Sahadaki Durum
Bayi hosting modelinde güvenlik sorumluluğu net yazılmadığında kritik CVE dönemlerinde hem sağlayıcı hem bayi hem de son kullanıcı belirsizlik yaşar. SLA yalnızca uptime değil güvenlik müdahale süresini de içermelidir.
Bu başlıkta amaç, güvenlik duyurusunu yalnızca haber gibi okumak değil; hosting operasyonunda hangi servislerin, hangi müşterilerin ve hangi bakım adımlarının etkileneceğini netleştirmektir. Kritik CVE dönemlerinde başarılı ekipler önce etki alanını daraltır, sonra yamayı uygular ve en son kullanıcı deneyimini ölçer.
Güncel Bulgular
Bayi müşterisi çoğu zaman kendi markasıyla hizmet verir; fakat altyapı güvenliği ana sağlayıcıya bağlıdır.
Kritik güvenlik açığında kimin duyuru yapacağı, kimin parola reset isteyeceği ve kimin yama uygulayacağı önceden belli olmalıdır.
Güvenlik olayı ticari ilişkiyi doğrudan etkiler; iletişim kötü olursa teknik çözüm başarılı olsa bile güven kaybı oluşur.
Uygulama Notları
Sözleşmede kritik CVE bildirimi, planlı bakım penceresi ve acil müdahale yetkisi yazmalıdır.
Bayiye white-label duyuru metni sağlanmalıdır.
Olay sonrası rapor teknik ekip ve ticari ekip tarafından aynı verilerle paylaşılmalıdır.
Denetim Notları
SLA metninde güvenlik patch önceliği bulunmalıdır.
Bayi panelinde açık token ve eski entegrasyonlar düzenli denetlenmelidir.
Acil durumda müşteri onayı beklemeden uygulanacak güvenlik önlemleri önceden tanımlanmalıdır.