Uyumluluk Raporu

SOC 2 Uyumluluk Raporu

Kurumsal Belge Yönetiminde Güven Hizmeti Kriterleri

v1.0 — Şubat 2026

SOC 2 Nedir?

SOC 2 — AICPA Trust Services Criteria

SOC 2 (System and Organization Controls 2), Amerikan Yeminli Mali Müşavirler Enstitüsü (AICPA) tarafından geliştirilen ve hizmet kuruluşlarının müşteri verilerini nasıl yönettiğini değerlendiren bir denetim çerçevesidir. SOC 2, özellikle bulut hizmetleri, SaaS sağlayıcıları ve veri işleyen kuruluşlar için kritik bir güvenlik standardıdır.

SOC 2 denetimi, beş Güven Hizmeti Kriteri (Trust Services Criteria — TSC) üzerine kuruludur: Güvenlik, Erişilebilirlik, İşlem Bütünlüğü, Gizlilik ve Mahremiyet. Bu kriterler, kuruluşların bilgi sistemlerini nasıl koruduğunu ve yönettiğini değerlendirir.

Bu rapor, YesPDF'in SOC 2 Güven Hizmeti Kriterlerini nasıl desteklediğini madde madde açıklar.

SOC 2 Rapor Türleri

SOC 2 Tip I

Belirli bir tarih itibarıyla kontrollerin tasarımının uygunluğunu değerlendirir. "Kontroller doğru tasarlanmış mı?" sorusuna yanıt verir.

SOC 2 Tip II

Belirli bir dönem boyunca (genellikle 6-12 ay) kontrollerin hem tasarımını hem de işletim etkinliğini değerlendirir. "Kontroller tasarlandığı gibi çalışıyor mu?" sorusuna yanıt verir.

Beş Güven Hizmeti Kriteri (TSC)

SOC 2 denetimi aşağıdaki beş kriter üzerine kuruludur. Güvenlik (Security) kriteri zorunludur; diğerleri kuruluşun ihtiyacına göre seçilebilir.

🛡️
Güvenlik (Security)

Bilgi ve sistemlerin yetkisiz erişim, kullanım, değişiklik ve imhaya karşı korunması. SOC 2'nin temel ve zorunlu kriteridir.

Zorunlu
⏱️
Erişilebilirlik (Availability)

Sistemlerin ve bilgilerin taahhüt edilen şekilde erişilebilir ve kullanılabilir olması.

İsteğe Bağlı
⚙️
İşlem Bütünlüğü (Processing Integrity)

Sistem işlemlerinin eksiksiz, doğru, zamanında ve yetkili olarak gerçekleştirilmesi.

İsteğe Bağlı
🔐
Gizlilik (Confidentiality)

Gizli olarak belirlenen bilgilerin yetkisiz ifşaya karşı korunması.

İsteğe Bağlı
👤
Mahremiyet (Privacy)

Kişisel bilgilerin toplanması, kullanılması, saklanması, ifşası ve imhası ile ilgili kontroller.

İsteğe Bağlı

SOC 2 Kriterleri ve YesPDF Çözümleri

1. Güvenlik — Mantıksal ve Fiziksel Erişim Kontrolleri (CC6)

Kuruluş, bilgi varlıklarına yetkisiz erişimi önlemek için mantıksal ve fiziksel erişim kontrolleri uygular.

✅ YesPDF Çözümü

  • Rol Bazlı Erişim Kontrolü (RBAC): Yönetici, editör, görüntüleyici ve departman bazlı roller ile granüler yetkilendirme.
  • Dosya Düzeyinde İzinler: Her belge için okuma, düzenleme, indirme ve yazdırma izinleri ayrı ayrı tanımlanabilir.
  • LDAP/Active Directory Entegrasyonu: Kurumun mevcut kimlik doğrulama altyapısıyla entegre çalışarak merkezi erişim yönetimi sağlar.
  • IP Kısıtlama: Belgelere yalnızca kurum ağından veya belirlenen IP aralıklarından erişim izni verilebilir.
  • Otomatik Oturum Sonlandırma: Belirlenen süre sonunda aktif olmayan oturumlar otomatik kapatılır.
  • On-Premise Mimari: Fiziksel erişim kontrolü kurumun kendi tesislerinde sağlanır — üçüncü taraf veri merkezine bağımlılık yoktur.

2. Güvenlik — İzleme ve Denetim (CC7)

Kuruluş, güvenlik olaylarını tespit etmek ve müdahale etmek için izleme ve denetim mekanizmaları uygular.

✅ YesPDF Çözümü

  • Kapsamlı Denetim Günlüğü: Her belge erişimi, düzenleme, indirme, yazdırma ve paylaşım işlemi otomatik olarak kaydedilir.
  • Değiştirilemez Kayıtlar: Denetim kayıtları değiştirilemez ve silinemez — SOC 2 denetimleri için güvenilir kanıt sağlar.
  • Detaylı İzleme: Kullanıcı ID, zaman damgası, belge adı, işlem türü, IP adresi ve cihaz bilgisi — tüm detaylar kayıt altındadır.
  • Aktivite Raporları: Belirli kullanıcı, belge veya zaman aralığı bazında erişim raporları oluşturulabilir.
  • Güvenlik Olayı Tespiti: Anormal erişim kalıpları ve şüpheli aktiviteler raporlarla tespit edilebilir.

3. Güvenlik — Değişiklik Yönetimi (CC8)

Kuruluş, altyapı, veri, yazılım ve prosedürlerdeki değişiklikleri yönetmek için kontroller uygular.

✅ YesPDF Çözümü

  • Sürüm Kontrolü: Belge değişiklikleri sürüm geçmişi ile takip edilir — her değişiklik kim tarafından, ne zaman yapıldığı kaydedilir.
  • Yapılandırma Yönetimi: Sistem ayarları yalnızca yönetici rolündeki kullanıcılar tarafından değiştirilebilir.
  • Güncelleme Kontrolleri: YesPDF güncellemeleri kontrollü ortamda test edildikten sonra uygulanır.
  • Geri Alma: Belge düzeyinde önceki sürümlere geri dönülebilir.

4. Erişilebilirlik (A1)

Kuruluş, sistemlerin ve bilgilerin taahhüt edilen şekilde erişilebilir olmasını sağlamak için kontroller uygular.

✅ YesPDF Çözümü

  • Yük Dengeleyici Desteği: F5 BIG-IP ve Citrix NetScaler gibi yük dengeleyiciler arkasında çalışarak yüksek erişilebilirlik sağlar.
  • Yedekleme ve Kurtarma: Otomatik yedekleme planları ile veri kaybı önlenir ve hızlı kurtarma sağlanır.
  • Performans İzleme: Sistem kaynakları ve yanıt süreleri izlenerek performans sorunları erken tespit edilir.
  • İş Sürekliliği: On-premise mimari sayesinde internet kesintilerinde bile yerel ağdan erişim devam eder.

5. İşlem Bütünlüğü (PI1)

Kuruluş, sistem işlemlerinin eksiksiz, doğru, zamanında ve yetkili olarak gerçekleştirilmesini sağlar.

✅ YesPDF Çözümü

  • İş Kuyruğu Yönetimi: PDF dönüştürme, OCR ve diğer işlemler kuyruk sistemiyle yönetilir — hiçbir iş kaybolmaz.
  • İşlem Durumu Takibi: Her işlemin durumu (beklemede, işleniyor, tamamlandı, başarısız) gerçek zamanlı izlenebilir.
  • Otomatik Yeniden Deneme: Başarısız işlemler yapılandırılabilir yeniden deneme politikasıyla tekrar çalıştırılır.
  • Dijital İmza: Belge bütünlüğü dijital imza ile doğrulanabilir.

6. Gizlilik (C1)

Kuruluş, gizli olarak belirlenen bilgilerin yetkisiz erişim ve ifşaya karşı korunmasını sağlar.

✅ YesPDF Çözümü

  • AES-256 Şifreleme: Tüm belgeler hem aktarım hem de depolama sırasında AES-256 ile şifrelenir.
  • Kalıcı Karartma (Redaction): Gizli bilgiler belgelerden geri dönüşümsüz olarak kaldırılabilir.
  • PDF Şifreleme: Bireysel PDF dosyaları parola ile korunabilir ve izin kısıtlamaları uygulanabilir.
  • Güvenli Silme: Saklama süresi dolan gizli belgeler güvenli şekilde imha edilir ve imha kaydı tutulur.
  • Sınıflandırma: Belgeler gizlilik seviyesine göre kategorize edilebilir (Genel, Dahili, Gizli, Çok Gizli).

7. Mahremiyet (P1)

Kuruluş, kişisel bilgilerin gizlilik bildiriminde belirtilen şekilde toplanması, kullanılması, saklanması ve imhası için kontroller uygular.

✅ YesPDF Çözümü

  • Veri Minimizasyonu: YesPDF yalnızca belge yönetimi için gerekli kişisel verileri toplar.
  • On-Premise Veri Kontrolü: Kişisel veriler kurum altyapısı dışına çıkmaz — üçüncü taraf sunuculara gönderilmez.
  • Saklama Politikaları: Kişisel veri içeren belgelere otomatik saklama süreleri tanımlanabilir.
  • Erişim Hakları: Kullanıcılar yalnızca yetkilendirildikleri kişisel verilere erişebilir.
  • Toplu Karartma: KVKK/GDPR taleplerine uygun olarak kişisel veriler belgelerden toplu olarak karartılabilir.

SOC 2 Ortak Kriterler (Common Criteria)

SOC 2, COSO (Committee of Sponsoring Organizations) iç kontrol çerçevesini temel alır. Ortak kriterler tüm Güven Hizmeti Kriterleri için geçerlidir:

Kontrol Ortamı (CC1)
Kuruluşun güvenlik ve etik değerlere bağlılığını gösterir.
YesPDF'in rol bazlı yapısı ve merkezi yönetim paneli, kontrol ortamının oluşturulmasını destekler.
İletişim ve Bilgi (CC2)
Güvenlik politikaları ve prosedürlerinin etkin iletişimini sağlar.
Denetim kayıtları ve raporlama özellikleri, güvenlik bilgisinin paylaşımını kolaylaştırır.
Risk Değerlendirme (CC3)
Kuruluşun hedeflerine yönelik riskleri tanımlar ve değerlendirir.
Erişim raporları ve aktivite logları, risk değerlendirme süreçlerini destekler.
İzleme Aktiviteleri (CC4)
İç kontrollerin etkinliğinin sürekli izlenmesini sağlar.
Kapsamlı denetim günlüğü ve raporlama, izleme aktivitelerinin temelini oluşturur.
Kontrol Aktiviteleri (CC5)
Riskleri azaltmak için politikalar ve prosedürler uygular.
RBAC, şifreleme, karartma ve saklama politikaları doğrudan kontrol aktiviteleridir.

Tedarikçi Değerlendirmesi ve SOC 2

Kurumsal müşteriler, tedarikçi değerlendirme süreçlerinde sıklıkla SOC 2 uyumluluğu talep eder. YesPDF'in on-premise mimarisi bu değerlendirmelerde önemli avantajlar sağlar:

  • Veri kurum dışına çıkmadığı için üçüncü taraf veri işleme riski yoktur
  • SOC 2 denetim kapsamı sağlayıcı yerine kurumun kendi kontrollerini kapsar
  • Alt hizmet sağlayıcı (subservice organization) bağımlılığı ortadan kalkar
  • Kurumun mevcut SOC 2 kontrol çerçevesine doğal olarak entegre olur

On-Premise ve Bulut Karşılaştırması

SOC 2 uyumluluğu açısından on-premise ve bulut çözümlerin karşılaştırması:

Kriter YesPDF (On-Premise) Bulut PDF Araçları
Veri KonumuKurumun kendi sunucusuÜçüncü taraf veri merkezi
Kontrol Kapsamı%100 kurum kontrolündePaylaşımlı sorumluluk modeli
Denetim KolaylığıTüm loglar yerel — doğrudan erişimSağlayıcı raporlarına bağımlı
Alt Hizmet Sağlayıcı RiskiYokZincirleme bağımlılık riski
Fiziksel GüvenlikKurum tesisleri kontrolündeSağlayıcı veri merkezi kontrolünde
Yapılandırma KontrolüTam özelleştirmeSınırlı yapılandırma seçenekleri
Olay MüdahalesiDoğrudan müdahale imkanıSağlayıcı koordinasyonu gerekli

SOC 2 Uyumluluk Kontrol Listesi

YesPDF ile SOC 2 kriterlerini desteklemek için:

  1. 1
    Erişim politikalarını tanımlayın

    RBAC rolleri ve izinleri yapılandırarak en az yetki (least privilege) ilkesini uygulayın.

  2. 2
    Denetim kayıtlarını aktifleştirin

    Tüm belge erişimlerinin loglanmasını sağlayın. Düzenli olarak erişim raporlarını denetçilerle paylaşın.

  3. 3
    Şifrelemeyi doğrulayın

    AES-256 şifrelemenin aktif olduğunu ve tüm belgelerin şifreli depolandığını kontrol edin.

  4. 4
    Değişiklik yönetimi uygulayın

    Sistem yapılandırma değişikliklerinin kayıt altına alındığını ve onay sürecinden geçtiğini doğrulayın.

  5. 5
    Yedekleme planını test edin

    Düzenli yedekleme alındığını ve kurtarma prosedürlerinin çalıştığını doğrulayın.

  6. 6
    Saklama politikalarını ayarlayın

    Belge türlerine göre saklama sürelerini tanımlayın ve otomatik uyarıları aktifleştirin.

  7. 7
    Olay müdahale planı oluşturun

    Güvenlik olaylarında izlenecek adımları belirleyin, sorumlulukları atayın ve planı test edin.

  8. 8
    Personel eğitimi verin

    Güvenlik farkındalığı ve YesPDF kullanımı hakkında ilgili personeli eğitin.

  9. 9
    Periyodik risk değerlendirmesi yapın

    Belge yönetim süreçlerindeki riskleri düzenli olarak değerlendirin ve kontrolleri güncelleyin.

  10. 10
    Denetim hazırlığı

    SOC 2 denetçilerine sunulmak üzere erişim raporları, yapılandırma kayıtları ve politika belgelerini hazırlayın.

Özet

YesPDF, on-premise mimarisi, kapsamlı erişim kontrolü, değiştirilemez denetim kayıtları, AES-256 şifreleme, kalıcı karartma, sürüm kontrolü ve esnek saklama politikalarıyla kuruluşların SOC 2 Güven Hizmeti Kriterlerini karşılamasını destekler. On-premise yapı sayesinde veri kontrolü tamamen kurumda kalır, üçüncü taraf bağımlılığı ortadan kalkar ve SOC 2 denetim kapsamı basitleşir.

Teknik Destek

SOC 2 uyumluluğu ve YesPDF yapılandırması hakkında:

Bu doküman YesPDF teknik ekibi tarafından hazırlanmıştır. Bu rapor hukuki veya denetim danışmanlığı niteliği taşımaz. SOC 2 denetim hazırlığı için kurumunuzun bağımsız denetçisine başvurmanızı öneririz.