Kurumsal Hostingte SLA Sözleşmesi İncelerken Nelere Dikkat Etmeli?

Kurumsal hosting hizmeti satın alırken teknik özellikler kadar Hizmet Seviyesi Sözleşmesi, yani SLA da belirleyici bir unsurdur. Çünkü SLA, sağlayıcının hangi hizmet kalitesini hangi koşullarda sunacağını, kesinti yaşanırsa sorumluluğunun nerede başlayıp nerede biteceğini ve müşterinin hangi haklara sahip olduğunu yazılı hale getirir. Özellikle e-ticaret, ERP, CRM, kurumsal e-posta ve yüksek trafikli web uygulamalarında, birkaç saatlik erişim kaybı dahi gelir, itibar ve operasyon kaybına yol açabilir. Bu nedenle SLA metni yalnızca hukuki bir ek belge olarak değil, risk yönetimi aracı olarak değerlendirilmelidir. İnceleme sırasında sadece “yüzde 99,9 erişilebilirlik” gibi dikkat çekici ifadelere odaklanmak yerine, bu oranın nasıl ölçüldüğünü, hangi durumların kapsam dışı bırakıldığını ve telafi mekanizmasının ne kadar uygulanabilir olduğunu dikkatle kontrol etmek gerekir.

Erişilebilirlik taahhüdü ve ölçüm yöntemini doğru yorumlayın

SLA incelemesinde ilk bakılması gereken başlık, uptime yani erişilebilirlik taahhüdüdür. Ancak burada yalnızca oranı görmek yeterli değildir. Yüzde 99,9 ile yüzde 99,99 arasındaki fark, aylık bazda düşünüldüğünde ciddi kesinti süreleri yaratabilir. Daha da önemlisi, sağlayıcının bu erişilebilirliği aylık mı yıllık mı hesapladığı, ölçümün hangi sistemler üzerinden yapıldığı ve planlı bakım sürelerinin bu hesaba dahil edilip edilmediğidir. Bazı sözleşmelerde hizmet erişilebilir görünse bile uygulama katmanı, veritabanı bağlantısı veya yönetim paneli çalışmıyorsa bunun kesinti sayılmayacağı yönünde ifadeler yer alabilir. Bu da pratikte iş sürekliliğini olumsuz etkiler.

Kurumsal alıcı açısından doğru yaklaşım, “sitenin ping alması” ile “iş yükünün sağlıklı çalışması” arasındaki farkı netleştirmektir. E-posta, veritabanı, DNS, yedekleme erişimi ve güvenlik duvarı gibi bileşenlerin ayrı ayrı kapsama dahil edilip edilmediği sorulmalıdır. Ayrıca izleme noktasının tek lokasyonlu olması, bölgesel ağ sorunlarını görünmez kılabilir. Bu nedenle sağlayıcıya şu çerçevede sorular yöneltmek faydalıdır:

• Erişilebilirlik hangi servis bileşenleri için taahhüt ediliyor?
• Planlı bakım süresi ne kadar önce bildiriliyor ve toplam sınırı nedir?
• Ölçüm aylık mı, yıllık mı, hangi izleme araçlarıyla yapılıyor?
• Kısmi performans kayıpları kesinti olarak kabul ediliyor mu?

Bu başlıkta yapılacak en büyük hata, pazarlama sayfasındaki kısa vaatleri sözleşmedeki ayrıntılarla karşılaştırmamaktır. Kurumsal ekipler, özellikle kritik uygulamalar için kabul edilebilir maksimum kesinti süresini kendi içlerinde tanımlamalı ve sağlayıcının SLA’sını bu eşiklerle kıyaslamalıdır.

Kapsam dışı durumlar, destek yanıt süreleri ve olay yönetimi

İstisnalar ve sorumluluk sınırları

SLA metinlerinde en çok gözden kaçan bölüm, kapsam dışı bırakılan durumlardır. DDoS saldırıları, üçüncü taraf yazılım hataları, müşteri kaynaklı yanlış yapılandırmalar, kontrol paneli müdahaleleri veya işletim sistemi güncellemeleri bazı sağlayıcılarda tamamen müşterinin sorumluluğuna bırakılabilir. Bu noktada önemli olan, istisnaların makul olup olmadığıdır. Örneğin ağ güvenliği hizmeti ayrıca satılıyorsa, standart hosting paketinde saldırı kaynaklı kesintilerin tamamının kapsam dışı kalması ticari açıdan anlaşılabilir; ancak sağlayıcının omurga ağı arızası ile müşteri hatasının aynı sepete konması kabul edilebilir değildir. Sözleşmede “mücbir sebep” ve “üçüncü taraf kaynaklı kesinti” gibi geniş ifadeler varsa, bunların uygulamada nasıl yorumlandığını satış öncesi netleştirmek gerekir.

Yanıt süresi ile çözüm süresini karıştırmayın

Birçok kurum, 7/24 destek ibaresini yeterli güvence sanır; oysa asıl belirleyici olan, olayın ne kadar sürede ele alındığı ve ne kadar sürede çözüldüğüdür. SLA’da genellikle ilk yanıt süresi, müdahale süresi ve çözüm hedefi ayrı kavramlardır. Örneğin kritik seviyeli bir arızaya 15 dakika içinde yanıt verilmesi olumlu görünse de, kalıcı çözüm için herhangi bir süre taahhüdü yoksa operasyonel risk devam eder. Burada olay öncelik seviyelerinin nasıl tanımlandığı da önemlidir. Sağlayıcı ile kurumun “kritik arıza” tanımı farklıysa, beklenen hizmet seviyesi kağıt üzerinde kalabilir. Bu nedenle öncelik sınıfları, eskalasyon adımları, iletişim kanalları ve vardiya dışı saatlerde devreye giren ekip yapısı mutlaka incelenmelidir.

Pratikte satın alma ve BT ekiplerinin birlikte hareket etmesi gerekir. Sadece hukuki terminolojiye değil, operasyonel işleyişe de odaklanılmalıdır. İyi bir SLA, olay kaydı açma yöntemini, bilet numarası takibini, güncelleme sıklığını ve gerekirse üst seviye teknik ekibe yükseltme prosedürünü açıkça tarif eder. Belirsiz ifadeler, kriz anında en çok zaman kaybettiren unsurlardan biridir.

Tazminat modeli, veri koruma süreçleri ve sözleşme yönetimi

Kurumsal hostingte SLA ihlal edildiğinde sunulan telafi mekanizması çoğu zaman hizmet kredisi şeklindedir. Ancak bu kredinin oranı, hesaplama yöntemi ve talep prosedürü dikkatle incelenmelidir. Bazı sağlayıcılar kredi hakkını otomatik tanımaz; müşterinin belirli bir süre içinde yazılı başvuru yapmasını ister. Ayrıca verilen kredi yalnızca bir sonraki fatura döneminde geçerli olabilir ve doğrudan iş kaybını karşılamaz. Bu nedenle kritik iş yükleri için tek başına kredi oranına güvenmek yerine, yüksek erişilebilirlik mimarisi, yedekli yapı ve felaket kurtarma planı gibi önlemlerle riski azaltmak daha gerçekçidir.

Veri yedekleme ve geri yükleme süreçleri de SLA ile birlikte değerlendirilmelidir. Yedeklerin ne sıklıkta alındığı, kaç kopya saklandığı, farklı lokasyonda tutulup tutulmadığı ve geri dönüş testlerinin yapılıp yapılmadığı sorulmalıdır. Sadece “günlük yedek” ifadesi yeterli değildir; yedekten dönüş süresi, veri kaybı toleransı ve geri yükleme talebinin destek kapsamına dahil olup olmadığı net olmalıdır. Ayrıca sözleşme yenileme, fesih ve veri çıkış süreçleri de önem taşır. Hizmet sonlandırıldığında verilerin hangi formatta teslim edileceği, silme prosedürü ve geçiş süresince sağlanacak destek yazılı olarak tanımlanmalıdır.

Sonuç olarak, kurumsal hostingte iyi bir SLA incelemesi yalnızca hukuki uygunluk kontrolü değildir; operasyon sürekliliği, veri güvenliği ve mali risk yönetiminin ayrılmaz parçasıdır. Kurumlar, satın alma kararından önce teknik ekip, hukuk birimi ve iş sahiplerini aynı masada buluşturmalı; erişilebilirlik, destek, istisnalar, telafi ve veri yönetimi başlıklarını somut senaryolar üzerinden değerlendirmelidir. Sözleşme ne kadar açık, ölçülebilir ve uygulanabilir ise kriz anında o kadar az belirsizlik yaşanır ve hizmet sağlayıcıdan beklenen performans daha sağlıklı yönetilir.