SOC 2 nedir?
SOC 2 (Service Organization Control 2), AICPA (American Institute of CPAs) tarafından geliştirilen, hizmet veren kuruluşların (özellikle SaaS, bulut hizmet sağlayıcıları, MSP’ler) bilgi güvenliği uygulamalarını değerlendiren bir denetim standardıdır. ABD’de B2B SaaS satışında esasen zorunlu bir signal olmuştur — kurumsal müşteriler RFP’lerinde SOC 2 raporu ister.
Beş Trust Service Criteria (TSC)
- Security (Zorunlu): Bilgi güvenliği — fiziksel ve mantıksal erişim kontrolü, ağ güvenliği, change management
- Availability: Sistem uptime ve performans taahhütleri (opsiyonel)
- Processing Integrity: Sistem işlemlerinin tam, geçerli, doğru ve yetkili olması (opsiyonel)
- Confidentiality: Gizli bilginin korunması (opsiyonel)
- Privacy: Kişisel verinin (PII) toplanma, kullanılma, saklanma, açıklanma ve imha edilmesinin AICPA Generally Accepted Privacy Principles ile uyumu (opsiyonel)
Çoğu SaaS şirketi Security + Availability ile başlar; olgunlaştıkça Confidentiality ve Privacy ekler.
SOC 2 Type I vs Type II
- Type I: Belirli bir andaki (point-in-time) kontrol tasarımının değerlendirilmesi. Daha hızlı (~4-6 hafta), daha ucuz, ancak operasyonel olarak kontrolün nasıl çalıştığını test etmez.
- Type II: 3-12 aylık bir dönem boyunca kontrollerin sürekli olarak işletildiğinin değerlendirilmesi. ‘Gerçek’ sertifika — kurumsal müşteriler bunu ister.
SOC 2 vs ISO 27001
| Boyut | SOC 2 | ISO 27001 |
|---|---|---|
| Coğrafya | ABD odaklı | Küresel (özellikle EU + APAC) |
| Standardlaştırma | Daha esnek (TSC seçilebilir) | Daha standart (Annex A 93 kontrol) |
| Çıktı | Detaylı denetim raporu (NDA altı) | Sertifika (kamuya açık) |
| Geçerlilik | 1 yıl (yıllık yenileme) | 3 yıl + yıllık gözetim |
| Maliyet (ilk) | $15k-$80k | $30k-$150k |
Türk şirketleri için stratejik tercih
Türk SaaS şirketinin hedef pazarı ağırlıklı ABD ise → SOC 2 önceliklidir. Avrupa ise → ISO 27001 (+ 27701) önceliklidir. Her ikisi de hedeflenirse — önce daha kapsamlı olan ISO 27001 yapılır, sonra SOC 2 onun üzerine inşa edilir (kontrollerin %80’i çakışır).
Founder için pratik etki
SOC 2 hazırlık süresi tipik 3-6 ay (modern compliance otomasyon araçları — Vanta, Drata, Sprinto — bu süreyi 2-3 aya indirebilir). Series A/B aşamada ABD enterprise satış başlangıcından önce planlanmalıdır. Vircon Legal MSA ve DPA’larınızı SOC 2 kontrol gereklilikleriyle uyumlandırma konusunda danışmanlık yapmaktadır.