Bir tekstil firmasının muhasebe müdürü düşünün: şirketin ciro rakamları, müşteri borçları ve stok değerleri artık kendi ofisindeki bilgisayarda değil, bir hizmet sağlayıcısının sunucularında duruyor. ADSL bağlantısı yaygınlaştıkça ve yazılım firmaları ‘internet üzerinden erişim’ seçeneği sunmaya başladıkça, bu tablo giderek daha yaygın hale geliyor. Peki bu veriler fiziksel olarak nerede barındırılıyor, kim erişebiliyor ve bir anlaşmazlık durumunda ne olacak? Bu soruların yanıtını bilmeden hizmet sözleşmesi imzalamak, ciddi hukuki ve operasyonel riskler doğuruyor.
Türkiye’de yazılım firmalarının sunduğu internet tabanlı hizmet modeli, uluslararası literatürde ASP (Application Service Provider — uygulama hizmet sağlayıcısı) olarak bilinen yaklaşıma dayanıyor. Bu modelde yazılım şirketin kendi sunucusuna kurulmuyor; kullanıcılar tarayıcı veya özel bir istemci program aracılığıyla uzaktaki bir sunucuya bağlanıyor. Sunucu ya yazılım firmasının kendi binasında, ya da kiraladığı bir veri merkezinde bulunuyor. İki seçenek arasındaki fark yöneticiler için son derece önemli: yazılım firmasının kendi sunucusunda barındırma ile bağımsız bir veri merkezinde barındırma, farklı güvenlik standartları ve farklı sorumluluk zincirleri anlamına geliyor.
Veri merkezinin fiziksel konumu, yalnızca teknik bir detay değil; aynı zamanda hukuki bir mesele. Türk hukukuna göre kişisel veriler ve ticari kayıtlar belirli saklama yükümlülüklerine tabi. Verilerinizin yurt dışındaki bir sunucuda tutulması durumunda hangi ülkenin hukukunun geçerli olacağı, bir ihtilaf anında Türk mahkemelerinin yetkisinin nasıl kullanılacağı ve vergi incelemesi sırasında kayıtlara nasıl erişileceği belirsizleşiyor. Sözleşmeyi imzalamadan önce hizmet sağlayıcısından sunucuların fiziksel olarak hangi ülkede ve hangi şehirde bulunduğunu yazılı olarak teyit etmek, bu belirsizliği ortadan kaldırmanın en doğrudan yolu.
Veri merkezinin fiziksel güvenliği de değerlendirme listesinin başında yer almalı. Profesyonel bir veri merkezi; kesintisiz güç kaynağı (UPS), yedekli soğutma sistemleri, yangın söndürme ve fiziksel erişim kontrolü gibi altyapı unsurlarına sahip olmalı. Bunların yanı sıra, sunucuya kimin ne zaman eriştiğini kaydeden erişim logları tutulmalı ve bu loglar belirli bir süre saklanmalı. Hizmet sağlayıcısına ‘veri merkezinizin fiziksel güvenlik belgeleri var mı?’ diye sormak garip karşılanmamalı; aksine bu soruyu sormayan yönetici, sorumluluğunu yerine getirmiyor demektir. Türkiye’de bu konuda henüz standart bir sertifikasyon zorunluluğu bulunmuyor, ancak bazı firmalar uluslararası standartlara atıfta bulunuyor.
Erişim logları meselesine ayrıca dikkat etmek gerekiyor. Verilerinize yazılım firmasının teknik ekibinden kimlerin erişebildiği, bu erişimlerin kayıt altına alınıp alınmadığı ve bu kayıtları sizin talep etmeniz durumunda paylaşıp paylaşmayacakları sözleşmede açıkça düzenlenmeli. Özellikle muhasebe ve finans verilerinde, yetkisiz erişim hem ticari sır ihlali hem de vergi mevzuatı açısından sorun yaratabilir. İyi bir hizmet sağlayıcısı, kendi teknik personelinin müşteri verilerine erişimini sınırlayan iç prosedürlere sahip olduğunu belgesiyle gösterebilmeli.
Pratikte karşılaşılan en büyük güçlük, Türkiye’deki KOBİ’lerin büyük çoğunluğunun bu tür sorular sormadan sözleşme imzalamasında yatıyor. Yazılımın özellikleri ve fiyatı ön plana çıkıyor; veri barındırma koşulları ise sözleşmenin arka sayfalarında, küçük puntolu metinlerde kalıyor. Üstelik bazı hizmet sağlayıcıları, veri merkezini üçüncü bir firmaya taşeron olarak devrettiğinde asıl sözleşme ile fiili uygulama arasında boşluklar oluşabiliyor. Hizmet kesintisi yaşandığında ya da şirket kapandığında verilerinize nasıl ulaşacağınızı ve hangi formatta teslim alacağınızı önceden netleştirmemek, ciddi operasyonel kırılganlık yaratıyor.
İnternet tabanlı bir yazılım hizmeti değerlendiren KOBİ yöneticisi için pratik karar kriterleri şunlar olmalı: sunucuların fiziksel konumunu yazılı teyit edin; erişim loglarının tutulup tutulmadığını ve talep halinde paylaşılıp paylaşılmayacağını sözleşmeye ekleyin; veri yedekleme sıklığını ve yedeklerin nerede saklandığını öğrenin; hizmet sonlandığında verilerinizi hangi formatta ve ne kadar sürede teslim alacağınızı netleştirin. Bu dört maddeyi karşılayamayan bir hizmet sağlayıcısıyla çalışmak, yazılımın tüm teknik avantajlarını gölgede bırakacak riskler taşıyor. Fiyat ve özellik listesi ne kadar cazip olursa olsun, verinin nerede durduğunu bilmeden imzalanan sözleşme, yöneticinin en temel sorumluluğunu yerine getirmediğinin göstergesi.