Dijitalleşme, bulut bilişim ve dış kaynak kullanımının artması, hizmet sağlayıcıların bilgi sistemlerine yönelik güven gereksinimini artırmıştır. Özellikle finansal veriler, kişisel veriler ve kritik iş süreçlerini barındıran sistemlerin güvenliğinin bağımsız güvence mekanizmalarıyla doğrulanması, kurumsal yönetim ve denetim açısından önem taşımaktadır. Bu noktada Systems and Organization Controls (SOC) 2 raporlaması, hizmet kuruluşlarının bilgi sistemlerine ilişkin kontrollerinin güvenilirliğini değerlendiren uluslararası bir güvence çerçevesi olarak öne çıkmaktadır.
Systems and Organization Controls (SOC)
Systems and Organization Controls (SOC) raporları, American Institute of Certified Public Accountants (AICPA) tarafından geliştirilen güvence raporlama çerçevesi kapsamında düzenlenmektedir. SOC 2 raporlaması, AICPA tarafından yayımlanan Trust Services Criteria (TSC) esaslarına dayanmaktadır (AICPA, 2022).
SOC raporları genel olarak üç kategoriye ayrılmaktadır (AICPA, 2022);
SOC 1: Finansal raporlamaya ilişkin iç kontrol (ICFR) kontrolleridir.
SOC 2: Güvenlik, erişilebilirlik, işlem bütünlüğü, gizlilik ve mahremiyet kriterleridir.
SOC 3: SOC 2 ile aynı kriterlere dayalı ancak genel kullanıma açık özet raporudur.
SOC 2, özellikle bilgi teknolojisi hizmet sağlayıcıları, veri merkezleri, bulut hizmet sağlayıcıları ve fintech şirketleri için yaygın olarak tercih edilmektedir (AICPA, 2022).
SOC 2 raporları iki farklı tipte düzenlenmektedir (Louwers, Blay, Sinason & Strawser, 2020);
- Tip (Type) I Raporu: Belirli bir tarihte kontrollerin tasarımının uygunluğunu değerlendirir.
- Tip (Type) II Raporu: Belirli bir dönem boyunca (genellikle 6–12 ay) kontrollerin tasarım ve işletim etkinliğini değerlendirir.
Tip II raporlar, yalnızca kontrol tasarımını değil, aynı zamanda kontrolün süreklilik gösteren şekilde çalıştığını test ettiği için daha kapsamlı güvence sağlamaktadır (Louwers, Blay, Sinason & Strawser, 2020).
Güven Hizmetleri Kriterleri
SOC 2 denetiminin içeriği, Güven Hizmetleri Kriterleri üzerine inşa edilmiştir (Secureframe, 2025);
Güvenlik (Security): Tüm SOC 2 denetimlerinde yer alması zorunlu olan tek kriterdir. Sisteme yetkisiz erişim, yetkisiz bilgi ifşası ve sistemlerin bütünlüğünü tehdit eden müdahalelere karşı koruma tedbirlerini kapsar.
Kullanılabilirlik (Availability): Bilgi ve sistemlerin, hizmet taahhütlerini ve sistem gerekliliklerini karşılayacak düzeyde erişilebilir olmasını ele alır. Yedekleme, felaket kurtarma ve iş sürekliliği planlaması bu kriter altında değerlendirilir.
İşleme Bütünlüğü (Processing Integrity): Sistem işlemlerinin eksiksiz, geçerli, doğru, zamanında ve yetkili biçimde gerçekleştirilip gerçekleştirilmediğini sorgular.
Gizlilik (Confidentiality): Gizli olarak sınıflandırılmış bilgilerin yaşam döngüsü boyunca – oluşturma, işleme, saklama ve imhaya kadar – yetkisiz erişime ve ifşaya karşı korunmasını kapsar.
Mahremiyet (Privacy): Kişisel olarak tanımlanabilir bilgilerin (PII) toplanması, kullanılması, saklanması, ifşa edilmesi ve imha edilmesi süreçlerinin AICPA’nın Genel Kabul Görmüş Gizlilik İlkeleri’ne uygunluğunu değerlendirir.
Güvenlik kriteri her denetim için zorunlu olmakla birlikte, diğer dört kriter kurumun hizmet modeline ve müşteri gerekliliklerine bağlı olarak isteğe bağlı kapsamda tutulabilmektedir (Secureframe, 2025).
Ayrıca SOC 2 raporları kamuya açık değildir; yalnızca ilgili paydaşlarla (müşteriler, düzenleyiciler, iş ortakları) paylaşılmak üzere düzenlenir. Kamusal güvence ihtiyacı duyulan hallerde ise SOC 3 raporu devreye girmekte olup bu raporlar herhangi bir kısıtlama olmaksızın dağıtılabilmektedir (OpenStack, 2026).
Kaynaklar
American Institute of Certified Public Accountants (AICPA). (2022). Trust services criteria for security, availability, processing integrity, confidentiality, and privacy. AICPA. https://www.aicpa-cima.com/resources/download/2017-trust-services-criteria-with-revised-points-of-focus-2022
Secureframe. (2025). 2025 Trust Services Criteria for SOC 2. https://secureframe.com/hub/soc-2/trust-services-criteria
Louwers, T. J., Blay, A. D., Sinason, D. H., & Strawser, J. R. (2020). Auditing & assurance services (7th ed.). McGraw-Hill Education.
OpenStack. (2026). Sertifikalandırma ve uyum ifadeleri. https://docs.openstack.org/tr_TR/security-guide/compliance/certification-and-compliance-statements.html