SOC 2 Audit Nedir, Türk SaaS Şirketi Neden Almalı? Type I ve Type II Süreci
SOC 2 (AICPA), SaaS/cloud/MSP/fintech şirketleri için ABD pazarına satışı açan denetim raporu. SOC 1/2/3 fark, Type I (point-in-time) vs Type II (6-12 ay). 5 Trust Services Criteria (Security zorunlu + Availability, Processing Integrity, Confidentiality, Privacy). ISO 27001 karşılaştırma. 12-18 ay hazırlık. Big 4 vs Tier 2 vs niş CPA denetim firma seçimi.
SOC 2 Audit Nedir, Türk SaaS Şirketi Neden Almalı? Type I ve Type II Süreci
ABD'li bir kurumsal müşteri Türk SaaS şirketinden teklif alır, demo izler, fiyatı sever. Sonra satın alma masasına gelir ve tek bir cümle bütün anlaşmayı askıya alır: "SOC 2 raporunuzu paylaşır mısınız?" Şirket cevap veremez. Müşteri başka bir tedarikçiye geçer.
Bu hikâye 2026 Türkiye SaaS pazarında her hafta yaşanıyor. Çünkü ABD ve son yıllarda Avrupa kurumsal alıcıları, bulut tabanlı bir hizmeti satın almadan önce sağlayıcının iç kontrollerini bağımsız bir denetçinin doğruladığını görmek istiyor. Bu doğrulamanın endüstri standardı belgesi: SOC 2 raporu.
Bu yazıda SOC 2'nin ne olduğunu, ISO 27001'den farkını, Type I ile Type II arasındaki ayrımı, hazırlık sürecinin gerçek takvimini ve Türk SaaS şirketleri için neden artık opsiyonel değil, satış ön koşulu olduğunu detaylıca anlatacağız.
SOC 2 Nedir?
SOC 2 (System and Organization Controls 2), Amerikan Sertifikalı Kamu Muhasebecileri Enstitüsü AICPA tarafından geliştirilen bir denetim çerçevesidir. Bulut hizmet sağlayıcıları, SaaS şirketleri, veri merkezleri ve müşteri verisini işleyen tüm hizmet kuruluşları için tasarlanmıştır.
SOC 2 bir sertifika değildir. Bağımsız bir denetçi (CPA firması) tarafından düzenlenen bir denetim raporudur. Rapor, şirketinizin belirli Trust Services Criteria (Güven Hizmetleri Kriterleri) kapsamındaki iç kontrollerinin tasarlandığı şekilde çalışıp çalışmadığını değerlendirir.
Kritik nokta: SOC 2 bir "geçti/kaldı" sınavı değildir. Rapor; bulguları, istisnaları ve denetçinin görüşünü içerir. Müşteri bu raporu okur ve risk değerlendirmesi yapar.
SOC Ailesi: SOC 1, SOC 2, SOC 3 Farkı
AICPA SOC ailesi üç ana raporu kapsar:
SOC 1, müşterinin finansal raporlamasını etkileyen iç kontrolleri denetler. Bordro hizmeti, ödeme işlemcisi, muhasebe SaaS gibi şirketler için uygundur. Odak: finansal doğruluk.
SOC 2, güvenlik, erişilebilirlik, işlem bütünlüğü, gizlilik ve mahremiyet kontrollerini denetler. Genel SaaS dünyasının ihtiyacı budur. Rapor gizlidir, NDA altında paylaşılır.
SOC 3, SOC 2'nin halka açık özetidir. Pazarlama amaçlı kullanılır, web sitesinde yayınlanabilir. Detay azdır, sadece denetçinin görüşü ve sistemin genel tanımı yer alır.
Çoğu Türk SaaS şirketi için doğru hedef SOC 2 Type II raporudur. SOC 3 ise pazarlama eki olarak sonradan eklenebilir.
Type I vs Type II: En Çok Karıştırılan İki Kavram
Type I belirli bir tarih itibarıyla kontrollerin tasarımını değerlendirir. Örnek ifade: "31 Aralık 2026 tarihinde şirketin kontrol ortamı şu şekilde tasarlanmıştır." Bu fotoğraf gibidir. Genellikle 2-3 aylık hazırlık + 1 ay denetim ile tamamlanır. İlk raporu eline almak isteyen şirketler için iyi bir başlangıç noktasıdır.
Type II belirli bir dönem boyunca (genelde 6 ila 12 ay) kontrollerin hem tasarlandığını hem de etkin şekilde işlediğini değerlendirir. Bu video gibidir. Denetçi 12 ay boyunca log'lara, ticket'lara, change request kayıtlarına, çalışan onboarding evraklarına bakar. Kurumsal alıcılar neredeyse her zaman Type II ister.
Pratik öneri: ilk yıl Type I + ikinci yıl başında Type II şeklinde aşamalı ilerlemek hem bütçeyi yayar hem de organizasyonun kontrol kültürünü oturtmasına izin verir. Tek seferde Type II'ye gitmek olgun şirketler için mümkündür.
5 Trust Services Criteria (TSC)
SOC 2 denetimi, AICPA'nın tanımladığı beş güven kriterinden seçilenler üzerinde yapılır:
Security (Güvenlik), zorunludur. Hiçbir SOC 2 raporu güvenlik kapsamı olmadan düzenlenmez. Yetkisiz erişime karşı korunma, kimlik doğrulama, ağ güvenliği, zafiyet yönetimi bu başlık altında değerlendirilir.
Availability (Erişilebilirlik), sistemin SLA'ya uygun şekilde çalışıp çalışmadığı. Disaster recovery planı, yedekleme, RTO/RPO hedefleri, kapasite yönetimi kapsamdadır.
Processing Integrity (İşlem Bütünlüğü), verinin tam, doğru, zamanında ve yetkili biçimde işlendiği. E-ticaret ve finansal işlem yapan SaaS'lar için önemlidir.
Confidentiality (Gizlilik), sözleşmeyle korunan ticari sırlar, fikri mülkiyet, müşteri iş bilgisi. B2B SaaS için kritik.
Privacy (Mahremiyet), kişisel verinin toplanması, kullanılması, saklanması, paylaşılması. KVKK ve GDPR uyumlu çalışıyorsanız çoğu kontrol burada hazırdır.
Çoğu SaaS şirketi ilk SOC 2 raporunda Security + Availability + Confidentiality kombinasyonunu seçer. Privacy ve Processing Integrity sonraki yıllarda eklenir.
Hangi Şirket İçin SOC 2 Şart?
SOC 2 günümüzde şu profillerde fiilî zorunluluktur:
- B2B SaaS şirketleri, özellikle kurumsal müşteri hedefliyorsa
- Bulut hizmet sağlayıcıları (IaaS, PaaS)
- MSP ve MSSP'ler (yönetilen IT ve güvenlik hizmetleri)
- Fintech şirketleri, ödeme katmanı işleten platformlar
- HealthTech ve sigorta tech şirketleri
- Veri analitiği ve BI platformları
- HR-Tech, çalışan verisi tutan SaaS'lar
- MarTech, müşteri verisi işleyen platformlar
Türk şirketler için kritik tetikleyici: ABD veya İngiltere pazarına ilk kurumsal satış denemesi. Procurement (satın alma) ekibi tedarikçi formunda SOC 2 sorar. Hayır cevabı çoğu zaman müzakere bile başlamadan diskalifiyedir.
Türk SaaS İçin Stratejik Önem
ABD ortalama kurumsal SaaS sözleşmesi yıllık 50.000 dolardan başlar, büyük müşterilerde 500.000 doları aşar. Bir Türk yazılım şirketinin Türkiye pazarında aynı geliri yakalaması için yıllarca ölçek büyütmesi gerekir. SOC 2 raporu bu kapıyı açan tek anahtardır.
Bunun yanında SOC 2 hazırlığı şirketin iç disiplinini de oturtur:
- Erişim yönetimi süreçleri yazılı hale gelir
- Change management ticket disiplini kurulur
- Çalışan onboarding/offboarding adımları belgelenir
- Yedekleme ve felaket kurtarma test edilir
- Tedarikçi risk değerlendirmesi (vendor management) sürece girer
Yani SOC 2; satış aracı olmanın ötesinde, bir mühendislik olgunluk göstergesidir.
SOC 2 vs ISO 27001: Hangisi Önce?
İki çerçeve sık karıştırılır. ISO/IEC 27001 uluslararası bir Bilgi Güvenliği Yönetim Sistemi (ISMS) standardıdır. SOC 2 ise ABD merkezli bir denetim çerçevesidir. ISO 27001 belgesi nedir ve nasıl alınır yazımızda ISO tarafına detaylı girmiştik.
Pratik farklar:
- ISO 27001 bir sertifikadır; SOC 2 bir denetim raporudur.
- ISO 27001 risk yönetimine ve ISMS dokümantasyonuna ağırlık verir.
- SOC 2 belirli kontrollerin işletim etkinliğine ağırlık verir.
- Avrupa ve Asya kurumsal alıcıları ISO 27001'i tercih eder.
- ABD kurumsal alıcıları SOC 2'yi ister.
Kontrol seti açısından %70'e yakın örtüşme vardır. Bir şirket ISO 27001 ile başlayıp 6 ay sonra SOC 2'ye geçebilir veya tersi. Ortak gap analizi yapmak iki çerçeve için de bütçe verimi sağlar.
NIST Cybersecurity Framework ise her iki denetimde de kontrol haritalama için referans olarak kullanılır. Buna ek olarak Cloud Security Alliance STAR programı bulut tedarikçileri için SOC 2 üstüne katmanlanabilir.
KVKK ile İlişkisi
Türk şirketler için KVKK yasal zorunluluktur, SOC 2 ticari zorunluluktur. İkisi birbirinin yerine geçmez. KVKK; veri sorumlusu sıfatı, açık rıza, VERBİS kaydı ve aydınlatma yükümlülüklerini düzenler. SOC 2 Privacy kriteri ise KVKK kontrollerinin işletme etkinliğini denetler. KVKK uyum danışmanlığı sürecinde hazırladığınız politikalar SOC 2'de doğrudan delil olarak kullanılır.
Hazırlık Süreci: 12-18 Ayın Anatomisi
Gerçekçi bir SOC 2 Type II yolculuğu şu aşamalardan geçer:
Ay 1-2: Gap Analizi Mevcut kontrollerin Trust Services Criteria ile karşılaştırılması. Politika, prosedür, teknik kontrol envanteri çıkarılır. Eksikler listelenir, sahipler atanır.
Ay 2-6: Kontrol İmplementasyonu Eksik kontroller hayata geçirilir. Erişim yönetimi platformu, SIEM, log toplama, MFA, yedekleme testi, change management ticket disiplini, çalışan güvenlik eğitimleri, vendor risk register. Endpoint güvenliği için EDR vs antivirüs karşılaştırması yazımıza bakabilirsiniz; SOC 2 modern endpoint koruması bekler.
Ay 6-7: Internal Audit Kontrollerin gerçekten çalıştığını dahili olarak test etme. Bu adım çoğu şirket tarafından atlanır; sonuç olarak denetçi raporunda istisnalar artar.
Ay 7-8: Penetrasyon Testi SOC 2 zorunlu pentest istemez ama kurumsal müşteriler raporun yanında pentest raporu da görmek ister. Pentest sürecinin nasıl yürüdüğünü ayrı bir yazıda anlattık.
Ay 8-9: Type I Denetimi İlk fotoğraf. Denetçi gelir, kontrol tasarımını inceler. Type I raporu satışta köprü olarak kullanılır.
Ay 9-15: Observation Window Type II için 6-12 aylık gözlem penceresi. Bu süre boyunca üretilen log, ticket, evidence dosyaları denetim için saklanır.
Ay 15-18: Type II Denetimi ve Rapor Denetçi 6-12 aylık delil setini örnekleyerek inceler. Saha çalışması 3-6 hafta sürer. Rapor yazımı 4-8 hafta daha alır. Final rapor PDF olarak teslim edilir.
Bu takvim ortalama bir 30-80 kişilik SaaS için tipiktir. 5-10 kişilik startuplar daha hızlı koşabilir.
Denetim Firması Nasıl Seçilir?
SOC 2 denetimini ABD'de lisanslı bir CPA firması yapmak zorundadır. Üç tip seçenek vardır:
- Big 4 (büyük denetim firmaları): Yüksek marka değeri, yüksek maliyet, uzun bekleme süresi. Halka açılma planı veya büyük kurumsal müşteri varsa anlamlıdır.
- Tier 2 ulusal firmalar: Dengeli maliyet ve marka değeri.
- SOC 2 odaklı niş CPA firmaları: SaaS dünyasına hakim, hızlı süreç, makul maliyet. Erken ve orta aşama şirketler için en yaygın seçim.
Türkiye'de SOC 2 denetimini doğrudan yapan firma sayısı sınırlıdır. Türk şirketler genellikle ABD'deki bir CPA firmasıyla doğrudan veya yerel danışmanlık aracılığıyla çalışır. Yerel partner; hazırlık, dokümantasyon ve kontrol implementasyonunda kritik rol oynar.
Maliyet Kategorileri
SOC 2 bütçesi üç kalemden oluşur:
- İç implementasyon maliyeti: Yazılım lisansları (SIEM, MDM, MFA, vendor risk platform), personel zamanı.
- Danışmanlık maliyeti: Gap analizi, politika yazımı, kontrol implementasyonu, internal audit, denetçiyle iletişim.
- Denetim firması (CPA) maliyeti: Saha çalışması, rapor yazımı.
Bu üç kalem tek tek anlamlıdır. Toplam maliyeti kabaca kestirmek için "personel zamanı + araç lisansları + dış hizmetler" formülü kullanılır. Bütçe planlamasını CFO veya finans ekibiyle birlikte üçer aylık planlara bölmek nakit akışı için sağlıklıdır.
Rapor Müşteriyle Nasıl Paylaşılır?
SOC 2 raporu gizli bir belgedir. Şirketinizin iç kontrol detaylarını, sistem tanımını, istisnaları içerir. Müşteriyle paylaşmadan önce NDA imzalanması standarttır. Bazı şirketler raporu sadece veri odasında (data room) inceletip kopya vermez.
Pazarlama amaçlı kullanım için SOC 3 raporu veya AICPA logosu uygundur. SOC 2 raporunun tam metni web sitesinde asla yayınlanmaz.
Müşteri tipik olarak şu adımları izler:
- NDA imzalama talebi
- Rapor PDF teslimi (genelde e-mail veya güvenli portal)
- Müşteri güvenlik ekibi raporu okur
- Sorularını "follow-up questions" olarak iletir
- Bridge letter (köprü mektubu) istenebilir, raporun bittiği tarihten bugüne kadarki dönem için
Türkiye'deki Mevcut Manzara
Türkiye'nin 2026 siber tehdit manzarasını anlattığımız ana yazıda belirttiğimiz gibi, son iki yılda KOBİ ve orta ölçekli şirketlerin uluslararası satış girişimleri arttı. Bu da SOC 2 talebini patlattı. Türkiye'de SOC 2 hazırlık danışmanlığı veren firma sayısı son iki yılda hızla büyüdü. Hazırlık genelde Türkiye'de yapılır, denetim yurt dışı CPA tarafından gerçekleştirilir. E-ticaret sektörü için PCI-DSS ile birlikte SOC 2 ikinci aşama uyum hedefi olarak konumlandırılır.
SSS
1. SOC 2 zorunlu mu? Yasal olarak değil. Ticari olarak ABD kurumsal pazarda fiilî zorunluluk.
2. SOC 2 sertifika mı, rapor mu? Rapordur, sertifika değildir. Logo kullanımı için AICPA kuralları vardır.
3. Type I ile başlayıp Type II'ye geçebilir miyim? Evet, en yaygın yol budur. Type I + 6 ay gözlem + Type II şeklinde ilerlenir.
4. ISO 27001 varsa SOC 2'ye gerek var mı? Müşteri ABD'liyse evet. Avrupa odaklı çalışıyorsanız ISO yeterli olabilir.
5. SOC 2 her yıl yenilenir mi? Evet. Type II raporu 12 aylık dönemi kapsar. Sürekli geçerli görünmek için her yıl yeni rapor düzenletmek gerekir.
6. Penetrasyon testi SOC 2 için zorunlu mu? AICPA çerçevesi açık şekilde "pentest yap" demez, ancak zafiyet yönetimi kontrolü vardır. Çoğu denetçi düzenli pentest delili ister; müşteriler de raporun yanında pentest sonucu görmek ister.
7. Küçük bir startup için SOC 2 mantıklı mı? ABD pazarına gerçek satış pipeline'ı varsa evet. Türkiye iç pazarına çalışıyorsanız önce ISO 27001 ve KVKK uyum öncelikli olabilir.
8. SOC 2 raporu kim hazırlar? Bağımsız bir CPA firması hazırlar. Şirket içi ekip denetlenemez, sadece denetlenir.
Sonuç ve İlk Adım
SOC 2 artık Türk SaaS dünyasının opsiyonel sertifikası değil, uluslararası büyüme planının ön koşuludur. Doğru hazırlık ile 12-18 ay içinde Type II raporu mümkündür. Gap analizi, kontrol implementasyonu, dokümantasyon, internal audit ve denetçi seçiminin her aşamasında deneyimli yerel partner farkı belirler.
DSET olarak Hacettepe Teknokent Ankara ofisimizden Türk SaaS şirketlerine SOC 2 Type I ve Type II hazırlık danışmanlığı sunuyoruz. Gap analizi, kontrol tasarımı, politika dokümantasyonu, internal audit, denetçi koordinasyonu ve müşteri paylaşım süreçlerinin tümünde destek veriyoruz.
ABD pazarına açılma hedefiniz varsa veya kurumsal müşteriden gelen SOC 2 talebine cevap arıyorsanız, ön görüşme için +90 536 662 38 09 numarasını arayabilir veya web sitemizden iletişim formunu doldurabilirsiniz.
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.