Modül 5 · Modül 5 — Domain 5: Secure Development & Compliance · ⏱ 10-15 dakika

Compliance: SOC2, ISO27001 ve FedRAMP

Compliance: SOC2, ISO27001 & FedRAMP

Bu derste neler öğreneceksin

  • GitHub Enterprise'ın hangi compliance framework'lerini desteklediğini listelemek
  • GHEC vs GHES vs GitHub AE'nin compliance kapsamını karşılaştırmak
  • Audit log ve policy'nin compliance kanıtlamasındaki rolünü anlamak

Kurumsal ortamlarda GitHub Enterprise’ı kullanırken uyumluluk gereksinimleri genellikle deployment modelini belirler. GH-100, bu framework’lerin temelini ve GitHub’ın nasıl destek verdiğini sınar.

GitHub’ın Compliance Sertifikaları

GitHub Enterprise Cloud için geçerli sertifikalar:

  • SOC 1 Type II — Finansal kontroller
  • SOC 2 Type II — Güvenlik, gizlilik, availability
  • ISO 27001 — Bilgi güvenliği yönetim sistemi
  • ISO 27018 — Buluttaki kişisel verilerin korunması
  • CSA STAR Level 2 — Cloud Security Alliance
  • GDPR — AB veri koruma yönetmeliği uyumu

GitHub AE ek olarak:

  • FedRAMP High — ABD federal sistemler için

GHES için: Müşteri kendi altyapısını yönettiğinden, compliance sertifikaları cloud provider ve müşterinin kendi denetimlerine bağlıdır. GitHub, GHES’in kendi altyapısını sertifikalandırmaz.

SOC2 ve GitHub Audit Log İlişkisi

SOC2 Type II denetiminde denetçiler erişim kontrollerinin kanıtını ister. GitHub audit log şu kanıtları sağlar:

  • Kullanıcı erişim değişiklikleri (org.add_member, org.remove_member)
  • Permission değişiklikleri
  • Repository oluşturma/silme
  • SSO ve 2FA enforcement olayları

GDPR Gereksinimleri

GDPR kapsamında önemli GitHub konfigürasyonları:

  • Data Residency (EU): Veriyi AB sınırlarında tut
  • Audit log: Kişisel veri erişimlerini izle
  • SCIM deprovision: Ayrılan çalışanın verilerinin silinmesi süreci

Compliance Raporlaması

Enterprise → Settings → Compliance
→ SOC2 report, penetration test sonuçları için GitHub Trust Center'a yönlendirilirsin
→ https://trust.github.com/

GitHub Trust Center, güncel güvenlik raporlarına ve sertifikalara erişim sağlar. Compliance denetçileri için bu kaynak birincil referanstır.

2FA Zorunluluğu

SOC2 ve ISO27001 için genellikle çok faktörlü kimlik doğrulama (MFA/2FA) zorunludur:

Organization → Settings → Authentication security
→ "Require two-factor authentication for everyone in the organization"

Bu ayar etkinleştirildiğinde 2FA’sı olmayan kullanıcılar otomatik olarak org’dan çıkarılır.