SOC 2 Nedir? Trust Services ve Denetim Raporu
Bulut tabanlı hizmetlerin ve SaaS şirketlerinin yaygınlaşmasıyla birlikte, müşteriler verilerini emanet ettikleri tedarikçilerin bu verileri gerçekten koruyup korumadığını bilmek istiyor. Bir kurumun "verileriniz bizde güvende" demesi yeterli değildir; bu iddianın bağımsız bir denetimle kanıtlanması beklenir. İşte SOC 2 tam da bu güven ihtiyacını karşılamak için geliştirilmiş bir çerçevedir.
SOC 2 (System and Organization Controls 2), hizmet kuruluşlarının (özellikle SaaS, bulut ve teknoloji şirketlerinin) müşteri verilerini nasıl koruduğunu bağımsız bir denetçi tarafından değerlendiren ve raporlayan bir çerçevedir. AICPA (Amerikan Sertifikalı Kamu Muhasebecileri Enstitüsü) tarafından geliştirilmiştir ve önemli bir nokta olarak bir sertifika değil, bağımsız bir CPA (yeminli mali müşavir/denetçi) tarafından düzenlenen bir denetim raporudur.
Özetle:
- Ne işe yarar: Hizmet kuruluşlarının müşteri verilerini koruma kontrollerini bağımsız denetimle raporlar
- Geliştiren kurum: AICPA (Amerikan Sertifikalı Kamu Muhasebecileri Enstitüsü)
- Sertifika mı: Hayır, bir denetim raporudur; CPA tarafından düzenlenir
- Temel çerçeve: Trust Services Criteria (TSC) — 5 kategori
- İki rapor türü: Type I (kontrol tasarımı) ve Type II (kontrol işleyişi); Type II daha değerlidir
- Kapsam: ABD kaynaklıdır ancak küresel kabul görür; ISO 27001 ile büyük ölçüde örtüşür
SOC 2 Ne Demek ve Neyi Amaçlar?
SOC 2, bir hizmet kuruluşunun bilgi sistemlerini ve bu sistemlerde işlenen müşteri verilerini koruyan iç kontrollerini değerlendirir. Amaç, kuruluşun müşterilerine, iş ortaklarına ve düzenleyicilere "verilerinizi koruyan kontrollerimiz var ve bu kontroller bağımsız bir denetçi tarafından incelendi" diyebilmesini sağlamaktır.
SOC 2, AICPA'nın daha geniş SOC raporlama ailesinin bir parçasıdır. Bu ailede finansal raporlamaya yönelik kontrolleri ele alan SOC 1 ve genel kamuoyuna açık özet niteliğindeki SOC 3 gibi raporlar da bulunur. SOC 2 ise özellikle güvenlik, gizlilik ve veri koruma odaklı, ayrıntılı ve genellikle gizli (NDA ile paylaşılan) bir rapordur.
Raporun sonunda denetçi, kuruluşun kontrolleri hakkında bir "görüş" (opinion) sunar. Bu görüş "unqualified" (kontroller etkin), "qualified" (bazı istisnalar var), "adverse" (kontroller etkin değil) veya "disclaimer" (görüş bildirilemiyor) şeklinde olabilir.
Trust Services Criteria (TSC): 5 Kategori
SOC 2 denetimlerinin temelini Trust Services Criteria (Güven Hizmetleri Kriterleri) oluşturur. Bunlar, kontrollerin değerlendirildiği beş kategoridir. Bu kategorilerden yalnızca Güvenlik (Security) zorunludur ve "common criteria" (ortak kriterler) olarak adlandırılır. Diğer dört kategori, kuruluşun sunduğu hizmetin niteliğine göre kapsama dahil edilir.
| Kategori | İngilizce Adı | Açıklama | Durum |
|---|---|---|---|
| Güvenlik | Security | Sistemlerin yetkisiz erişim, kötüye kullanım ve veri ihlallerine karşı korunması | Zorunlu (common criteria) |
| Erişilebilirlik | Availability | Sistemlerin taahhüt edilen düzeyde çalışır ve erişilebilir olması | Opsiyonel |
| İşleme Bütünlüğü | Processing Integrity | Sistem işleme süreçlerinin eksiksiz, doğru, zamanında ve yetkili olması | Opsiyonel |
| Gizlilik | Confidentiality | Gizli olarak sınıflandırılan bilgilerin korunması | Opsiyonel |
| Mahremiyet | Privacy | Kişisel verilerin toplanması, kullanımı, saklanması ve imhasının uygun yönetilmesi | Opsiyonel |
Çoğu kuruluş, denetime yalnızca zorunlu olan Güvenlik kategorisiyle başlar ve müşteri talepleri ile iş ihtiyaçlarına göre Erişilebilirlik veya Gizlilik gibi diğer kategorileri kapsama ekler. Örneğin, sürekli çevrimiçi olması beklenen bir altyapı sağlayıcısı için Erişilebilirlik kritikken, kişisel veri işleyen bir platform için Mahremiyet kategorisi öne çıkar.
SOC 2 Type I ve Type II Farkı
SOC 2 raporları iki türde düzenlenir. Aralarındaki temel fark, kontrollerin belirli bir andaki tasarımının mı yoksa belirli bir dönem boyunca işleyişinin mi değerlendirildiğidir.
| Özellik | SOC 2 Type I | SOC 2 Type II |
|---|---|---|
| Değerlendirilen unsur | Kontrollerin tasarımı | Kontrollerin tasarımı ve işleyiş etkinliği |
| Zaman boyutu | Belirli bir an (belirli bir tarih) | Belirli bir dönem (genellikle 3-12 ay) |
| Sorduğu soru | Kontroller uygun şekilde tasarlanmış mı? | Kontroller bu süre boyunca etkin biçimde çalıştı mı? |
| Güvence düzeyi | Daha düşük | Daha yüksek |
| Tipik kullanım | İlk değerlendirme, hızlı başlangıç | Müşterilerin ve denetçilerin tercih ettiği rapor |
Type I, kuruluşun kontrollerinin belirli bir tarihte uygun şekilde tasarlanıp tasarlanmadığını değerlendirir. Bir tür "anlık fotoğraf" niteliğindedir.
Type II ise kontrollerin yalnızca iyi tasarlanmış olmasının ötesine geçer; bu kontrollerin belirli bir dönem boyunca (genellikle 3 ila 12 ay) gerçekten ve tutarlı biçimde işleyip işlemediğini test eder. Bu nedenle Type II, daha yüksek güvence sağlar ve genellikle müşteriler tarafından daha değerli kabul edilir. Birçok kuruluş Type I ile başlayıp ardından Type II'ye geçer.
Size Uygun Eğitimi Bulun
Bireysel mi yoksa kurumsal mı eğitim arıyorsunuz?
SOC 2 ile ISO 27001 Arasındaki Fark
SOC 2 ve ISO 27001 sıkça karşılaştırılır çünkü her ikisi de bilgi güvenliği kontrollerini ele alır ve büyük ölçüde örtüşürler. Ancak yapı ve felsefe açısından önemli farkları vardır.
| Özellik | SOC 2 | ISO 27001 |
|---|---|---|
| Geliştiren kurum | AICPA | ISO/IEC |
| Çıktı | Denetim raporu (CPA tarafından) | Sertifika (akredite belgelendirme kuruluşu tarafından) |
| Coğrafi köken | ABD kaynaklı, küresel kabul | Uluslararası standart |
| Odak | Trust Services Criteria kontrolleri | Bilgi Güvenliği Yönetim Sistemi (BGYS/ISMS) |
| Esneklik | Kapsam ve kontroller kuruluşa göre tanımlanır | Belirli gereksinimler ve Annex A kontrolleri |
| Geçerlilik | Genellikle belirli bir dönemi kapsar, periyodik yenilenir | Üç yıllık çevrim, yıllık gözetim denetimleri |
İki çerçeve arasında önemli ölçüde örtüşme bulunduğundan, birçok kuruluş her ikisini de elde etmek için ortak bir kontrol altyapısı kurar. ISO 27001 bir yönetim sistemi sertifikasyonu sunarken, SOC 2 müşterilere doğrudan paylaşılabilen ayrıntılı bir denetim raporu sağlar. Özellikle ABD pazarındaki müşteriler genellikle SOC 2 raporu talep ederken, Avrupa ve uluslararası pazarlarda ISO 27001 sertifikası daha yaygın beklenir.
Kimler SOC 2 Almalı?
SOC 2, özellikle başka kuruluşların verilerini barındıran, işleyen veya yöneten hizmet kuruluşları için anlamlıdır. Tipik aday profilleri şunlardır:
- SaaS ve yazılım şirketleri: Müşteri verilerini bulutta saklayan ve işleyen platformlar
- Bulut hizmet sağlayıcıları: Altyapı (IaaS) ve platform (PaaS) hizmeti sunan kuruluşlar
- Veri merkezleri ve barındırma sağlayıcıları: Müşteri sistemlerini ve verilerini fiziksel/sanal olarak barındıran şirketler
- Yönetilen hizmet sağlayıcıları (MSP): Müşteri adına BT operasyonlarını yürüten firmalar
- Fintech ve sağlık teknolojisi şirketleri: Hassas finansal veya kişisel veri işleyen kuruluşlar
Genel kural şudur: Eğer kurumsal müşterileriniz, satın alma süreçlerinde veya tedarikçi değerlendirmelerinde sizden bir SOC 2 raporu talep ediyorsa, bu raporu hazırlamak önemli bir rekabet avantajı ve çoğu zaman bir ön koşul haline gelir.
İlgili Konular
Sık Sorulan Sorular
Bu konuda en çok merak edilenler
SOC 2, "System and Organization Controls 2" ifadesinin kısaltmasıdır. AICPA tarafından geliştirilen ve hizmet kuruluşlarının müşteri verilerini koruyan iç kontrollerini bağımsız bir denetçi (CPA) tarafından değerlendiren bir raporlama çerçevesidir.
Type I, kontrollerin belirli bir andaki tasarımını değerlendirir; yani kontroller doğru tasarlanmış mı sorusuna yanıt verir. Type II ise kontrollerin belirli bir dönem boyunca (genellikle 3-12 ay) gerçekten etkin biçimde çalışıp çalışmadığını test eder. Type II daha yüksek güvence sağladığı için genellikle daha değerli kabul edilir.
Hayır. SOC 2 bir sertifika değildir; bağımsız bir denetçi (CPA) tarafından düzenlenen bir denetim raporudur. Bu nedenle "SOC 2 sertifikası aldık" yerine "SOC 2 raporumuz var" ifadesi teknik olarak daha doğrudur. Rapor, denetçinin kuruluşun kontrolleri hakkındaki görüşünü içerir.
SOC 2 AICPA tarafından geliştirilmiş bir denetim raporu olup ABD kaynaklıdır; ISO 27001 ise ISO/IEC tarafından yayımlanan uluslararası bir sertifikasyon standardıdır. SOC 2 esnek bir kontrol çerçevesi (Trust Services Criteria) sunarken, ISO 27001 bir Bilgi Güvenliği Yönetim Sistemi (BGYS) kurulmasını gerektirir. İki çerçeve büyük ölçüde örtüşür ve birçok kuruluş her ikisini birden elde eder.
SaaS şirketleri, bulut hizmet sağlayıcıları, veri merkezleri, yönetilen hizmet sağlayıcıları (MSP) ve fintech/sağlık teknolojisi gibi başka kuruluşların verilerini barındıran veya işleyen tüm hizmet kuruluşları SOC 2'den yararlanır. Özellikle kurumsal müşterileriniz tedarikçi değerlendirmelerinde sizden SOC 2 raporu talep ediyorsa, bu rapor genellikle bir ön koşula dönüşür.
