Yazılım Dış Kaynak Sözleşme Rehberi: IP, SLA ve Risk Yönetimi

Sözleşme Yapısı ve Temel Bileşenler

Yazılım dış kaynak sözleşmeleri genellikle üç seviyede organize edilir. Master Service Agreement (MSA), genel koşulları, ödeme şartlarını, gizlilik hükümlerini ve sorumluluk limitlerini tanımlar. İkinci seviyede, proje başına Statement of Work (SOW) belirtilen kapsamı, hedefleri, zaman çizelgesini ve başarı kriterlerini detaylandırır. Üçüncü seviyede, Schedule tabloları teknik özellikleri, fiyatlandırmayı, hizmet seviyeleri ve uyum gereksinimleri açıklar.

Türkiye'de yazılım dış kaynak sözleşmeleri Türk Ticaret Kanunu, Borçlar Kanunu, Kişisel Verilerin Korunması Kanunu (KVKK) ve endüstriyel mülkiyet yasalarına tabidir. Türk hukuku açısından, IP açıkça belirtilmediği sürece sağlayıcıya otomatik olarak transfer olmaz. KDV oranı uluslararası hizmetlerde değişebilir ve fatura sağlayıcı tarafından düzenlenir.

Fikri Mülkiyet Hakları Yönetimi

IP ownership, dış kaynak sözleşmesinin en kritik bölümüdür. Üç temel model bulunmaktadır.

İşlem İçi Model (Work-for-Hire)

Bu modelde, müşteri tarafından yapılan siparişin sonucu olan tüm yazılım, dokümantasyon ve türevleri müşteriye aittir. Sağlayıcı tüm haklardan feragat eder. Müşteri tam kontrol sahibi olur, sağlayıcı lock-in riski yoktur ve müşteri kodu geliştirebilir, satabilir veya başka sağlayıcıya geçebilir.

Dezavantajları ise sağlayıcının geliştirdikleri başka projeler için yeniden kullanamayışıdır. Sağlayıcıya, bileşenleri optimize etmek için yeterli teşvik yoktur ve başka müşterilerle kod paylaşımı yapılamaz.

Lisanslanan Model (Supplier Retains)

Bu modelde sağlayıcı yazılım sahibi kalır ve müşteri lisansla erişim alır. Sağlayıcı IP'sini korur ve başka müşterilerle yeniden kullanabilir. Ancak müşteri için vendor lock-in riski yüksektir, kodu değiştiremez ve escrow'daki kaynak koda sınırlı erişimi vardır.

Hibrit Model

Belirli iş mantığı müşteriye aitken, sağlayıcının genel kütüphaneleri lisanslı kalır. Bu model, müşteri kendi özel kodunu sahiplenir ve sağlayıcı R&D'sini yeniden kullanabilir. Dezavantajı ise sınırlı mülkiyet ve kütüphane lisans risklerini içermesidir.

IP Hükümleri Kontrol Listesi

Sözleşmede ownership tanımı açık olmalıdır. Özel kod, pre-existing bileşenler, açık kaynak veri, müşteri verileri ve sağlayıcı altyapısı karşılıklı olarak tanımlanmalıdır. Lisanslama hakları, yeniden kullanım izni, modifikasyon yetkisi ve ticari kullanım kapsamı belirtilmelidir. Garanti hükümleri, sağlayıcının kodu yazıp hak ihlali olmadığını taahhüt etmeli, açık kaynak lisanslarının uyumlu olduğunu doğrulamalıdır.

Transfer hükümleri, proje sonunda tüm depoları, dokümantasyonu ve kaynak kodlarını müşteriye devir etmeyi içermelidir. Gizlilik koşulları, sağlayıcı kodunun müşteri'nin korunması ve müşterinin sağlayıcı yöntemlerinin gizli kalması gerektiğini belirtmelidir. Açık kaynak uyumu, GPL bileşenleri açıkça tanımlanmalı ve sağlayıcı GPL isteklerini desteklemeli.

Smart Maple, müşteri tarafından geliştirilen tüm yazılımın mülkiyetini müşteriye devretir. Açık kaynak bileşenleri uyumludur ve müşteri değişiklik yapabilir. Sağlayıcı kütüphaneleri lisanslı verilir (ücretsiz). Smart Maple, yazılımının üçüncü parti patent veya telif hakkını ihlal etmeyeceğini garanti eder ve herhangi bir talep durumunda tamamen sorumludur.

Hizmet Seviyesi Anlaşmaları (SLA)

SLA, hizmet kalitesi beklentilerini tanımlar. Uptime hedefleri, genellikle yüzde olarak ifade edilir: 99.5% aylık 21.6 dakika, 99.9% 4.32 dakika, 99.99% ise sadece 26 saniye downtime anlamına gelir. Ölçüm, AWS CloudWatch ve Datadog gibi araçlarla otomatik olarak izlenir.

Response time'lar, sorunun aciliyetine göre değişir. Kritik sorunlar 15 dakika içinde cevap almalı ve 4 saat içinde çözülmelidir. Yüksek etki sorunları 1 saat içinde cevap ve 8 saat içinde çözüm gerektirir. Orta düzey sorunlar 4 saat ve 24 saat, düşük öncelikli sorunlar 8 saat ve 1 hafta içinde çözülmelidir.

Hata oranı, 1000 satır kod başına 1 ortalama hata veya daha azı içermelidir. Test kapsamı, otomatik testler %80 ve üzeri statement coverage'ı hedeflemelidir. Performans SLA, API response süresi 95. yüzdelikte 200ms altında, sayfa yükleme süresi 2 saniye altında olmalıdır.

Güvenlik ve uyum, OWASP Top 10, KVKK ve GDPR uyumluluğunu gerektirir. Yazılım aylık OWASP taraması almalı, yıllık penetration testing yapılmalı ve TLS 1.3 şifrelemesi kullanılmalıdır.

SLA ihlali durumunda kredi sistemi uygulanır. Hafif ihlaller %5 aylık fatura kredisine, ciddi ihlaller %10 kredisine neden olur. Maksimum kredi %50'dir. Müşteri 30 gün içinde kredi talebinde bulunmalı, kanıt sağlamalı ve etkisini belirtmelidir. Smart Maple 5 iş günü içinde doğrulama yapar. Anlaşmazlık durumunda tarafsız audit kullanılır.

Risk Yönetimi Hükümleri

Sorumluluk sınırlandırması, sigorta maliyetlerini kontrol etmek için gereklidir. Doğrudan hasar tipik olarak 3 aylık ücretle sınırlandırılırken, dolaylı hasar (kayıp gelir, iş kesintisi, reputasyon hasarı) tamamen muaftır. IP ihlali, gizlilik ihlali ve veri güvenliği ihlalleri sınırlandırma kapsamı dışındadır.

İndemnification, sağlayıcının yazılımın üçüncü parti fikri mülkiyet hakkını ihlal etmeyeceğini garanti ettiği tazminat mekanizmasıdır. İhlal iddiası durumunda sağlayıcı uyumlu yazılım sağlar, müşterinin savunmasını destekler ve tüm yasal harcamaları karşılar.

KVKK ve GDPR Uyumluluğu

Veri İşleme Anlaşması (DPA), sağlayıcının kişisel veri işleme sorumluluklarını tanımlar. Sağlayıcı, müşterinin yazılı talimatı olmaksızın veri işlemez. Çalışanlar gizlilik sözleşmesi imzalar ve yıllık KVKK eğitimi alır.

Veri güvenliği, TLS 1.3 transit şifrelemesi, AES-256 at-rest şifrelemesi, rol tabanlı erişim kontrolü ve MFA gerektirir. Yedekleme ve disaster recovery, 4 saatlik recovery time objective ve 1 saatlik recovery point objective hedefler. Alt işlemciler (AWS, Stripe, SendGrid) açıkça tanımlanmalı ve onaylanmalıdır.

Veri sahibi hakları, erişim, düzeltme, silme, taşınabilirlik ve işlem kısıtlaması içerir. Veri ihlali durumunda sağlayıcı 2 saat içinde müşteri'ye bildirir, 24 saat içinde yetkililere rapor eder ve forensics raporu hazırlar.

GDPR, daha katı cezalandırma (EUR 10-20M), tam silme hakkı ve veri etki değerlendirmesi gerektirir. KVKK, Türkiye'ye özgüdür ve ceza TL 100,000'e kadardır. Oplist gibi uluslararası hizmetler her iki yasaya da uymalıdır.

Çıkış Stratejileri

Fesih nedenleri, müşteri tarafından 30 günü aşan SLA ihlali, gizlilik ihlali veya IP hakları ihlali içerir. Sağlayıcı, 60 gün geçmiş faturası ödenmemesi durumunda fesih yapabilir. Uyarısız fesih 30 gün öncesinden bildirilmelidir.

Kolaylık fesih, her iki taraf tarafından yapılabilir. Müşteri herhangi zaman 30-60 gün öncesinden haber vererek feshedebilir. Sağlayıcı 6 ay sonra feshedebilir. Ceza yoktur, sadece yapılan iş ödenir.

Bilgi transferi, tüm kaynak kodları, dokümantasyonu (architecture, API, veritabanı şemaları), veri dumpları ve erişim kimlik bilgilerini içerir. Sağlayıcı 5 iş günü içinde acil transferi sağlar. Teknik bilgi aktarımı 8-16 saatlik oturumlardan oluşur.

Kaynak kodu escrow, sağlayıcı iflas durumunda tetiklenir. Üçüncü parti (Iron Mountain gibi) escrow ajanı, Smart Maple'ın çözülmesi veya iflas durumunda müşteriye otomatik olarak kaynak kodu serbest bırakır. Her sürüm release'de güncellemeler yapılır.

Uyuşmazlık Çözümü

Türk mahkemeleri yavaş olabilir (2-3 yıl) ve tercüme maliyetli iken, uluslararası tahkim daha hızlıdır (12-18 ay) ve gizlidir. ICC tahkimi, İngilizcede londra veya İstanbul'da yapılır ve Türk Ticaret Kanunu uygulanır. Tahkim kararı final ve bağlayıcıdır.

Escalation süreci, informel müzakere (Slack, 2 hafta), formal yazılı talep (30 gün), aracılık (60 gün) ve tahkim/mahkemeyi içerir. SLA ihlalleri tipik olarak 6 haftada çözülür. IP anlaşmazlıkları 18 ayla uzayabilir.

---

Smart Maple olarak, Türk Ticaret Kanunu ve KVKK uyumlu sözleşmeler sunmaktan ve müşteri IP'sini tam olarak korumaktan gurur duyuyoruz. Yazılım dış kaynak sözleşmeleriniz için danışmak istiyorsanız, Smart Maple'a ziyaret edin ve nasıl yardımcı olabileceğimizi öğrenin.