Kurumsal Satın Almada Sertifikasyon Açığı
Kurumsal SaaS satın alımı tutarlı bir nitelik filtrelemesi geliştirmiştir: ISO 27001 sertifikası. 2025'teki bir kurumsal CISO anketi, "tanınmış güvenlik sertifikasının eksikliği"nin SaaS satıcılarını diskalifiye etmenin #2 nedeni olduğunu bulmuştur, bu durum yalnızca "yetersiz şifreleme mimarisi"nin arkasındadır.
Sebep yapısaldır. Kurumsal güvenlik ekipleri, yıllık olarak onlarca ila yüzlerce satıcıyı incelemekten sorumludur. Her satıcı için tam bir özel güvenlik değerlendirmesi yapmak — politikaları gözden geçirmek, kontrolleri test etmek, mimariyi değerlendirmek — önemli bir güvenlik ekibi kapasitesi gerektirir. ISO 27001 sertifikası bir kısayol sağlar: bağımsız bir denetçi, satıcının bilgi güvenliği yönetim sistemini 11 alanda 93 kontrol ile tanınmış bir standartla değerlendirmiştir.
ISO 27001 olmayan satıcılar için her kurumsal anlaşma, kanıtları sıfırdan oluşturmayı gerektirir. ISO 27001'e sahip satıcılar için ise, kanıt paketi mevcuttur ve bağımsız olarak doğrulanmıştır.
ISO 27001:2022 Ek A'nın Gerçekten Kapsadığı
ISO 27001:2022 Ek A, dört tema etrafında 93 kontrol içermektedir: organizasyonel, insan, fiziksel ve teknolojik. Bulut gizlilik araçları için, kurumsal satın alma ekiplerinin en çok odaklandığı kontroller şunlardır:
Şifreleme kontrolleri (Ek A 8.24): Organizasyonun şifreleme kontrollerinin kullanımı için kurallar tanımlamasını gerektirir, anahtar yönetimi dahil. Sertifikasyon, satıcının şifreleme anahtarlarının nasıl oluşturulduğu, saklandığı, erişildiği ve imha edildiği konusunda belgelenmiş, denetlenmiş bir politikaya sahip olduğunu gösterir.
Erişim kontrolü (Ek A 8.2-8.5): Bilgilere erişimin en az ayrıcalık ilkesine dayalı olarak kısıtlanmasını gerektirir. Sertifikasyon, satıcı personelinin müşteri verilerine erişiminin kontrol edildiğini ve belgelenmiş olduğunu gösterir.
Tedarikçi ilişkileri (Ek A 5.19-5.22): Tedarikçi ilişkileri için güvenlik gereksinimlerinin belgelenmesini ve izlenmesini gerektirir. Kendi müşterilerinin satıcılarının güvenliğini belgelerle göstermelerini talep eden işletmeler için geçerlidir.
ISO 27001 sertifikasyon belgesi her satın alma sorusunu yanıtlamaz — organizasyonel ve süreç kontrollerinin mevcut olduğunu belirler. Sertifikasyon, özel değerlendirmenin kapsamını, standardın ele almadığı mimari spesifik sorularla sınırlandırır.
Standardın Yanıtlamadığı Mimari Sorusu
ISO 27001 sertifikası, süreç ve organizasyonel kontrol sorularını yanıtlar. Ancak düzenlenmiş işletmelerin en çok önem verdiği temel mimari soruyu yanıtlamaz: "Satıcı verilerimize erişebilir mi?"
ISO 27001 sertifikasına sahip bir satıcı hala sunucu tarafı şifreleme anahtarları ile çalışabilir. Sertifikasyon, anahtar yönetiminin belgelenmiş bir politikaya uygun olarak yürütüldüğünü onaylar — ancak bu politika, satıcı erişimini engellemez.
Sıfır bilgi mimarisi, ISO 27001'in açık bıraktığı soruyu yanıtlar. Mimari — istemci tarafı anahtar türetimi, sunucu tarafında anahtar saklamama, iletim öncesi AES-256-GCM şifrelemesi — "satıcı verilerimize erişebilir mi?" sorusunun kesinlikle olumsuz bir yanıt almasını sağlar.
ISO 27001 ile sıfır bilgi mimarisinin birleştirilmesinin satın alma üzerindeki etkisi: ISO 27001, satın alma anketlerinin kontrol ettiği organizasyonel ve süreç kontrol gereksinimlerini karşılar. Sıfır bilgi mimarisi, düzenlenmiş endüstriler için en yüksek öncelikli endişe olan veri erişim gereksinimlerini karşılar. Birlikte, sağlık, finansal hizmetler ve hukuki pazarlarda bulut satıcı onayı için iki temel nitelik kriterini ele alırlar.
Pratikte Zaman Azaltma
Düzenlenmiş endüstrilerde satıcı güvenlik değerlendirme zaman çizelgeleri genellikle tanınmış bir sertifika olmadan 3 ila 6 ay arasında değişir. Değerlendirme, güvenlik anketinin tamamlanmasını, belgelerin gözden geçirilmesini, teknik mimari incelemesini ve genellikle güvenlik ekibiyle bir görüşmeyi içerir.
ISO 27001 sertifikası ile işletmeler, belgelerin gözden geçirilmesi aşamasını kısaltabilir — sertifika ve ilgili Uygulama Beyanı kanıt sağlar. Sıfır bilgi mimarisi belgeleri ile mimari inceleme aşaması hızlı bir şekilde çözülür. Değerlendirme zaman çizelgesi, en verimli kurumsal satın alma süreçleri için 3 ila 6 haftaya sıkışır.
Düzenlenmiş endüstri kurumsal anlaşmalarını hedefleyen satıcılar için, ISO 27001 sertifikasının maliyet-fayda hesaplaması basittir: sertifikasyon, satış döngülerini her düzenlenmiş kurumsal anlaşmada aylardan haftalara kısaltır. Kurumsal anlaşma boyutlarında, zaman azalması önemli bir gelir hızlandırmasına dönüşür.
Gizlilik araçları satın alan işletmeler için, sertifika kombinasyonu niteliksel olarak farklı bir risk duruşu sağlar: müşteri verilerine erişemeyen (sıfır bilgi) ve bağımsız olarak doğrulanmış organizasyonel kontrolere sahip (ISO 27001) bir satıcı, bir bulut satıcısında güvenlik taahhüdünün en güçlü mevcut kanıtını temsil eder.
Kaynaklar: