Türkiye'de ve uluslararası pazarında yazılım/SaaS işletmesi yapmak, veri güvenliği ve fikri mülkiyet koruma üzerinde odaklanmayı gerektiriyor. Yazılım şirketleri diğer sektörlere göre farklı uyumluluk sorunlarıyla karşılaşmaktadırlar.
Bu rehber, yazılım ve SaaS şirketinin uyum sağlaması gereken tüm önemli mevzuat alanlarını açıklamaktadır.
Yazılım Şirketinin Uyum Sağlaması Gereken Kurumlar
Yazılım/SaaS şirketinin 5 ana kurumun kurallarına uyması gerekmektedir:
1. KVKK (Kişisel Verileri Koruma Kurulu) — Müşteri Verisi Güvenliği
Sorumluluk: Yazılımda işlenen müşteri verilerinin korunması, gizlilik politikası, veri taşınabilirliği
Temel Yükümlülükler:
- ✅ Veri Taşıyıcı Sözleşmesi (DPA): Bulut hizmet sağlayıcıları ile (AWS, Azure, Heroku vb.)
- ✅ Gizlilik Politikası: Yazılımda hangi verinin toplandığı, nasıl kullanıldığı
- ✅ Rıza Yönetimi: Pazarlama e-postaları, in-app notifications için açık rıza
- ✅ Veri Envanteri: Tüm veri işlemelerinin merkezi kaydı (Data Processing Register)
- ✅ Güvenlik Protokolleri: Şifreleme, backup, erişim kontrolleri
- ✅ İhlal Bildirimi: Veri sızıntısı durumunda 72 saat içinde bildirim
- ✅ Data Deletion Requests: Müşteri silme taleplerinin 30 gün içinde işlenmesi
Regulfy Çözümü:
2. GDPR (Avrupa Birliği) — AB Müşteriler İçin
Sorumluluk: AB'deki kullanıcı verilerinin korunması (çok katı kurallar)
Temel Yükümlülükler:
- ✅ GDPR Uyumu: KVKK'den daha katı (AB'de ~$20 Milyon ceza potansiyeli)
- ✅ Data Protection Officer (DPO): Bazı durumlarda atamak gerekli
- ✅ DPIA (Data Protection Impact Assessment): Yüksek riskli işlemler için değerlendirme
- ✅ Standard Contractual Clauses (SCCs): AB dışına veri aktarımı için
- ✅ GDPR Uyum Sertifikası: AB müşteriler SOC 2 veya ISO 27001 ister
- ✅ Right to Access: Müşteri talep ettiğinde tüm verilerini insan tarafından okunaklı formatta alma hakkı
AB Müşterileri Çöz:
- KVKK Veri Koruma Çözümü → (GDPR eşleştirmesi var)
3. GİB (Gelir İdaresi Başkanlığı) — Vergi ve İş Gelirleri
Sorumluluk: Yazılım satışları, abonelik gelirleri, lisanslama ücretleri
Temel Yükümlülükler:
- ✅ KDV Tariflemesi: Yazılım tipi (lisans, SaaS, danışmanlık) KDV oranını belirliyor
- Yazılım lisansı: %18 KDV
- SaaS aboneliği: %18 KDV
- Yazılım Danışmanlığı: %18 KDV
- Teknik Destek: %18 KDV
- ✅ Aylık KDV Beyannamesi: Tüm gelirler, gider, KDV kredisi
- ✅ e-Fatura: Müşterilere gönderilen faturalar
- ✅ Yıllık Kurumlar Vergisi: Kâr üzerinden %22 vergi
- ✅ Uluslararası Satışlar: AB/ABD müşteriler için Reverse Charge ve vergi uyumu
AB/ABD'ye Yazılım Satışı:
- MOSS (Mini One-Stop Shop) sistemi — EU VAT uyumu
- Destination-based VAT — müşterinin bulunduğu ülkenin KDV oranı
- Vergi Kimlik Numarası (VAT ID) doğrulaması
Regulfy Çözümü:
4. Fikri Mülkiyet Hakları — Yazılım Koruması
Sorumluluk: Yazılım kodunun, tasarımın, markasının korunması
Temel Yükümlülükler:
- ✅ Telif Hakkı (Copyright): Yazılım kodu otomatik olarak korumalı (tescil gerekmez)
- ✅ Marka Tescili (Trademark): Yazılım adı/logosunun korunması
- Türk Patent Kurumu (TÜRKPATENT)
- Uluslararası (Madrid Protocol)
- ✅ Patent: Yazılım algoritmaları/yöntemleri (yüksek maliyetli)
- ✅ Ticari Sır Koruması: Kaynak kodu, algoritmaların gizliliği
- ✅ Açık Kaynak Lisanslama: Açık kaynak kütüphanelerin lisanslama uyumu
- GPL (Copyleft) — kodunuzu açık kaynak yapmalı
- MIT/Apache (Permissive) — ticari kullanım serbest
- Lisans uyumsuzluğu ciddi yasal risker yaratabilir
Açık Kaynak Uyumu İçin:
- Dependency tracking (npm audit, OWASP Dependency-Check)
- License scanning (FOSSA, Black Duck)
- Disclaimer ve attribution
5. Siber Güvenlik ve Veri Breaches
Sorumluluk: Yazılım güvenliği standartları, veri ihlalleri bildirimi
Temel Yükümlülükler:
- ✅ ISO 27001: Bilgi güvenliği yönetim sistemi
- ✅ SOC 2: Sistem ve Kuruluş Kontrolü (Müşteriler ister)
- ✅ OWASP Top 10: Yazılım güvenlik zafiyetleri kontrolü
- ✅ Penetrasyon Testi: Yıllık/altı aylık güvenlik denetimi
- ✅ Vulnerability Management: Bulunulan zafiyetleri hızla patch etme
- ✅ Incident Response Plan: Veri ihlali durumunda harekete geçme planı
Yazılım Şirketi Türlerine Göre Uyumluluk
B2B SaaS (İşletmeler için yazılım)
- KVKK: Çalışan verileri işliyor — tam uyum
- GDPR: EU müşterileriniz varsa zorunlu
- Vergi: KDV ve kurumlar vergisi
- Siber Güvenlik: SOC 2 Type II (müşteriler ister)
- Açık Kaynak: Bağımlılık taraması
B2C SaaS (Tüketiciler için yazılım)
- KVKK: Kişisel veriler — tam uyum
- GDPR: EU kullanıcılarınız varsa zorunlu
- Vergi: KDV, kurumlar vergisi
- Siber Güvenlik: ISO 27001 hedef
- Açık Kaynak: Kapsamlı bağımlılık taraması
Yazılım Geliştirme Firması (Danışmanlık)
- KVKK: Müşteri verisi — tam uyum
- GDPR: EU müşterileriniz varsa
- Vergi: Danışmanlık gelirleri KDV
- Marka/Patent: Fikri mülkiyet koruması
- Açık Kaynak: Geliştirdiğiniz koda bağlı
API/Platforma Yapan Şirket
- KVKK: Developer verisi — tam uyum
- GDPR: EU developerleri varsa
- Vergi: API ücretleri üzerinden
- Siber Güvenlik: API güvenliği (rate limiting, auth, encryption)
- Terms of Service: Yasal açıdan güvenli ToS gerekli
Yazılım Şirketi Uyumluluk Kontrol Listesi
Kurulum Aşaması (Aylar 0-3)
- [ ] Şirket kurma ve muhasebe başvurusu
- [ ] GİB'ye KDV mükellefi başvuru
- [ ] KVKK gizlilik politikası hazırlama
- [ ] Yazılım telif hakkı bildirisi (copyright notice)
- [ ] Terms of Service ve Privacy Policy hazırlama
- [ ] Marka tescili başvurusu (TÜRKPATENT)
Teknik Uyumluluk (Aylar 1-6)
- [ ] SSL/TLS şifrelemesi (HTTPS)
- [ ] Veri Taşıyıcı Sözleşmesi (DPA) — bulut sağlayıcılarla
- [ ] Açık kaynak lisans taraması (FOSSA/Black Duck)
- [ ] Güvenlik politikası (incident response, data retention)
- [ ] Penetrasyon testi (ilk)
Operasyon (Devam Eden)
- [ ] Aylık: KDV beyannamesi
- [ ] Aylık: Açık kaynak güvenlik güncellemeleri
- [ ] 6 Ayda bir: Penetrasyon testi
- [ ] Yıllık: Kurumlar vergisi beyannamesi
- [ ] Yıllık: Veri envanteri gözden geçirme
- [ ] Yıllık: SOC 2/ISO 27001 audit (hedef)
EU Müşterileriniz Varsa
- [ ] [ ] GDPR uyumluluk değerlendirmesi
- [ ] [ ] Standard Contractual Clauses (SCC) imzalama
- [ ] [ ] GDPR DPO atama (opsiyonel)
- [ ] [ ] DPIA hazırlama
Yazılım Mevzuat Değişiklikleri 2026
KVKK Güncellemeleri:
- Yapay Zeka muhasebesi — ML modellerini belgeleyin
- Otomatik karar alma konusu — veri analitik araçları log tutmalı
GDPR Gelişmeleri:
- AI Act compliance (EU AI Act)
- Digital Services Act (DSA) — platform sorumluluğu
Açık Kaynak Alanı:
- Supply chain güvenliği (SBOMs — Software Bill of Materials)
- Log4j tipi kritik zafiyetleri bildirme zorunluluğu
Yazılım Şirketi Uyumluluk Takvimi
| Zaman | Aktivite |
|---|---|
| Ay 0-3 | Kurulum: Şirket, vergi, KVKK, gizlilik |
| Ay 1-6 | Teknik: DPA, güvenlik, açık kaynak taraması |
| Ay 6-12 | Operasyon: SOC 2 audit, aylık raporlama |
| Ay 12+ | İyileştirme: ISO 27001 hedefi, GDPR eğitimi |
Regulfy ile Yazılım Şirketi Uyumluluğu
Yazılım şirketinin KVKK ve vergi uyumluluğu:
Veri Güvenliği (KVKK/GDPR):
Vergi Uyumluluğu:
Yazılım Mevzuat Takibi:
- Yıllık mevzuat taraması (açık kaynak, siber güvenlik, veri koruma)
Sonraki Adımlar
- Kurulum: Şirket oluştur, GİB'ye KDV başvurusu
- Teknik: Gizlilik politikası, DPA, güvenlik kontrolleri
- Mevzuat: Fikri mülkiyet koruması (marka, patent)
- Ölçeklendirme: SOC 2, ISO 27001, GDPR eğitimi
- Takip: Açık kaynak güncellemeleri, penetrasyon testleri
Regulfy ile otomatikleştirin: Fiyatlandırma planlarını inceleyin →
İlgili Kaynaklar
Bu yazıda bahsedilen düzenlemeleri otomatik takip edin
Regulfy, Resmi Gazete, SPK, BDDK, GİB ve 50+ düzenleyici kaynağı 7/24 izler ve anında bildirim gönderir.
Ücretsiz Başla →