin.
  • Bir kıyaslama (örn. CIS AWS Temelleri, CIS Azure) kullanarak bulut sağlayıcı yapılandırmalarını güçlendirin ve kritik bulguları giderin.
  • Tüm web özelliklerinde HSTS başlıklarıyla yalnızca HTTPS'yi zorunlu kılın; eksik güvenlik başlıklarını (CSP, X-Frame-Options vb.) kontrol edin.
  • Herkese açık saldırı yüzeyinizi düzenli olarak tarayın — Sensagraph, açık hizmetleri ve yanlış yapılandırmaları otomatik olarak izler.
05

Sıkı Erişim Kontrolleri Uygulayın

SOC 2 bulgularının büyük çoğunluğu, diğer herhangi bir kategoriden daha fazla erişim kontrolü açıklarına dayanmaktadır. En az ayrıcalık ilkesini her yerde uygulayın ve roller değiştikçe erişim haklarını doğru tutan süreçler oluşturun.

  • Tüm çalışanlar için kapsamdaki her sistemde — bulut konsolları, kod depoları, SaaS araçları, VPN — Çok Faktörlü Kimlik Doğrulamayı (MFA) zorunlu kılın.
  • İşten ayrılmanın erişimi anında iptal etmesi için merkezi bir kimlik sağlayıcısıyla Tek Oturum Açma (SSO) uygulayın.
  • Rol tabanlı erişim kontrolü (RBAC) uygulayın ve her role yalnızca gereken minimum izinleri verin.
  • Paylaşılan veya genel hesapları yasaklayın; her işlem bireysel bir kullanıcıya atfedilebilir olmalıdır.
  • En az üç ayda bir resmi erişim incelemeleri yapın — kimin erişimi olduğunu, bunun hâlâ gerekip gerekmediğini gözden geçirin ve eski izinleri kaldırın.
  • Birleşme/taşınma/ayrılma (JML) sürecini belgeleyin ve İK ile tutarlı biçimde uygulandığını doğrulayın.
  • Tüm ayrıcalıklı (root/admin) erişimi kısıtlayın ve günlüğe kaydedin; kalıcı ayrıcalığı ortadan kaldırmak için tam zamanında (JIT) erişim araçlarını değerlendirin.
  • Gizli bilgileri (API anahtarları, veritabanı şifreleri) bir gizlilik yöneticisinde saklayın — asla kod depolarında veya düz metin yapılandırma dosyalarında değil.
06

Günlük Kaydı, İzleme ve Uyarı Sistemi Kurun

Kullanılabilirlik ve Güvenlik kriterleri, anomalileri tespit edip yanıt vermenizi gerektirmektedir. Anlamlı uyarılarla merkezi günlük kaydı, kontrollerinizin zaman içinde nasıl çalıştığını kapsayan Type II denetimi sırasında temel kanıt niteliği taşır.

  • Kapsam dahilindeki tüm sistemlerde denetim günlüğünü etkinleştirin: bulut sağlayıcı günlükleri (CloudTrail, GCP Audit Logs, Azure Monitor), uygulama günlükleri ve veritabanı sorgu günlükleri.
  • Tüm günlükleri, kurcalamaya karşı dayanıklı depolama özelliğine sahip merkezi bir SIEM veya günlük yönetim platformuna yönlendirin.
  • TSC gereksinimlerinizi karşılayan saklama sürelerini tanımlayın (SOC 2 için genellikle en az 12 ay).
  • Kritik güvenlik olayları için uyarılar oluşturun: başarısız oturum açma girişimleri, ayrıcalık yükseltme, yapılandırma değişiklikleri, veri sızdırma göstergeleri.
  • Kullanılabilirlik TSC taahhütleri için nöbetçi uyarısıyla çalışma süresi ve gecikme izleme sistemi kurun.
  • Olay müdahale oyun kitaplarınızı belgeleyin ve test edin; yılda en az bir masa başı tatbikatı yapın.
  • Yanlış pozitif yorgunluğunu azaltırken tespit sadakatini korumak için uyarı eşiklerini düzenli olarak gözden geçirin.
07

Üçüncü Taraf ve Tedarikçi Riskini Yönetin

Denetim kapsamınız, alt işlemciler ve kritik tedarikçilerden kaynaklanan riskleri içermektedir. Bir tedarikçi ihlali müşteri verilerinizi açığa çıkarırsa siz hâlâ sorumlusunuzdur. Paylaşılan verinin hassasiyetiyle orantılı bir tedarikçi risk programı oluşturun.

  • Kapsam dahilindeki verilere erişen, bunları depolayan veya işleyen tüm üçüncü taraf tedarikçilerin ve alt işlemcilerin eksiksiz bir envanterini tutun.
  • Tedarikçileri veri hassasiyetine ve entegrasyon derinliğine göre risk katmanına göre sınıflandırın.
  • Yüksek riskli tedarikçilerden yıllık olarak SOC 2 Type II raporları (veya ISO 27001 sertifikaları) toplayın ve ilgili istisnalar için inceleyin.
  • Kişisel veya gizli verileri işleyen tüm tedarikçilerle Veri İşleme Sözleşmeleri (DPA) imzalayın.
  • Tedarikçi sözleşmelerine güvenlik gereksinimleri ve ihlal bildirim zaman çizelgeleri ekleyin.
  • Tedarikçi erişim haklarını üç aylık erişim inceleme döngünüzün bir parçası olarak gözden geçirin.
  • Tedarikçi çıkarma planı oluşturun: veri silme onayı, kimlik bilgisi iptali ve sözleşme fesih süreci.
08

Denetim Öncesi Boşluk Analizi ve İyileştirme Sprinti Yapın

Denetçinizle çalışmaya başlamadan önce dahili bir hazırlık değerlendirmesi yapın. Bunu sahte bir denetim gibi ele alın: kontrollerinizi test edin, kanıt toplayın ve boşlukları belgeleyin. Bulguları şimdi gidermek, nihai raporunuzda denetçi istisnası almaktan çok daha az zahmetlidir.

  • Her SOC 2 kontrol gereksinimini sahip olduğunuz belirli bir politika, süreç veya teknik kontrole eşleyin.
  • Bir kontrolün eksik, kısmen uygulanmış veya belgelenmiş kanıtı olmadığı boşlukları belirleyin.
  • İyileştirmeyi risk düzeyi ve denetim etkisine göre önceliklendirin — Güvenlik TSC boşluklarını Kullanılabilirlik veya Mahremiyet boşluklarından önce ele alın.
  • Kanıt artifaktlarını toplayın ve düzenleyin: ekran görüntüleri, yapılandırma dışa aktarmaları, erişim inceleme kayıtları, eğitim tamamlama günlükleri.
  • Denetçi testlemesinde görünebilecek açık hizmetleri veya yanlış yapılandırmaları bulmak için harici bir saldırı yüzeyi incelemesi yapın — Sensagraph, web odaklı maruziyetinizin sürekli bir görünümünü sağlayabilir.
  • Çalışan güvenlik farkındalığı eğitimi yapın ve tamamlama oranlarını belgeleyin; denetçiler bunu kontrol eder.
  • Denetçinizle bir hazırlık önizlemesi yapın ve resmi denetim dönemi başlamadan önce ön gözlemlerini ele alın.
09

Denetim Sonrasında Sürekli Uyumu Sürdürün

SOC 2 Type II tek seferlik bir proje değildir — devam eden bir dönemi kapsar ve yıllık olarak yenilenir. Bunu bir onay kutusu egzersizi olarak ele alan şirketler her yıl telaş içinde kendilerini bulur. Bunun yerine uyumu mühendislik ve operasyon ritminize entegre edin.

  • Denetim zamanındaki manuel çabayı azaltmak için kanıt toplamayı mümkün olan her yerde otomatikleştirin (erişim günlükleri, güvenlik açığı tarama raporları, yedekleme onayları).
  • Her çekme isteğinde SAST, bağımlılık taraması ve gizli bilgi tespiti ile güvenlik kontrollerini CI/CD pipeline'ınıza entegre edin.
  • Proje yönetim aracınızda yinelenen görevler planlayın: aylık günlük incelemeleri, üç aylık erişim incelemeleri, yıllık politika incelemeleri, yıllık risk değerlendirmesi.
  • Kontrol sağlığını izlemekten ve yıllık denetim döngüsünü koordine etmekten sorumlu adlandırılmış bir uyum sahibi (dahili veya fraksiyonel) atayın.
  • SOC 2 durumunuzu güven portalınız aracılığıyla müşterilere bildirin ve raporu satış ve tedarik süreçlerine dahil edin.
  • Önemli yeni bir özellik başlattığınızda, altyapıyı taşıdığınızda veya önemli bir yeni tedarikçi eklediğinizde kontrol setinizi gözden geçirin ve güncelleyin.

Sıkça sorulan sorular

SOC 2 Type I raporu, kontrollerinizin tek bir noktada uygun şekilde tasarlanıp tasarlanmadığını değerlendirir. Type II raporu ise bu kontrollerin genellikle 6 ila 12 aylık tanımlı bir dönem boyunca etkin biçimde işleyip işlemediğini değerlendirir. Kurumsal müşteriler neredeyse her zaman Type II raporu talep eder çünkü bu rapor, anlık bir görüntü yerine sürdürülen güvenlik uygulamalarının kanıtını sunar.

Çoğu SaaS şirketinin, denetim gözlem dönemi başlamadan önce politikalar oluşturmak, teknik kontroller uygulamak ve gerekli kanıtları toplamak için 3 ila 6 aya ihtiyacı vardır. Type II denetim dönemi ise 6 ila 12 ay sürer. İlk günden bir boşluk analiziyle başlamak, çabayı önceliklendirmenize ve sürprizlerden kaçınmanıza yardımcı olur.

Güvenlik kriteri (Ortak Kriterler olarak da bilinir), her SOC 2 raporu için tek zorunlu TSC'dir. Kullanılabilirlik, İşleme Bütünlüğü, Gizlilik ve Mahremiyet isteğe bağlıdır ve müşteri taahhütlerinizle ve hizmet sözleşmelerinizle ilgili olduklarında dahil edilmelidir.

Teknik olarak satış yapmak için SOC 2 raporuna ihtiyaç duymazsınız, ancak çoğu kurumsal tedarik ekibi ve güvenlik anket formları bunu isteyecektir. En azından bir SOC 2 Type I raporuna sahip olmak, kuruluşunuzun güvenliği ciddiye aldığının sinyalini verir. Birçok anlaşma, rapor olmadan güvenlik incelemesi aşamasında durur veya başarısız olur.

SOC 2 Type II raporları belirli bir denetim dönemini kapsar ve genellikle yıllık olarak yenilenir. Müşteriler ve iş ortakları genellikle son 12 ay içinde tarihlendirilmiş güncel bir rapor bekler. Bazıları, denetim dönemleri arasındaki kısa boşluklar için denetçinizden köprü mektubu kabul edebilir.

Lisanslı bir CPA firmasından alınan denetim ücretleri, kapsam karmaşıklığına, TSC sayısına ve ortamınızın büyüklüğüne bağlı olarak genellikle 15.000 ila 50.000 dolar veya daha fazlasına ulaşır. Buna politika yazımı, kontrol uygulaması ve kanıt toplama için harcanan dahili zaman maliyetini ekleyin; bu, küçük mühendislik ekipleri için oldukça önemli olabilir.

Evet. Otomatik güvenlik taraması, denetçilerin test ettiği TLS yapılandırması, açık hizmetler, eksik güvenlik başlıkları ve güvenlik açığı yönetimi gibi çeşitli kontrol alanlarını kapsar. Sürekli tarama, Type II denetimlerinin gerektirdiği işleyen bir güvenlik açığı yönetimi programının devam eden kanıtını sağlar.