Yazılım Akreditasyonu

Yazılım ürününün veya firmanın akreditasyonu, belirli bir standart veya kalite çerçevesine uygunluğunun resmi ve yetkili bir kuruluş tarafından belgelenmesi anlamına gelir. Bu süreç genellikle şu başlıklar altında ele alınır:

1. Yazılım Akreditasyonu (Product Level)

Bu, bir yazılım ürününün güvenlik, kalite, uyumluluk, performans gibi ölçütlere göre bağımsız bir kuruluşça test edilip onaylanmasıdır.

Yaygın akreditasyon türleri:

ISO/IEC 25010 – Yazılım Kalite Modeli (işlevsellik, güvenlik, bakım kolaylığı vs.)

CE işareti – Avrupa’da medikal, otomotiv, IoT yazılımları için

UL sertifikası – Güvenlik kritik uygulamalarda (örneğin endüstriyel yazılım)

Common Criteria (ISO/IEC 15408) – Güvenlik sertifikasyonu (özellikle devlet/militer işler)

HIPAA uyumluluğu – Sağlık yazılımlarında hasta verisi gizliliği

GDPR uyumu – Avrupa’daki veri koruma yasasıyla uyum

PCI-DSS – Ödeme sistemleri için veri güvenliği standartları

2. Firma Düzeyinde Akreditasyon (Organizasyonel Level)

Şirketin yazılım geliştirme sürecinin, kalite yönetiminin veya güvenlik prosedürlerinin bir standart dahilinde yapıldığını gösterir.

Yaygın akreditasyonlar:

ISO 9001 – Kalite yönetim sistemi

ISO/IEC 27001 – Bilgi güvenliği yönetim sistemi (özellikle FinTech, e-Devlet, savunma)

ISO/IEC 12207 – Yazılım yaşam döngüsü süreçleri

CMMI (Capability Maturity Model Integration) – Kurumsal yazılım geliştirme olgunluk seviyesi (Level 1–5)

SOC 2 Type II – Cloud/SaaS şirketlerinin veri güvenliği ve operasyonel süreç uyumu (özellikle ABD’de yaygın)

Akreditasyon Süreci Nasıl İşler?

Standart seçimi (örn. ISO 27001)

Dokümantasyon: Politikalar, prosedürler, yazılım yaşam döngüsü dökümleri hazırlanır

İç denetim (isteğe bağlı danışman firmalarla yapılır)

Resmi başvuru ve dış denetim: Akredite denetçiler gelip sistemi inceler

Raporlama ve düzeltici eylemler

Sertifikasyon (genellikle 1–3 yıl geçerli olur)

Kimler Akredite Eder?

TÜRKAK (Türkiye Akreditasyon Kurumu) – ISO belgeleri için

TSE – Türk Standartları Enstitüsü

SGS, Bureau Veritas, TÜV, DNV GL gibi uluslararası bağımsız denetçiler

Özel alanlarda: BDDK, TSE-MET, Sağlık Bakanlığı gibi yerel düzenleyiciler

Ne Zaman Gerekli?

Devlet ihalelerine girmek için

Kurumsal müşteri (bankalar, hastaneler, savunma) çalışmaları için

Uluslararası pazara açılmak için (özellikle SaaS firmaları için SOC2, ISO 27001 neredeyse şart)

*Gönderi ve görsel chatgpt ile oluşturulmuştur.