3 Mayıs 2026 · 11 dk okuma
İstanbul'da Yazılım Firması: CTO ve CIO için Tedarikçi Seçim Rehberi 2026
Makrops Mühendislik Ekibi
Yazılım, 3D ve yapay zeka mühendisliği · İstanbul / Berlin / New York
İstanbul'da yazılım firması seçmek, CTO ve CIO için yıllık en yüksek riskli üç karardan biridir. Yanlış firma; gecikmiş takvim + iki katı bütçe + tekrar yazılma maliyeti olarak geri döner. Bu rehber, tedarikçi seçim sürecini 2026 standartlarında kurumsal alıcı gözüyle dakikalık adımlara böler.
1. Karar haritası: tedarikçi tipini önce belirleyin
Aynı projeyi 3 farklı tipte tedarikçiye verseniz 3 farklı sonuç alırsınız:
- In-house ekip kurmak: kontrol +, hız −, sabit maliyet ağır. 2 yıllık net maliyet/kafa: ~$80-120K (TR senior).
- Dedicated team (body shopping): kontrol +, esneklik orta, IP sorunlu olabilir. Saatlik $35-60.
- Project-based stüdyo (turnkey): kontrol −, hız +, sonuç odaklı. Sabit fiyat veya milestone.
- Hybrid (in-house core + studio scale-out): dengeli; kurumsal CIO'ların 2026'da en çok seçtiği model.
2. RFP'yi kötü yazmak: %70 alıcının hatası
Tipik kötü RFP: 8 sayfa şirket profili, 2 paragraf "ihtiyacımız" ifadesi, ekteki Excel'de 240 satır iş paketi. Sonuç: 9 firmadan 9 farklı yorum, kıyaslanamaz teklifler.
İyi RFP 6 sayfadır:
1. İş hedefi (1 sayfa): ne ölçeceksiniz? (ör. "kullanıcı dönüşümünü %3'ten %6'ya çıkarmak") 2. Mevcut sistem ve veri yapısı (1 sayfa): stack, ölçek, entegrasyon noktaları. 3. Beklenen kapsam (1 sayfa): zorunlu vs. nice-to-have. 4. Teknik kısıtlar (1 sayfa): bulut tercihi, güvenlik (KVKK, ISO), uyumluluk. 5. Ticari (1 sayfa): model (T&M / fixed / dedicated), bütçe bandı (gizleme — gerçek değer çıkmaz), zaman çizelgesi, garanti. 6. Cevap formatı (1 sayfa): maks. 12 sayfa cevap, sabit başlıklar, fiyat tek tablo.
Sabit format, kıyaslanabilir cevaplar üretir. RFP'nin amacı, kararın objektif olabilmesidir.
3. Teknik mülakat: hangi soruları sormalı?
İstanbul'da deneyimli firmalar, satış sunumunda mükemmel görünür. Ayırıcı şudur: tech lead'leri 90 dakika konuşturduğunuzda derinlik var mı?
İyi sorular:
- Mimari trade-off'lar: "Aynı problemi 3 farklı yolla çözseydiniz, hangisini seçer ve neden?"
- Production failure hikayesi: "Son 12 ayda yaşadığınız en büyük production incident neydi? Postmortem'i paylaşabilir misiniz?"
- Code review felsefesi: "Junior bir devin PR'ında 'küçük' bir tasarım hatasını gördünüz. Ne yaparsınız?"
- Performans: "Bu modül için P99 latency hedefiniz nedir? Nasıl ölçeceksiniz?"
- Veri: "Multi-tenant DB modelinizi nasıl izole ediyorsunuz? Tenant başına yedek alıyor musunuz?"
- Güvenlik: "OWASP Top 10'dan hangisini en sık ihlal görüyorsunuz? Engelleme stratejiniz?"
- AB Pazar: "GDPR + AB AI Act 2025 uyumlu bir mimariyi anlatın."
4. Due diligence: 14 gün, 7 doğrulama
Final shortlist'iniz oluştuğunda, sözleşme öncesi 14 günlük due diligence:
1. Ticaret sicil + KAP / TR şirket bilgisi: ortaklık yapısı, ödenmiş sermaye, son 3 yıl bilanço (varsa). 2. KVKK Veri Sorumluları Sicili (VERBİS) kaydı: yoksa anında risk. 3. ISO 27001 / 9001 belgeleri: TÜRKAK akreditasyonlu mu? Belge sahteliğine karşı belgelendirme firmasını arayın. 4. Çalışan doğrulaması: LinkedIn'deki çalışan sayısı + SGK çalışan sayısı (KVKK izniyle paylaşması istenir). 5. Müşteri referansı: firmanın verdiği listenin dışından 2 müşteri bulun (LinkedIn alumni). 6. Hukuki uyuşmazlık taraması: UYAP üzerinden açık dava sorgusu. 7. Finansal sürdürülebilirlik: son 3 yılda 30+ çalışan kaybı varsa veya ofis 2 yılda 3 kez taşınmışsa kırmızı.
Bu 7 adım, "ofiste güzel görünen" firmayı sözleşme öncesi sahaya çevirir.
5. KPI ve raporlama yapısı
İstanbul'da en sık görülen problem: kurumsal alıcı, projenin sağlığını firmanın gönderdiği rapora bağlar. Yanlış. Kendiniz ölçün:
| KPI | Hedef | Ölçüm aracı |
| --- | --- | --- |
| Sprint velocity stabilitesi | Son 5 sprint ±%15 | Jira / Linear export |
| Code review süresi (PR open → merge) | Median <24 saat | GitHub Insights |
| Bug escape rate | <%10 (bulunan bug'ların QA dışında olanı) | QA dashboard |
| MTTR (production) | <2 saat | Sentry/Datadog |
| Deployment frequency | Haftada 2+ | CI/CD log |
| Test coverage trendi | %70+, düşmüyor | Codecov |
| Teknik borç ölçümü | SonarQube debt ratio <%5 | SonarQube |
6. Sözleşme yapısı: 11 kritik madde
İstanbul'da yapılan kurumsal yazılım sözleşmelerinin %60'ı, alıcı aleyhine asimetriktir. Mutlaka:
1. Kapsam değişiklik prosedürü: her change request yazılı, fiyat-süre etkisi 5 iş gününde döner. 2. Source code & altyapı sahipliği: repo size ait, günlük push. 3. IP & geliştirilen kod hakları: custom kod tamamen alıcının; OSS lisansları ayrıştırılır. 4. SLA ve maddi ceza: uptime, response, MTTR ihlalinde aylık ücretin %5-15'i. 5. Garanti süresi: prod sonrası 6-12 ay bug fix ücretsiz, kapsam yazılı. 6. KVKK / DPA: Veri İşleyen Sözleşmesi, alt veri işleyen listesi, sınır ötesi aktarım iznleri. 7. Anahtar personel maddesi: tech lead 12 ay içinde değişirse müşteri onayı + replacement süreci. 8. Bilgi devri: proje bitiminde 5-10 günlük yazılı handover, video walkthrough, runbook. 9. Audit hakkı: alıcı, 30 gün önceden bildirimle yıllık 1 kez kod ve süreç audit'i yapabilir. 10. Sigorta: profesyonel mesuliyet (E&O) min. 1M USD. 11. Çıkış senaryosu: sözleşme erken sonlanırsa devir koşulları + 30 günlük transition.
Bu 11 madde, projenin kötü gün senaryosunu yönetir.
7. Risk yönetimi: 6 senaryo, 6 plan
Her CTO/CIO, projenin 6 risk senaryosuna yazılı planı olmalı:
1. Tech lead ayrılırsa: anahtar personel maddesi + bilgi devri yedek planı. 2. Firma iflas ederse: kaynak kod escrow servisi (Türkiye'de yaygın değil; AB hizmet sağlayıcısı kullanın). 3. Veri sızıntısı olursa: olay müdahale ekibi (firma + alıcı), 72 saat KVKK bildirimi. 4. Production'da kritik bug çıkarsa: SLA + on-call rotasyon + iletişim kanalı netleşmiş. 5. Bütçe %30 aşılırsa: yeniden kapsama oturumu, yarım-yapım modülü canlıya alma kriteri. 6. Sektörel düzenleme değişirse (KVKK/AI Act/BDDK): sözleşmede uyum güncellemesi maddesi.
8. İstanbul-özel ipuçları
- Kadıköy hattı (Acıbadem-Kozyatağı-Ataşehir): B2B SaaS ve mobil ürün için en güçlü stüdyo yoğunluğu.
- Levent / Maslak: holding entegratörleri; bankacılık core, sigorta için.
- Beşiktaş / Şişli: dijital ajans-yazılım hibritleri; pazarlama teknolojileri için.
- İTÜ ARI / Yıldız Teknopark: AI, görüntü işleme, simülasyon AR-GE.
- Beylikdüzü / Kağıthane: outsourcing kapasite, fiyat avantajı.
9. Karar sonrası: ilk 90 gün playbook
Tedarikçi seçimi yapıldı. Şimdi ilk 90 gün playbook:
- 0. hafta: kick-off, RACI matrisi, iletişim kanalları (Slack/Teams), Jira/Linear erişimi.
- 1-2. hafta: discovery + arşivlenmiş tech specs.
- 3-4. hafta: ilk sprint, vertical slice (1 küçük feature uçtan uca).
- 5-8. hafta: hız + kalite kalibrasyonu, KPI dashboard'u canlı.
- 9-12. hafta: ilk milestone teslim, retrospektif, sözleşme küçük revize (gerekirse).
10. CTO/CIO check-list (PDF basın)
- [ ] Tedarikçi tipi (in-house/dedicated/turnkey/hybrid) belirlendi.
- [ ] 6 sayfalık RFP yazıldı.
- [ ] 5+ firmaya gönderildi, formatlı cevap geldi.
- [ ] 90 dakikalık teknik mülakat yapıldı.
- [ ] 7 maddelik due diligence tamamlandı.
- [ ] 7 KPI dashboard'u kuruldu.
- [ ] 11 maddelik sözleşme imzalandı.
- [ ] 6 risk senaryosu için yazılı plan var.
- [ ] İlk 90 gün playbook'u onaylandı.
*Makrops, kurumsal alıcılarla T&M, dedicated team ve turnkey modellerinde çalışan bir İstanbul stüdyosudur. RFP cevabı, teknik mülakat, ISO 27001 + KVKK uyumlu sözleşme şablonu ile iletişim.*