Modül 7 · Domain 7 — Privacy & Context Exclusions (%10-15) · ⏱ 13 dakika

Compliance: SOC2 ve GDPR

Compliance: SOC2 and GDPR

Bu derste neler öğreneceksin

  • SOC2 ve GDPR çerçevelerinin Copilot kullanımına etkisini anlamak
  • GitHub'ın hangi compliance sertifikalarına sahip olduğunu bilmek
  • GDPR kapsamında veri işleme anlaşmasının (DPA) rolünü kavramak
  • Compliance odaklı organizasyon için Copilot plan seçimini yapabilmek

GitHub Copilot compliance sertifikaları

GitHub (ve Copilot altyapısı), aşağıdaki sertifikalara sahiptir:

SertifikaKapsam
SOC2 Type IIGüvenlik, kullanılabilirlik, işlem bütünlüğü
ISO/IEC 27001Bilgi güvenliği yönetimi
GDPRAB kişisel veri koruma tüzüğü
FedRAMP (Enterprise)ABD federal hükümet bulut gereksinimleri
HIPAA BAA (Enterprise)Sağlık verisi işleme (Business Associate Agreement)

GDPR ve Copilot

GDPR, AB kullanıcılarının kişisel verisinin nasıl işlendiğini düzenler. Copilot için önemli noktalar:

  • GitHub, veri işleyici (data processor) sıfatıyla hareket eder
  • Müşteri (organizasyon), veri sorumlusu (data controller) olarak sorumluluk taşır
  • DPA (Data Processing Agreement) imzalanabilir — Business ve Enterprise’da mevcut
  • Veri silme talebi 30 gün içinde yerine getirilir

SOC2 ve organizasyon güvencesi

SOC2 Type II denetimi, GitHub’ın güvenlik kontrollerinin süreklilik içinde işlediğini kanıtlar. Organizasyon açısından önemi:

  • Satıcı güvenlik değerlendirmesi (vendor risk assessment) için temel belge
  • Audit log ihtiyacında SOC2 raporu referans olarak kullanılabilir
  • CISO/compliance ekipleri için Copilot’u onaylama sürecini hızlandırır

Compliance odaklı organizasyon için plan rehberi

GereksinimMinimum Plan
SOC2 kanıtıBusiness (raporlar mevcut)
GDPR DPABusiness
Audit log (erişim, kullanım)Business
FedRAMPEnterprise
HIPAA BAAEnterprise
Veri saklama müzakeresiEnterprise
Özel veri merkezi bölgesiEnterprise (müzakereye açık)

Sınavda beklenen senaryo

“Bir sağlık şirketi HIPAA kapsamında hasta verisi içeren repolarda Copilot kullanmak istiyor. Hangi plan ve ek adım gerekli?”

Cevap:

  1. Enterprise plan (HIPAA BAA için)
  2. Hasta verisi içeren tüm dosyalara content exclusion
  3. BAA imzalanması
  4. Kullanım politikası eğitimi

Sırada ne var?

Modül 8 — Sınav günü — tam mock sınav, Pearson VUE kayıt adımları ve GH-600’e giden yol haritası.