Bir tekstil firmasının muhasebe müdürü düşünün: şirketin tüm stok hareketleri, müşteri bakiyeleri ve sipariş kayıtları artık kendi sunucusunda değil, İstanbul’daki bir yazılım firmasının veri merkezinde duruyor. Ay sonu kapanışında sisteme bağlanamadığında ne yapacak? Bu soru, hizmet olarak yazılım — yani SaaS — modelini değerlendiren her KOBİ yöneticisinin kafasında dönen asıl sorudur. Yazılımı satın alıp kendi bilgisayarlarına kurmak yerine aylık abonelikle internet üzerinden kullanan şirket sayısı artıyor; ancak bu modelin getirdiği güven sorunu da aynı hızla büyüyor.
SaaS modelinde tedarikçi firma hem yazılımı hem de verilerinizi barındırıyor. Bu durum, geleneksel yazılım alımından köklü biçimde farklı bir risk profili yaratıyor. Kendi sunucunuzda çalışan bir muhasebe programında veri kontrolü sizdedir; sunucu arızalanırsa yerel yedeğinize başvurursunuz. Ancak SaaS modelinde veri fiziksel olarak sizin elinizde değil. Tedarikçi firma kapanırsa, sunucuları çökerse ya da sizi sistemden kilitlerse ne olur? Bu soruların yanıtını sözleşme imzalamadan önce almak, sonradan pişman olmaktan çok daha az maliyetlidir.
Değerlendirmeye başlamanın en sağlam yolu, tedarikçinin veri merkezi altyapısını sormaktır. ISO 27001 bilgi güvenliği sertifikası, tedarikçinin belirli standartlara göre denetlendiğini gösterir; bu belgeyi talep edin ve geçerliliğini kontrol edin. Bunun yanı sıra fiziksel güvenlik de önemlidir: veri merkezinin yangın söndürme sistemi, kesintisiz güç kaynağı ve yetkisiz erişime karşı önlemleri hakkında bilgi isteyin. Tedarikçi bu soruları rahatsızlıkla karşılıyorsa ya da yanıt vermekte zorlanıyorsa, bu başlı başına bir uyarı işaretidir.
Hizmet sürekliliği açısından en kritik kriter, yedeklilik mimarisinin nasıl kurulduğudur. Verileriniz yalnızca tek bir fiziksel lokasyonda mı tutuluyor, yoksa farklı bir coğrafi noktada yedek kopya var mı? Yedekleme ne sıklıkla yapılıyor — günlük mi, saatlik mi? Bir arıza durumunda sisteme geri dönmek ne kadar sürer? Bu soruların yanıtları somut olmalı; ‘güvenli altyapımız var’ gibi genel ifadeler yeterli değil. Hizmet Seviyesi Anlaşması, yani SLA belgesi, bu taahhütlerin yazılı hale getirildiği yerdir. Tedarikçinin sunduğu SLA’da yüzde kaç sistem erişilebilirliği taahhüt edildiğine bakın; yüzde doksan dokuz gibi görünen bir rakamın yılda yaklaşık seksen saat kesinti anlamına geldiğini hesap ederek değerlendirin.
Veri erişimi ve taşınabilirlik konusu ise çoğu KOBİ’nin sözleşme aşamasında atladığı kritik bir noktadır. Tedarikçiyle çalışmayı bırakmak istediğinizde verilerinizi hangi formatta ve ne kadar sürede alabilirsiniz? Bazı firmalar veriyi yalnızca kendi özel formatlarında saklıyor; bu durumda başka bir sisteme geçmek son derece güçleşiyor. Verilerinizi standart bir formatta — örneğin Excel veya CSV dosyası olarak — dışa aktarabilmeniz, tedarikçiye olan bağımlılığınızı önemli ölçüde azaltır. Sözleşmeye bu maddeyi açıkça yazdırmak, ileride yaşanabilecek anlaşmazlıkların önüne geçer.
Uygulamada karşılaşılan en yaygın zorluk, KOBİ’lerin bu kriterleri tedarikçiyle müzakere ederken yeterli teknik bilgiye sahip olmamasıdır. Tedarikçi firma satış odaklı konuşurken alıcı taraf teknik detayları takip etmekte güçlük çekebiliyor. Türkiye’deki SaaS pazarı henüz olgunlaşma aşamasında olduğundan, bazı yerel tedarikçiler uluslararası standartlardaki SLA belgelerini sunmaktan uzak; sözleşmeler muğlak ifadelerle dolu olabiliyor. Bunun yanı sıra internet altyapısının hâlâ her bölgede istikrarlı olmadığı bir ortamda, sisteme bağlanamadığınızda ne yapacağınızı da planlamanız gerekiyor — tedarikçinin altyapısı ne kadar sağlam olursa olsun, sizin internet bağlantınız kesilirse sisteme erişemezsiniz.
SaaS modelini değerlendiren bir KOBİ yöneticisi için pratik karar noktaları şunlardır: tedarikçiden ISO 27001 sertifikasını veya eşdeğer bir bağımsız denetim belgesini yazılı olarak isteyin; SLA’da yüzde doksan dokuz buçuk ve üzeri erişilebilirlik taahhüdü arayın ve kesinti durumunda tazminat koşullarını netleştirin; veri yedeklerinin günlük alındığını ve farklı bir lokasyonda saklandığını teyit edin; sözleşme sonlandığında verilerinizi standart formatta alabileceğinizi sözleşmeye maddeleyin. Bu dört kriter, tedarikçi seçiminde sizi en yaygın risklerden koruyacak temel güvencelerdir. SaaS modeli doğru tedarikçiyle kurulduğunda KOBİ’lere ciddi maliyet ve esneklik avantajı sağlıyor; ancak bu avantajı güvence altına almanın yolu, sözleşme masasında doğru soruları sormaktan geçiyor.