Giriş: Neden bu 12 soru hayati?
Bir etkinlik platformu seçmek veya mevcut platformu ölçeklendirmek, yalnızca özellik listesi okumaktan daha fazlasını gerektirir. CTO seviyesindeki karar vericinin vereceği cevaplar, teknik mimariden operasyonel sürdürülebilirliğe, yerel regülasyonlardan katılımcı güvenine kadar pek çok kritik riski açığa çıkarır. Bu yazıda, offline çalışabilme, yerel ödeme yöntemleri ve katılımcı güveni ekseninde CTO'ya yöneltebileceğiniz 12 kesin soruyu, her sorunun neden önemli olduğunu, beklenen cevapları ve uyarı işaretlerini uzman gözüyle açıklıyorum.
12 Kesin Soru ve Beklenen Cevaplar
1) Offline-first, çevrimdışı senkronizasyon stratejiniz nedir?
Neden önemli: Etkinlikler çoğu zaman zayıf veya yoğun ağ koşullarında gerçekleşir. Kayıt, bilet gösterimi, atölye içi not alma gibi iş akışlarının çevrimdışı çalışması gerekir.
Beklenen cevap: PWA (Service Worker), mobil uygulamada lokal veri tabanı (IndexedDB/SQLite), arka plan sync (SyncManager veya benzeri), idempotent API tasarımı, çakışma çözümü için CRDT veya OT yaklaşımları ve kuyruklanmış işlemlerle güvenli retry mekanizması.
Uyarı işaretleri: Sadece "uygulama çalışırsa veri gönderir" gibi yüzeysel yanıtlar; offline durumları test eden bir QA stratejisinin olmaması.
2) Veri senkronizasyonu sırasında çatışma (conflict) nasıl çözülür?
Neden önemli: Çok kullanıcılı düzenlemeler ve offline-then-online senaryoları, tutarsızlığa yol açabilir.
Beklenen cevap: Zaman damgası + operasyon tabanlı (OT) veya durum tabanlı (CRDT) çözümler; manuel onay gerektiren kritik alanlar için merge politikaları; kullanıcıya bilgi veren UI ve detaylı audit log.
Uyarı işareti: Varsayılan olarak en son yazanın kazanması (last-write-wins) yaklaşımını eleştirmeden kabul etmek.
3) Yerel ödeme sağlayıcılarını nasıl yönetiyorsunuz? Çoklu gateway / fallbacks var mı?
Neden önemli: Yerel ödeme yöntemleri, başarının anahtarıdır. Her pazarda farklı PSP/akredite sağlayıcı gereklidir.
Beklenen cevap: Çoklu PSP entegrasyonu (ör: global ve lokal yollar), dinamik ödeme yönlendirme, yerel yöntemler (banka transferi, mobil cüzdan, BLIK, QR), döviz dönüşümü, ücret ve komisyon yönetimi, lokal vergi ve fatura desteği, offline ödeme opsiyonları (QR, voucher) ve reconciliation süreçleri.
Uyarı işareti: Sadece tek bir global sağlayıcıya bağımlılık veya yerel ödeme taleplerine kapalı mimari.
4) Ödeme güvenliği ve uyumluluk (PCI-DSS, 3DS2, SCA) nasıl sağlanıyor?
Neden önemli: Ödeme verileri ihlali hem yasal hem itibar maliyeti getirir.
Beklenen cevap: Kart verilerini saklamama (tokenizasyon), PCI-DSS uyumluluğu (SAQ tipi belirtilmeli), 3DS2/SCA entegrasyonu, webhook güvenliği ve idempotent ödeme işlemleri, düzenli güvenlik testleri ve üçüncü taraf denetimleri.
Uyarı işareti: "Biz sorumluluğu PSP'ye bırakıyoruz" dışında somut politika ve kanıt sunamamak.
5) Offline ödemeler veya bağlantı kesintisinde ödeme hatalarını nasıl ele alıyorsunuz?
Neden önemli: Ağ sorunları sırasında ödemelerin hatalı veya çift işlenmesi katılımcıları rahatsız eder.
Beklenen cevap: Ödeme işlemlerine idempotency key, retry mantığı, işlem kuyrukları, reconciliation raporları, manuel müdahale aracı ve kullanıcılara görünür işlem durumu sunma.
Uyarı işareti: Çift çekimlere karşı plan yok veya manuel düzeltme süreçlerinin yavaş olması.
6) Katılımcı kimlik doğrulama ve yetkilendirme nasıl sağlanıyor?
Neden önemli: Etkinlik içi kaynaklara ve kişisel verilere erişim kontrolü esastır.
Beklenen cevap: SSO (SAML/OAuth/OpenID Connect) desteği, MFA opsiyonları, rol tabanlı erişim kontrolü (RBAC), geçici erişim token'ları, session yönetimi ve oturum iptal yetenekleri.
Uyarı işareti: Zayıf parola politikaları veya oturum zaman aşımı yönetim eksikliği.
7) Katılımcı verileri nasıl şifreleniyor, hangi veri lokalizasyon politikalarınız var?
Neden önemli: GDPR, KVKK ve yerel regülasyonlar veri depolama ve transferini kısıtlayabilir.
Beklenen cevap: TLS 1.2+/in-transit şifreleme, AES-256 at-rest şifreleme, veri bölümlendirme, veri maskeleme, log redaction, bölgesel veri merkezleri veya veri yerelleştirme seçenekleri, veri silme ve anonimleştirme akışları.
Uyarı işareti: Veri akış haritası verememek veya hangi verilerin nerede tutulduğunu belirsiz bırakmak.
8) İçerik doğrulama ve kötüye kullanım (abuse/fraud) tespiti nasıl yapılıyor?
Neden önemli: Etkinlikler spam, sahte kayıt veya dolandırıcılık hedefi olabilir.
Beklenen cevap: Davranış analitiği, risk tabanlı doğrulama, e-posta/telefon doğrulama, otomatik fraud kuralları ve manuel inceleme süreçleri, webhook ve alert entegrasyonları, kimlik doğrulama seviyeleri.
Uyarı işareti: Sahte hesap ve dolandırıcılık olaylarına reaktif yaklaşım, otomasyon yokluğu.
9) İzleme, gözlemlenebilirlik ve SLA/uptime taahhütleri nelerdir?
Neden önemli: Gerçek zamanlı olaylarda performans ve erişilebilirlik doğrudan iş başarısını etkiler.
Beklenen cevap: SLI/SLO tanımları, metri̇kler (latency, error rate, success rate), merkezi loglama (ELK/EFK), tracing (OpenTelemetry), uptime SLA, izinsiz deploy koruması, canary veya blue-green dağıtımları, katastrofik kurtarma planı (RTO/RPO).
Uyarı işareti: İzleme yok veya sadece temel uptime raporları sunmak.
10) Olağanüstü durum planı (disaster recovery) ve offline etkinliklerde operasyonel destek nasıl sağlanıyor?
Neden önemli: Bir kesinti sırasında sahada hızlı müdahale gereklidir.
Beklenen cevap: İkinci lokasyon/region yedekleme, DB replikasyonu, otomatik failover, görev listeleri, 24/7 on-call desteği, sahada kullanılabilecek bir 'kurtarma kit'i (ör: lokal POS, voucher basımı, QR yedekleri).
Uyarı işareti: Yedekleme stratejisinin belirsiz veya test edilmemiş olması.
11) Hizmetinizin ölçeklenebilirliği nasıl test ediliyor? Pik etkinlikler için hangi planlar var?
Neden önemli: Bilet satışında veya canlı yayın sırasında ani trafik artışları olabilir.
Beklenen cevap: Yük testleri, performans profili, autoscaling stratejileri, CDN kullanımı, stateful-service tasarımlarının ölçeklenmesi, kuyruk ve rate-limiting politikaları, önbellekleme stratejileri.
Uyarı işareti: Ölçeklenebilirlik testlerinin sadece geliştirme ortamında yapılması veya belgesiz süreçler.
12) Katılımcı güvenini artırmak için hangi şeffaflık ve kullanıcı deneyimi önlemleri var?
Neden önemli: Güven yoksa kullanıcı bağlılığı zayıflar, iade ve kötü yorum riski artar.
Beklenen cevap: Açık gizlilik politikası, veri işleme açıklamaları, etkinlik içinde güvenlik uyarıları, kayıt/ödeme onayları, anında destek kanalları, kolay iade ve itiraz süreçleri, katılımcı eğitim materyalleri ve güvenlik bildirimleri.
Uyarı işareti: Gizlilik politikalarının karmaşık ve erişilemez olması ya da destek cevap sürelerinin belirsiz olması.
Teknik ve Operasyonel İpuçları: Ne sorulmalı, ne talep edilmeli?
- Canlı demolar ve post-mortem: CTO'dan önce benzer ölçekli bir etkinlikte yapılan canlı demo ve sonrası post-mortem isteyin.
- Test verileri ve erişim: Sandbox erişimi, test kartları ve test senaryoları talep edin.
- Uygulama seviyesinde offline testleri: Ağ gecikmesi, paket kaybı ve offline senaryolarını içeren QA raporları isteyin.
- Sözleşme ve SLA detayları: Kesinti halinde tazminat ve destek seviyelerini netleştirin.
- Uyumluluk belgeleri: PCI, SOC2, ISO belgeleri veya uyumluluk yol haritası talep edin.
Sonuç: Soruların ardındaki amaç
Bu 12 soru, sadece teknik yeteneği değil; operasyonel olgunluğu, regülasyon farkındalığını, kullanıcı odaklılığı ve kriz yönetimini de ölçer. CTO'nun verdiği cevaplar size platformun gerçek dünyada nasıl performans göstereceği, hangi sınırları olduğu ve hangi riskleri devre dışı bırakamayacağınız konusunda net bir perspektif verir. Görüşme sırasında somut örnekler, geçmiş olaylara dayalı uygulamalar ve erişilebilir test ortamı talep etmekten çekinmeyin.
Unutmayın: Mükemmel teknik altyapı önemlidir; fakat güçlü süreçler, şeffaflık ve yerel pazar bilgisi bir etkinlik platformunu başarılı kılan eşik değerlerdir.
