Türkiye'de bankalar, sigorta şirketleri, aracı kurumlar, varlık yönetimi şirketleri ve diğer BDDK denetimine tabi finansal kurumlar bulut hizmeti alımında BDDK Bilgi Sistemleri Yönetmeliği ve Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik kapsamında belirli yükümlülükler altındadır. Bunların başında risk değerlendirmesi yapma, gerekli durumlarda BDDK'ya bildirim gönderme ve uyum dokümantasyonu hazırlama gelir.

Bu rehber Microsoft 365 alımında BDDK uyumluluğu için izlenmesi gereken adımları, risk değerlendirmesi şablonunu, uyum kontrol matrisini ve sık yapılan hataları içerir. Micro Bilgi Microsoft Yetkili Çözüm Ortağı (CSP) sıfatıyla bu süreçlerde finansal kurumlara dokümantasyon ve danışmanlık hizmeti vermektedir.

1. BDDK'nın Bulut Hizmetlerine Bakışı

BDDK, finansal kurumların bulut hizmeti almasını yasaklamaz — ancak bu hizmetin alımı düzenleyici çerçeveye uygun olmalıdır. Temel ilkeler:

  • Önceden risk değerlendirmesi yapılması — bulut hizmetinin kullanıcılarına, verilerine, operasyonlarına etkisi analiz edilmeli
  • Veri lokasyonu kontrolü — özellikle özel nitelikli kişisel veri (KVKK m.6: gelir, kredi notu, banka bilgileri) için yurt içi/AB sınırları tercih edilmeli
  • Erişim kontrolü ve denetlenebilirlik — kim, ne zaman, hangi veriye erişti loglu olmalı
  • Sözleşme şartları — bulut sağlayıcısı ile yapılan sözleşme BDDK denetim hakkını içermeli
  • Çıkış stratejisi — bulut hizmeti sonlanırsa veriler nasıl alınacak/silinecek
  • İş sürekliliği — sağlayıcının kesintisi finansal kurumun operasyonunu nasıl etkiler

2. Microsoft 365'in BDDK Uyum Sertifikaları

Microsoft 365 platformu küresel olarak en sıkı düzenlemeli sektörlere hizmet verir; sahip olduğu sertifikalar BDDK uyum süreçlerinde temel referans olarak kullanılır:

  • ISO 27001:2022 — Bilgi Güvenliği Yönetim Sistemi
  • ISO 27017 — Bulut hizmetleri için bilgi güvenliği
  • ISO 27018 — Bulut'ta kişisel veri koruma
  • SOC 2 Type II — Hizmet kontrolleri (3 ay denetim periyodu)
  • PCI DSS — Ödeme kartı endüstri veri güvenliği
  • FedRAMP High — ABD federal hükümet bulut güvenlik
  • HITRUST — Sağlık endüstrisi (geçişli olarak finansal kurumlar için referans)

Tüm sertifika raporları Microsoft Trust Center (servicetrust.microsoft.com) üzerinden BDDK denetimine sunulabilir.

3. Risk Değerlendirmesi Şablonu

Microsoft 365 alımı öncesi yapılacak risk değerlendirmesi 7 ana başlık içerir:

3.1 Veri Sınıflandırma

Bulutta tutulacak veriler kategorilere ayrılır:

  • Public — kamuya açık (web siteleri, pazarlama dokümanları)
  • Internal — kurum içi (politika, prosedür)
  • Confidential — gizli (müşteri sözleşmesi, kurumsal mali tablo)
  • Highly Confidential — özel nitelikli (KVKK m.6 mali bilgi, kredi notu, hesap detayları)

3.2 Tehdit ve Risk Senaryoları

  • Yetkisiz erişim (içeriden veya dışarıdan)
  • Veri kaybı / yanlış paylaşım
  • Phishing / sosyal mühendislik
  • Servis kesintisi (BCP)
  • Bulut sağlayıcının iflas / hizmet sonlanması
  • Yurt dışı veri aktarımı (KVKK m.9)

3.3 Microsoft 365 Mitigasyonları

RiskMicrosoft 365 Mitigasyonu
Yetkisiz erişimAzure AD + MFA + Conditional Access + PIM
Veri kaybıDLP + Information Protection + retention policy
PhishingDefender for Office 365 P2 + Safe Links + Safe Attachments
Servis kesintisi%99.9 SLA + georedundant replication
Sağlayıcı iflasMicrosoft kurumsal yapısı, escrow seçenekleri
Yurt dışı aktarımEU Data Boundary opsiyonu

3.4 Uyum Kontrol Matrisi (BDDK Bilgi Sistemleri Yönetmeliği)

Compliance Manager içinde BDDK kontrol noktaları otomatik izlenir. Tipik 35-50 kontrol noktası vardır; her biri için Microsoft tarafında alınmış tedbirler ve müşteri tarafında alınması gereken tedbirler ayrı listelenir.

4. EU Data Boundary Aktivasyonu

Banka/sigorta kurumları için en kritik teknik tercih Microsoft 365 verisinin AB sınırları içinde tutulmasıdır. EU Data Boundary opsiyonu:

  • Tüm ana verileri (Exchange, SharePoint, OneDrive, Teams) AB veri merkezlerinde tutar
  • Microsoft Entra ID kimlik verisini de AB'de tutar
  • Destek tickets'ı AB ekipleri tarafından işlenir
  • Microsoft 365 admin merkezinde tek tıkla aktive edilir (sınırlı sayıda tenant için ek SLA)

EU Data Boundary, BDDK'ya yapılacak bildirimde "yurt dışı aktarım sınırlandırılmıştır, veriler AB'de tutulur" şeklinde dokümante edilir.

5. BDDK'ya Bildirim Süreci

BDDK Bilgi Sistemleri Yönetmeliği'ne göre dış hizmet alımı (bulut hizmeti dahil) belirli kriterlerde BDDK'ya bildirim gerektirir:

  • Kritik faaliyet bulut'a taşınıyorsa — bildirim zorunlu
  • Müşteri verisi bulut'ta işleniyorsa — bildirim zorunlu
  • Kurum içi tartışma kararı alınmalı (BT komitesi onayı)

Bildirim için tipik içerik:

  1. Hizmet alınan sağlayıcı (Microsoft Corporation, irlanda merkezli AB tüzel kişiliği)
  2. Alınacak hizmetler (M365 E5, Exchange Online, SharePoint, Teams, Defender)
  3. Veri lokasyonu (EU Data Boundary aktif)
  4. Risk değerlendirmesi raporu
  5. Uyum kontrol matrisi (Compliance Manager çıktısı)
  6. Sözleşme şartları (BDDK denetim hakkı dahil)
  7. Çıkış stratejisi
  8. İş sürekliliği planı

6. Audit Log ve 5 Yıl Saklama

BDDK denetimi için 5 yıl minimum log saklama yükümlülüğü vardır. Microsoft 365'te audit log:

  • Business Premium: 90 gün (yetersiz)
  • E3: 1 yıl (yetersiz)
  • E5: 1 yıl (default), 10 yıl add-on ile (BDDK için yeterli)

5 yıl saklama için E5 + Audit Log retention add-on kombinasyonu standart yapılandırmadır.

7. Sözleşme Şartları (BDDK İçin Kritik)

Microsoft Online Services Terms (OST) standart sözleşmesinde BDDK için kritik maddeler:

  • Denetim hakkı — finansal kurumun (ve BDDK'nın) Microsoft güvenlik kontrollerini denetleme hakkı
  • Veri sahipliği — müşteri verisinin sahibi her zaman finansal kurum
  • Çıkış — sözleşme sonlanırsa 90 gün veri export hakkı
  • Bildirim yükümlülüğü — güvenlik olayı durumunda Microsoft'un bildirim süresi
  • Subprocessor listesi — Microsoft hangi alt yüklenicileri kullanıyor şeffaflık

Bu maddelerin tam metni Microsoft Trust Center'dan indirilebilir. CSP partneri (Micro Bilgi) üzerinden alımda Microsoft sözleşmesi standart olarak uygulanır.

8. Sık Yapılan Hatalar

Hata 1: Risk Değerlendirmesi Yapılmadan Geçiş

BDDK denetiminde "bulut hizmeti aldınız mı, risk değerlendirmesi yaptınız mı?" sorusu gelir. Yapılmadıysa idari para cezası riski. Çözüm: önceden hazırlanmış şablon ile bir hafta içinde tamamlanabilir.

Hata 2: EU Data Boundary Aktive Edilmiyor

Default kurulumda Microsoft 365 verisi otomatik AB'de tutulur ama EU Data Boundary daha sıkı garantiler verir. BDDK için bu farkı açıkça belirtmek gerekir.

Hata 3: Audit Log Süresinin Yetersiz Olması

Business Premium ile 90 gün audit log BDDK için yetersizdir. E5 + 10-yıl retention zorunlu kabul edilir.

Hata 4: BDDK Bildirimi Atlanması

Bazı kurumlar bildirim sürecini "M365 zaten yaygın, hep kullanılıyor" diye atlar. Resmi denetimde sorun yaratır. Bildirim 1-2 sayfalık standart şablon ile yapılır.

9. Uyumluluk Süresi

Tipik bir orta ölçek bankada Microsoft 365 + BDDK uyum süreci:

  • Hafta 1-2: Risk değerlendirmesi + uyum dokümantasyonu
  • Hafta 3: BDDK bildirim hazırlığı + iç onaylar
  • Hafta 4-5: M365 pilot + güvenlik yapılandırma
  • Hafta 6-8: Tam geçiş + Compliance Manager kurulumu
  • Hafta 9-12: Eğitim + olgunlaşma

Sonuç

Microsoft 365, BDDK Bilgi Sistemleri Yönetmeliği gereksinimlerini karşılayacak güçlü bir platformdur. Doğru yapılandırma (E5 + Compliance Manager + EU Data Boundary + 10-yıl audit log retention) ve doğru dokümantasyon (risk değerlendirmesi + BDDK bildirimi) ile finansal kurumlar için uyumlu bulut altyapısı kurulur.

Micro Bilgi Microsoft Yetkili Çözüm Ortağı (CSP) olarak bankalar, sigorta şirketleri, aracı kurumlar, leasing/factoring ve varlık yönetimi şirketlerine BDDK uyum dokümantasyonu, risk değerlendirmesi şablonu ve Compliance Manager kurulumu hizmeti sunmaktadır. Finans Sektörü için Microsoft 365 sayfamızı inceleyin veya ücretsiz BDDK uyum değerlendirmesi için iletişime geçin.

İlgili yazılar: SMMM Bürosu için Microsoft 365 Rehberi · MASAK Doküman Yönetimi Rehberi

İlgili rehber: Conditional Access politikalarının (Block Legacy Auth, Trusted Locations, Risk-based, Privileged Role Protection) sıfırdan kurulumu, "What If" tool ile etki analizi ve "break-glass" admin koruması için Conditional Access Politika Rehberi blog yazısını okuyun. 6 politika örneği + PowerShell ile yönetim detaylı.