Compliance: SOC2 ve GDPR
Compliance: SOC2 and GDPR
Bu derste neler öğreneceksin
- SOC2 ve GDPR çerçevelerinin Copilot kullanımına etkisini anlamak
- GitHub'ın hangi compliance sertifikalarına sahip olduğunu bilmek
- GDPR kapsamında veri işleme anlaşmasının (DPA) rolünü kavramak
- Compliance odaklı organizasyon için Copilot plan seçimini yapabilmek
GitHub Copilot compliance sertifikaları
GitHub (ve Copilot altyapısı), aşağıdaki sertifikalara sahiptir:
| Sertifika | Kapsam |
|---|---|
| SOC2 Type II | Güvenlik, kullanılabilirlik, işlem bütünlüğü |
| ISO/IEC 27001 | Bilgi güvenliği yönetimi |
| GDPR | AB kişisel veri koruma tüzüğü |
| FedRAMP (Enterprise) | ABD federal hükümet bulut gereksinimleri |
| HIPAA BAA (Enterprise) | Sağlık verisi işleme (Business Associate Agreement) |
GDPR ve Copilot
GDPR, AB kullanıcılarının kişisel verisinin nasıl işlendiğini düzenler. Copilot için önemli noktalar:
- GitHub, veri işleyici (data processor) sıfatıyla hareket eder
- Müşteri (organizasyon), veri sorumlusu (data controller) olarak sorumluluk taşır
- DPA (Data Processing Agreement) imzalanabilir — Business ve Enterprise’da mevcut
- Veri silme talebi 30 gün içinde yerine getirilir
SOC2 ve organizasyon güvencesi
SOC2 Type II denetimi, GitHub’ın güvenlik kontrollerinin süreklilik içinde işlediğini kanıtlar. Organizasyon açısından önemi:
- Satıcı güvenlik değerlendirmesi (vendor risk assessment) için temel belge
- Audit log ihtiyacında SOC2 raporu referans olarak kullanılabilir
- CISO/compliance ekipleri için Copilot’u onaylama sürecini hızlandırır
Compliance odaklı organizasyon için plan rehberi
| Gereksinim | Minimum Plan |
|---|---|
| SOC2 kanıtı | Business (raporlar mevcut) |
| GDPR DPA | Business |
| Audit log (erişim, kullanım) | Business |
| FedRAMP | Enterprise |
| HIPAA BAA | Enterprise |
| Veri saklama müzakeresi | Enterprise |
| Özel veri merkezi bölgesi | Enterprise (müzakereye açık) |
Sınavda beklenen senaryo
“Bir sağlık şirketi HIPAA kapsamında hasta verisi içeren repolarda Copilot kullanmak istiyor. Hangi plan ve ek adım gerekli?”
Cevap:
- Enterprise plan (HIPAA BAA için)
- Hasta verisi içeren tüm dosyalara content exclusion
- BAA imzalanması
- Kullanım politikası eğitimi
Sırada ne var?
Modül 8 — Sınav günü — tam mock sınav, Pearson VUE kayıt adımları ve GH-600’e giden yol haritası.