Uyumluluk bir vergidir ama her vergi boşa gitmez
"SOC 2 uyumlu olmamız gerek" satış konuşmalarında atılır ve teslimat ekibi tarafından nadiren anlaşılır.ISO 27001
Ne: bilgi güvenliği yönetim sistemleri (ISMS) için uluslararası standart. Akredite kuruluş tarafından sertifikasyon, 3 yıl geçerli yıllık gözetim denetimleriyle.Ne ister: belgelenmiş ISMS — risk değerlendirmesi, statement of applicability, kontroller (Annex A 2022 revizyonunda 93 kontrol), yönetim incelemesi, iç denetim.
Efor: ilk sertifikasyon için 6-12 ay, süregelen yıllık yatırım. Dokümantasyon ağırlıklı.
SOC 2
Ne: Operasyonel kontroller üzerine Amerikan attestation raporu. Beş trust services kriteri: security (zorunlu), availability, confidentiality, processing integrity, privacy.Ne ister: bir süre boyunca sürekli kontrol operasyonu (Type II için tipik 6-12 ay), tüm süreçte kontrol operasyonu kanıtı, CPA firması tarafından denetim.
Efor: denetim süresi boyunca önemli kanıt toplama. Drata, Vanta, Secureframe gibi araçlar kanıt toplamanın çoğunu otomatikleştirir.
Şu durumlarda: SOC 2 Type II raporu gerektiren ABD kurumsala satış.
GDPR (AB) / KVKK (Türkiye)
Ne: veri koruma yönetmelikleri. Sertifikasyon değil — uygulanan yasalar.Ne isterler:
- Kişisel veri işleme için yasal dayanak.
- Veri öznesi hakları (erişim, düzeltme, silme, taşınabilirlik).
- Gizlilik bildirimleri, onay yönetimi.
- Yüksek riskli işleme için veri koruma etki değerlendirmeleri.
- 72 saat içinde ihlal bildirimi.
- Bazı kuruluşlar için Veri Koruma Görevlisi (DPO).
- İşleme faaliyetleri kayıtları.
- Vendor'larla veri işleme anlaşmaları.
- Sınır ötesi transfer mekanizmaları.
KVKK yapısal olarak GDPR'a benzer, TR'ye özel farklarla (Veri Sorumluları Sicili kaydı, farklı denetim otoritesi).
PCI-DSS
Kart sahibi verisi saklayan, işleyen veya ileten kuruluşlar için. Çoğu küçük tüccar SAQ katmanları için niteliklidir; daha büyük tüccarlar QSA denetim gerektirir.Pragmatik yaklaşım: PCI-uyumlu bir ödeme işlemcisi (Stripe, iyzico, PayTR) kullanın; akışınızı kart verisinin sunucularınıza hiç dokunmayacak şekilde yapılandırın. Uyumluluk kapsamı dramatik biçimde düşer.
Bir startup için pratik sıralama
- O pazarlarda faaliyet gösteriyorsanız GDPR / KVKK — opsiyonel değil, regülatif.
- SOC 2 Type II — ICP'niz ABD kurumsalsa.
- ISO 27001 — ICP'niz Avrupa veya küresel kurumsalsa.
- Sektöre özel — PCI-DSS, HIPAA, FedRAMP — sadece işiniz gerekliyse.
Hepsini eşzamanlı kovalamayın.
Denetim-vs-güvenlik boşluğu
Yaygın desen: bir şirket SOC 2 uyumludur ve hâlâ güvensiz uygulamalara sahiptir. Uyumluluk çerçeveleri süreçleri belirler; güvenlik duruşunu garanti etmez. Uyumluluğu güvenlik zemini olarak ele alan + üzerine kendi tehdit modellemesini yapan ekip hem uyumlu hem güvenli olan ekiptir.Yardımcı araçlar
- Drata, Vanta, Secureframe — uyumluluk otomasyonu, kanıt toplama.
- OneTrust — gizlilik yönetimi, GDPR odaklı.
- Manuel + spreadsheet'ler — küçük ekipler için çalışır; ölçeklenmez.
Maliyet gerçekliği
- ISO 27001 ilk sertifikasyon: 25-100k+ USD.
- SOC 2 Type II yıllık: denetim için 15-50k USD + araç abonelikleri.
- Dahili efor: denetim dönemleri boyunca bir mühendisin zamanının %10-30'u.
Uyaracağımız bir desen
Ticari talep olmadan uyumluluk peşinde koşmak. Spesifik bir anlaşma veya regülatif gereksinim olmadan "iyi olur diye ISO 27001 olmalıyız" sıkça erkendir.Her zaman karşılığını veren bir desen
Uyumluluk kanıtını birinci günden normal operasyonlara inşa etmek — otomatik loglar, ticket akışları, varlık envanterleri, erişim incelemeleri.Uyumluluk yol haritanız nedir?
Compliance is a tax, but not all tax is wasted
"We need to be SOC 2 compliant" gets thrown around in sales conversations and rarely understood by the team that has to deliver it.ISO 27001
What it is: international standard for information security management systems (ISMS). Certification by an accredited body, valid 3 years with annual surveillance audits.What it requires: a documented ISMS — risk assessment, statement of applicability, controls (Annex A has 93 controls in the 2022 revision), management review, internal audit.
Effort: 6-12 months for first certification, ongoing annual investment. Documentation-heavy.
SOC 2
What it is: American attestation report on operational controls. Five trust services criteria: security (mandatory), availability, confidentiality, processing integrity, privacy.What it requires: continuous control operation over a period (typically 6-12 months for Type II), evidence of control operation throughout, audit by a CPA firm.
Effort: significant evidence-gathering during the audit period. Tools like Drata, Vanta, Secureframe automate much of the evidence collection.
Use when: selling to US enterprises requiring SOC 2 Type II report.
GDPR (EU) / KVKK (Turkey)
What it is: data protection regulations. Not certifications — laws with enforcement.What they require:
- Lawful basis for processing personal data.
- Data subject rights (access, rectification, erasure, portability).
- Privacy notices, consent management.
- Data protection impact assessments for high-risk processing.
- Breach notification within 72 hours.
- Data Protection Officer (DPO) for some organisations.
- Records of processing activities.
- Data processing agreements with vendors.
- Cross-border transfer mechanisms.
KVKK is structurally similar to GDPR with TR-specific differences.
PCI-DSS
For organisations storing, processing, or transmitting cardholder data. Most small merchants qualify for SAQ tiers; larger merchants need QSA audit.The pragmatic approach: use a payment processor (Stripe, iyzico, PayTR) that's PCI-compliant; structure your flow so card data never touches your servers.
The practical sequence for a startup
- GDPR / KVKK if you operate in those markets — non-optional, regulatory.
- SOC 2 Type II — if your ICP is US enterprise.
- ISO 27001 — if your ICP is European or global enterprise.
- Industry-specific — PCI-DSS, HIPAA, FedRAMP — only if your business needs them.
Don't pursue all simultaneously.
The audit-vs-security gap
A common pattern: a company is SOC 2 compliant and still has insecure practices. Compliance frameworks specify processes; they don't guarantee security posture.Tools that help
- Drata, Vanta, Secureframe — compliance automation, evidence collection.
- OneTrust — privacy management, GDPR-focused.
- Manual + spreadsheets — works for small teams; doesn't scale.
The cost reality
- ISO 27001 first certification: $25-100k+.
- SOC 2 Type II annual: $15-50k for the audit + tool subscriptions.
- Internal effort: 10-30 % of one engineer's time during audit periods.
One pattern we'd warn about
Pursuing compliance without commercial demand.One pattern that always pays off
Building compliance evidence into normal operations from day one.What's your compliance roadmap?
