Sağlayıcıları seçerken Durum Tespiti

1) Neden durum tespiti sağlayıcıları

• Ürün/ülke/verilere göre doğal riski tanımlayın.
• Sözleşme ödülünden önce uygunluk ve güvenliği doğrulayın.
• SLA/SLO ve denetim haklarını sözleşme aşamasında kaydedin.
• Veri bütünlüğünü korurken izlemeyi ve devre dışı bırakmayı yapılandırın.

2) Ne zaman ve ne kapsar

Puanlar: ön seçim, kısa liste, sözleşmeden önce, önemli değişikliklerle, yıllık inceleme.
Kapsam: yasal durum, finansal istikrar, güvenlik, gizlilik, teknik olgunluk, operasyon/destek, uyumluluk (GDPR/PCI/AML/SOC 2, vb.), coğrafya ve yaptırım riskleri, ESG/etik, alt yükleniciler.

3) Roller ve RACI

(R - Sorumlu; A - Sorumlu; C - Danışılan; I - Bilgilendirilmiş)

4) Puan kartı (kontrol ettiklerimiz)

4. 1 Yasal ve Kurumsal Profil

Kayıt, yararlanıcılar (KYB), dava, yaptırım listeleri.
Düzenlenmiş hizmetler için lisanslar/sertifikalar.

4. 2 Finans ve sürdürülebilirlik

Denetlenmiş tablolar, borç yükü, önemli yatırımcılar/bankalar.
Tek müşteri/bölge bağımlılığı, süreklilik planı (BCP).

4. 3 Güvenlik ve gizlilik

ISMS (politikacılar, RACI), harici test sonuçları, güvenlik açığı yönetimi.
Dinlenme/Transit'te Şifreleme, KMS/HSM, gizli yönetim.
DLP/EDRM, günlük tutma, Yasal Tutma, saklama ve silme.
Olay yönetimi: SLA bildirimleri, oyun kitapları, post-mortemler.

4. 4 Uyumluluk ve sertifikasyon

SOC 2/ISO 27001/PCI DSS/ISO 27701/CSA STAR (zamanlama ve kapsam).
GDPR/yerel normlar: roller (denetleyici/işlemci), DPA, SCC/BCR, DPIA.
AML/yaptırım döngüsü (varsa).

4. 5 Teknik Olgunluk ve Entegrasyon

Mimari (çoklu kiracılık, izolasyon, SLO, DR/HA, RTO/RPO).
API/SDK, sürüm oluşturma, oran sınırları, gözlemlenebilirlik (logs/metrics/trails).
Değişim yönetimi, sürümler (mavi-yeşil/kanarya), geriye dönük uyumluluk.

4. 6 Operasyonlar ve Destek

24 × 7/Follow-the-sun, reaksiyon/azaltma süresi, oncalls.
Onboarding/offboarding prosedürleri, cezasız veri ihracatı.

4. 7 Alt işlemciler ve tedarik zinciri

Alt yüklenicilerin, yargı bölgelerinin, denetimlerinin ve değişiklik bildirimlerinin listesi.

4. 8 Etik/ESG

Yolsuzlukla mücadele politikaları, davranış kuralları, çalışma uygulamaları, raporlama.

5) Durum Tespiti Süreci (SOP)

1. Başlatma: talep kartı (hedefler, veriler, yargı alanları, kritiklik).
2. Yeterlilik: kısa anket (ön ekran) + yaptırım/lisans kontrolü.
3. Derin değerlendirme: anket, eserler (politikalar, raporlar, sertifikalar), görüşmeler.
4. Teknik kontrol: güvenlik incelemesi, çevre demosu, okuma günlükleri/metrikleri, PoC.
5. Puanlama ve riskler: doğasında var olan risk - kontrol profili - artık risk.
6. İyileştirme: sözleşmeden önceki şartlar/düzeltmeler (son teslim tarihleri olan boşluk listesi).
7. Контракт: DPA/SLA/denetim hakları/sorumluluk/IP/fesih/çıkış planı.
8. Onboarding: erişimler/SSO'lar, veri katalogları, entegrasyonlar, izleme planı.
9. Sürekli izleme: yıllık inceleme/tetikleyiciler (olay, alt işlemci değişikliği).
10. Offboarding: ihracat, silme/anonimleştirme, erişimin iptali, imha onayı.

6) Sağlayıcı anketi (soruların çekirdeği)

Yur. kişi, yararlanıcılar, yaptırım kontrolleri, 3 yıl boyunca anlaşmazlıklar.
Sertifikalar (SOC 2 tipi/dönemi, ISO, PCI), en son raporlar/kapsam.
Güvenlik politikaları, veri envanteri, sınıflandırma, DLP/EDRM.
Teknik izolasyon: kiracı izolasyonu, ağ politikaları, şifreleme, anahtarlar.
Kayıtlar ve denetimler: depolama, erişim, WORM/değişmezlik, SIEM/SOAR.
24 ayda olaylar: Türleri, etkisi, dersler.
Tutma/silme/Yasal Tutma/DSAR akışı.
Alt işlemciler: liste, ülkeler, işlevler, sözleşme garantileri.
DR/BCP: RTO/RPO, son test sonuçları.
Destek/SLA: tepki/karar süreleri, yükselmeler, kredi şeması.
Çıkış planı: veri dışa aktarma, formatlar, maliyet.

7) Puanlama modeli (örnek)

Eksenler: Hukuk/Finans/Güvenlik/Gizlilik/Mühendislik/Operasyon/Uyum/Zincir/ESG.
Her eksende 1-5 puan; Servis kritikliği ve veri türüne göre ağırlık.

• 'RR = Σ (weight _ i × score _ i)' - kategori: Düşük/Orta/Yüksek/Kritik.

Yüksek/Kritik: Sözleşme öncesi iyileştirme, gelişmiş SLA koşulları ve izleme zorunludur.
Düşük/Orta: standart gereksinimler + yıllık revizyon.

8) Sözleşmenin zorunlu hükümleri (olması gereken)

DPA: roller (denetleyici/işlemci), amaç, veri kategorileri, saklama ve silme, Yasal Bekletme, DSAR yardımı.
Sınır ötesi yayınlar için SCC/BCR (varsa).
Güvenlik Eki: şifreleme, günlükler, güvenlik açıkları/yamalama, penetrasyon testleri, güvenlik açıkları açıklama.
SLA/SLO: reaksiyon/eliminasyon süresi (sev seviyeleri), krediler/cezalar, kullanılabilirlik, RTO/RPO.
Denetim Hakları: Denetim hakkı/anket/kanıt; Kontrol/alt işlemci değişikliklerinin bildirimleri.
İhlal Bildirimi: bildirim şartları (örneğin, 24-72 saat ≤), format, soruşturmada işbirliği.
Alt İşlemci Cümlesi: liste, bildirim/anlaşmaya göre değişiklik, sorumluluk.
Çıkış ve Veri İade/Silme: dışa aktarma formatı, tarihler, imha onayı, geçiş desteği.
Sorumluluk/Tazminat: sınırlar/istisnalar (PI sızıntısı, lisans ihlali, düzenleyici para cezaları).
IP/Lisans - geliştirme/yapılandırma/veri/meta veri hakları.

9) İzleme ve inceleme tetikleyicileri

Sertifikaların sona ermesi/yenilenmesi (SOC/ISO/PCI), raporlama durumundaki değişiklikler.
Alt işlemcilerin/depolama yerlerinin/yetki alanlarının değiştirilmesi.
Güvenlik olayları/önemli SLA kesintileri.
Birleşme/devralmalar, finansal performansın bozulması.
İzolasyonu/şifrelemeyi/erişimi etkileyen bültenler.
Düzenleyici soruşturmalar, Bulgular denetimleri.

10) Satıcı Riski Mgmt Metrikleri ve Gösterge Tabloları

Kapsam DD: Tam teşekküllü DD'yi geçen kritik sağlayıcıların %'si.
Time-to-Onboard: Tekliften sözleşmeye medyan (risk kategorisine göre).
Açık Boşluklar: Sağlayıcıya göre aktif iyileştirme (zaman çizelgeleri/sahipler).
SLA İhlal Oranı: SLA ihlallerinin zamana/kullanılabilirliğe göre oranı.
Olay Oranı: Sağlayıcı ve ciddiyetine göre Incidents/12 ay.
Denetim Kanıtı Hazırlığı: Güncel raporların/sertifikaların kullanılabilirliği.
Alt işlemci Sürüklenmesi - önceden haber verilmeksizin değişiklikler (hedef 0).

11) Kategorizasyon ve doğrulama seviyeleri

12) Kontrol listeleri

DD başlatılıyor

• Gereksinim kartı ve hizmet risk sınıfı.
• Ön ekran: yaptırımlar, lisanslar, temel profil.
• Anket + eserler (politikalar, raporlar, sertifikalar).
• Güvenlik/Gizlilik incelemesi + entegrasyonlar için PoC.
• Son tarihler ve sahiplerle boşluk listesi.
• Sözleşme: DPA/SLA/denetim hakları/sorumluluk/çıkış.
• Onboarding ve izleme planı (metrikler, uyarılar).

Yıllık inceleme

• Güncellenmiş sertifikalar ve raporlar.
• Alt işlemciler/konumlar/yargı bölgeleri kontrol eder.
• İyileştirme durumu, yeni riskler/olaylar.
• DR/BCP testleri ve sonuçları.
• Kuru çalıştırma denetimi: "düğme ile" kanıt toplayın.

13) Kırmızı bayraklar (kırmızı bayraklar)

SOC/ISO/PCI veya raporların maddi bölümlerini vermeyi reddetme.
Veri şifreleme/günlükler/silme için bulanık cevaplar.
DR/BCP planları yoktur veya test edilmemektedir.
Ölüm sonrası ve dersler olmadan kapalı olaylar.
Garanti olmadan alt işlemcilere/yurtdışına sınırsız veri aktarımı.
PI sızıntıları için agresif sorumluluk sınırlamaları.

14) Antipatterns

PoC ve teknik doğrulama olmadan "Kağıt" DD.
Evrensel risksiz/yargı kontrol listesi.
DPA/SLA/denetim hakları ve çıkış planı olmadan sözleşme.
Bir sağlayıcı kayıt ve değişim izleme eksikliği.
"Forever", rotasyon ve yeniden tasdik olmadan erişimler/belirteçler yayınladı.

15) İlgili wiki makaleleri

Uyumluluk ve raporlama otomasyonu

Sürekli Uyumluluk İzleme (CCM)

Yasal Tutma ve Veri Dondurma

Politikalar ve Prosedürler Yaşam Döngüsü

KYC/KYB ve yaptırım taraması

Veri Saklama ve Silme Çizelgeleri

Süreklilik Planı (BCP) ve DRP

Sonuç

Risk Odaklı Durum Tespiti bir onay değil, yönetilen bir süreçtir: doğru kategorizasyon, temel eksenler boyunca derin doğrulama, açık sözleşme garantileri ve sürekli izleme. Böylece tedarikçiler zincirinizin güvenilir bir parçası haline gelir ve işinizi yavaşlatmadan öngörülebilir bir şekilde gereksinimleri karşılarsınız.