Fintechtime Haziran sayısı için hazırladığımız “Bir Fintek Nasıl Kurulur? Başarılı Fintek Mimarisinin Sırları” dosya konusu kapsamında Sipay CTO’su Onur Akçınar ile özel bir röportaj yaptık. 

“Bir Fintek Nasıl Kurulur? Fintek Mimarisi” dosya konusu kapsamında gerçekleştirdiğimiz bu röportajda, röportajda, Sipay CTO’su Onur Akçınar, bir fintekin teknoloji altyapısında modülerliğin, ölçeklenebilirliğin ve regülasyon uyumunun nasıl iç içe geçtiğini detaylarıyla paylaştı.
Finansal pazaryeri yaklaşımıyla hareket eden Sipay’in altyapısında, API-first ilkesinden multi-tenant SaaS mimarisine, yapay zekâdan blockchain’e kadar birçok katmanda entegre teknoloji stratejileri yer alıyor.
Akçınar, “her iş modelinin ve ürünün başarısı için kendi yöntemlerini ve çözümlerini geliştirmenin” önemine dikkat çekerken; ürün mimarisi, ekip yapılanması ve sürdürülebilir teknoloji stratejilerine dair içgörü dolu yorumlarda bulundu. Ayrıca, sıfır güven prensibiyle kurgulanan siber güvenlik altyapılarından global vizyona uzanan stratejik dönüşüm yolculuğunu da aktardı.”

 

Şirketinizin teknoloji vizyonu nedir? CTO olarak bu yolculukta nasıl bir rol üstlendiniz?

Sipay olarak teknoloji vizyonumuzu; finansal pazaryeri konumlanmamız doğrultusunda “sınırsız finansal teknolojiler” şeklinde belirtebilirim. Burada hem global anlamda sınır ötesi finansal işlemleri gerçekleştirebilen hem tek noktadan tüm finansal araçları sunan hem de yapay zekâ başta olmak üzere güncel teknolojik gelişmeleri adapte etme imkânlarına sınır koymayan bir yaklaşımımız var. Bu vizyon tüm teknoloji ekibimizde benimsenmiş ve bir kurum kültürü haline gelmiş durumda. Geliştirme döngümüzde ana prensipler; stabil, ölçeklenebilir ve güvenli altyapılar inşa etmek. Bu prensiplerimizden ödün vermemeye özen gösteriyoruz.

Sağladığımız ürün ve servisleri; API-first ve multi-tenant SaaS altyapılar ve bu altyapılara bağlı olarak bireysel ve kurumsal mobil ve web client uygulamalar olarak tanımlayabilirim. Bulunduğumuz sektör itibarıyla her gün gelişen teknolojik sıçramalara ve fintek dünyasında yeni iş modellerine adapte olmada sürekli değişimi ve gelişimi barındıran vizyonumuz bize rehberlik ediyor. Hem sürekli değişen teknoloji dünyasına hem de müşteri ve ürün ihtiyaçlarına adapte olacak şekilde stratejik dönüşümler gerçekleştiriyoruz.

CTO olarak kuruluş aşamasından bu yana bu vizyonun temel prensiplerini takip ederek ürün mimarisinden ekip kültürüne, regülasyonlardan bilgi güvenliği konularına kadar tüm aşamalarda aktif rol üstlendim ve devam ediyorum.

 

Kariyerinizde Sipay ile yollarınız nasıl kesişti?

Sipay ile yollarımızın kesişme süreci kurucumuz Nezih Sipahioğlu ile geçmiş iş hayatımdaki ortak projelerden tanışmamız ile başladı. Hem çalıştığım şirketlerde hem de kendi şirketimde endüstriyel otomasyon sistemleri, e-ticaret altyapıları, dijital pazarlama ve makine öğrenimi tabanlı sistemler ve buna bağlı finansal servisler gibi çok farklı alanlarda uzun yıllar çalıştım ve ekibimizle ürünler/projeler çıkardık. Kendisinin vizyoner bir girişimci olarak hayallerini gerçekleştirmek için çıktığı yolculukta yaptığımız sohbetlerde ortak paydada bu hedeflere doğru ilerlemek üzere aynı heyecanı paylaştığımızı gördükten sonra Sipay’in ilk zamanlarından itibaren aktif olarak çalışmaya başladım.

 

 

Fintek ürününüzün teknolojik omurgasını hangi tech stack oluşturuyor? Bu tercihler neye göre şekillendi?

Öncelikle kullanmayı hedeflediğimiz teknolojilerin neye hizmet ettiğini ve hangi problemleri çözdüğünü, çalışma prensibinin ne olduğunu detaylarıyla anlayıp, kullanmamızdaki riskleri ve getirileri ortaya koyuyoruz. Fayda maliyet dengesini dikkatlice değerlendiriyoruz. Bu sürecin sonrasında hangi aşamalarda kullanacağımıza doğru karar vermek ve yaptığımız işin detaylarına hâkim olmak bizim için çok önemli. Burada da ihtiyaca göre kendini ispatlamış, pratikleri ve kullanım alanları gelişmiş ve sürdürülebilir platformları değerlendirmeye alıyoruz. Ve tabii ekibimizin uzmanlık ve deneyim alanlarına göre tercihlerimizi de netleştiriyoruz.

Temel anlamda birçok teknolojiyi yerine göre kullanıyoruz ama başlıca bileşenlerden bahsetmem gerekirse finansal altyapılarımızda enterprise seviyedeki projelerde .Net ve PHP dillerinde, yapay zekâ çalışmalarımızda phyton/typescript ile uygulama geliştirme sağlıyoruz.

Mobil platformlarımızı iOS ve Android platformlarda Swift ve Java Kotlin ile native olarak geliştiriyoruz.

Web arayüzlerimizde ise Angular ve React.JS kullanıyoruz.

Veritabanı olarak OLTP katmanında MSSQL, MYSQL; DataWarehouse tarafında ise PostgreSQL kullanıyoruz. Redis ile distributed cache yönetimi, RabbitMQ ve Kafka ile yüksek trafik altında event yönetimini sağlıyoruz.

 

Altyapı inşasında sizi en çok zorlayan konu ne oldu? Bu süreci nasıl yönettiniz?

Sipay, “e-para” ve “ödeme hizmetleri” olmak üzere iki önemli lisansa sahip bir finansal teknoloji kuruluşu. Bu nedenle her iki lisanslamaya karşılık gelen ürünler olan kredi kartı tahsilat platformu PF ürünü ve MultiTenant-SaaS ürünümüz olan cüzdan altyapımızı regülasyonlara uyumlu ve sahada rekabetçi şekilde aynı anda geliştirmek ve canlıda koşmak zorlu bir konuydu. Bu zorluk yanı sıra Sipay’in özellikle genişleyen ihtiyaçlara yönelik altyapı geliştirmeleri de pandemi döneminde gerçekleşti. Bu dönemde hem pandemiden dolayı koşullar çok zorluydu hem de e-ticaret pazaryerlerinin agresif şekilde teknik kadro alımları sektörde ciddi bir kaynak sıkıntısına yol açtı.

Bu veya benzeri zorluklar her dönem yaşanabilir fakat iş modelini tam olarak anlayarak uygulamayı doğru bir modülerlikte modellemenin ve mimari tasarımı buna uygun oluşturmanın ürün geliştirme aşamasındaki en önemli noktalardan biri olduğunu düşünüyorum.

Ayrıca ekip üyelerinin verimli çalışabilmeleri için, bilgi birikimlerine ve yeteneklerine uygun rol ve sorumluluklar vermek gerekiyor. Bu noktada da doğru eşleştirmelerde bulunmaya ve sürekli gözlemlemeye özen göstererek süreci yönetmeye devam ettik.

Bunu takiben pragmatik mimari yaklaşımlarla çözümler uygulayıp, teknik olarak çözülmüş problemleri çözmek yerine iş modelinin gereğine uygun en hızlı, güvenli ve sürdürülebilir altyapıyı geliştirmeye odaklandık.

Şahsen yaklaşımım her iş modelinin ve ürünün başarısı için kendi yöntemlerimizi ve çözümlerimizi geliştirmek, kendi hareket tarzımızla ilerlemek olmuştur. Bunu da başardığımızı düşünüyorum.

 

Siber güvenlik stratejiniz nasıl bir yapı üzerine kurulu? Hangi standartlar ve sertifikalara öncelik verdiniz?

Özellikle son dönemdeki atılımlarımızdan dolayı dikkatleri üzerine çeken bir fintek olarak en önemli başlığımız siber güvenlik ve bilgi güvenliği. Hem içeride InfoSec ekibimiz üst düzey tecrübe ve yetkinliğe sahip arkadaşlarımızdan oluşuyor hem de aldığımız danışmanlık hizmetleri ve siber güvenlik iş birlikleriyle sistemlerimizi 7/24 izliyoruz.

Sipay olarak, siber güvenlik ile ilgili BGYS, altyapı, uygulama, dijital bilgi, kredi kartı, kişisel veri ve benzeri kritik bilgilerin güvenliği ve korunması konularında dünyada kendini ispatlamış ve PCI&DSS, NIST, ISO27001, KVKK, GDPR vb. standart haline dönüşmüş yaklaşımları esas alıyoruz. Bunların yanı sıra, Merkez Bankasının Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkındaki Tebliği bizim için yol gösterici bir kılavuz olarak öne çıkyıor. Nitekim, bu standartlara yakından uyuyoruz ve ilgili sertifikalara sahibiz.

Temel güvenlik felsefemiz “zero-trust” olarak tariflenen “sıfır güven” ve “maksimum izolasyon” yaklaşımıdır. Temel hedefimiz ise müşteri verilerimizi iç ve dış risklere karşı maksimum derecede korumaktır. Kurumsal ağımızda ve işlettiğimiz uygulamalar üzerinde katmanlı güvenlik tedbirleri uyguluyoruz.

Öte yandan, sektörde yeni bir yaklaşım olan API güvenliği ile ilgili çalışmalarımız devam ediyor. Bu teknik önlemlerle birlikte, son kullanıcıların bilgi güveliği farkındalığını artırma ve güvenli uygulama geliştirme eğitimleri ile çalışanlarımızın bilgi güvenliği konusunda her daim duyarlı olmalarını sağlıyoruz. Sipay olarak amacımız, sadece teknik önlemleri uygulamak değil, aynı anda insan hatasından kaynaklanabilecek risklerin de en aza indirgenmesidir.

 

Regülasyon uyumluluğunu teknolojiyle nasıl bütünleştirdiniz?

TCMB, MASAK regülasyonları, finansal hizmetler sunan teknoloji şirketleri için standartlar getirerek hem kullanıcılara hem kurumlara koruma kalkanı oluşturmak, veri ihlallerinin ve mali suçların önüne geçmek için belirlenmiştir. Bu standartlar, organizasyonel görev tanımları ve ayrılıklarından kullanıcının hangi kritik aşamalarda nasıl davranış sergileyeceğine, altyapının hangi standartlarda güvenlik ve izleme mekanizmalarına sahip olacağına net tarifler veriyor. Dolayısıyla biz regülasyonları tüm uygulama geliştirme yaşam döngüsü süreçlerimizde, yazılım ve altyapı mimari tasarım çalışmalarında ve organizasyon yapımızı büyütüp olgunlaştırma dönemlerinde bir rehber ve referans olarak kullanıyoruz. Bu da regülasyonlara uyum için ek efor sarfetmeden tüm süreçlerimizin yapı taşlarından biri olarak bütünleşik bir şekilde teknolojik çözümler üretmemizi sağlıyor.

 

Açık bankacılık, yapay zekâ ve blockchain teknolojileri ürününüzde yer alıyor mu? En büyük katkıları sizce ne oldu?

Açık bankacılık hizmetlerini canlı ortamda son kullanıcılara sunan ilk e-para kuruluşu olduğumuzu belirtmek isterim. Bireysel ve ticari müşterilerimizin tek noktadan tüm banka hesaplarına erişmeleri ve bu hesaplara transfer talimatı verebilmeleri, banking ve unbanking dünyayı birleştirip finansal teknolojiyi özgürce kullanıma sunabilmek adına çok önemli bir adım oldu. Özellikle ilk aşamada işletmelerin süreçlerini otomatize edip verimliliği artırıcı çözümler geliştirmekte çok faydalı oldu.

Blockchain’i ise daha çok alt yapımızda güvenlik adımlarının takibi ve kayıtlarımızın değişmezliğinin ispatı aşamalarında sistemlerimize entegre ediyoruz.

Yapay zekâ devrimini ise şöyle tarif ederek aktarmaya çalışıyorum; Önümüzdeki dönemde yapay zekâya ayrı başlık açmak, teknolojilerimizi ve ürünlerimizi üretirken, operasyonel verimliliğimiz artırırken, müşterilerimizin hem görüşme hem hareket verilerini analiz ederken, fraud ve aml kontrolleri yaparken veya finansal analizler ve raporlamalarımızı hazırlarken elektrikten ya da internetten yararlanıyoruz demek gibi anlamsız bir hal alacak. Yapay Zeka’yı bahsettiğim tüm aşamalarımıza entegre ediyoruz ve gizlilik gerektiren noktalarda on-prem çözümlerle ilerliyoruz. Tüm bu süreçte çok dikkatli bir şekilde yapay zekâ gizlilik ve kullanım kuralları oluşturmaya ve kurum kültürüne adapte etmeye odaklanmış durumdayız.

 

Entegrasyon süreçlerinde karşılaştığınız teknik ya da iş birliği odaklı zorluklar nelerdi?

Bildiğiniz üzere tahsilat ve cüzdan altyapılarımız ve buna bağlı ürünlerimiz arka planda onlarca banka, finansal kuruluş veya farklı alanlardaki partnerlere entegre olarak çalışıyor. Buradaki en büyük zorluk iş birliği noktasında gelir artırıcı doğru iş modelleri geliştirebilmesi ve bu iş modellerinin regülasyonlara uyumlu şekilde hayata geçirilmesidir.

Bu aşamadan sonrası tabii ki teknik konularda entegre olunan sistemlerdeki değişimlerin takibi, kesinti veya bakım zamanlarındaki hizmet kesintisi yaşanmamasının yönetiminin müşterileri doğru ve zamanında bilgilendirilmesi gibi konular zorlu süreçlerdir. Bu konulara odaklı canlı platformlardan sorumlu ekibimiz hizmet kalitemizi yukarıya çekmemizde bize her zaman katma değer sağlamaktadır.

 

Sistem dayanıklılığı mı kullanıcı deneyimi mi? Geliştirme sürecinde bu dengeyi nasıl kuruyorsunuz?

Sistem dayanıklı, stabil ve güvenli değilse veya kullanıcının hayatını kolaylaştırmıyorsa tercih edilebilmek mümkün değil, bu iki konu birbirinden ayrılmaz parçalar. Bu nedenle teknik tasarım ile kullanıcı deneyiminin tasarımı bizde iç içe geçmiş süreçlerdir. Bu dengeyi ürün bakış açısı gelişmiş ve kullanıcı deneyimini ön planda tutabilen, deneyimli teknoloji kadromuz sayesinde zorlanmadan sağlayabiliyoruz.

 

Ürününüzün sürdürülebilirliği için hangi teknoloji stratejilerini uyguluyorsunuz?

Uygulamalarımızda dijital slip gibi kâğıt tüketiminin önüne geçen özelliklere yer veriyoruz ve buna benzer sürdürülebilirliğe hizmet eden yeniliklere öncelik vermeye dikkat ediyoruz.

TR Karedkod, sanal kart, NFC ile temassız işlem gerçekleştirme gibi özellikler fiziksel kart üretimini, ödeme linki gibi çözümler ise hem fiziksel kart hem de donanım ihtiyacını ortadan kaldırdığı için sürdürülebilirlik adına önemli derecede hizmet eden özelliklerimizdir.

Bunların yansıra tüm servislerimizi geliştirirken minimum kaynak tüketimini hedefliyoruz. Örnek olarak şu anda kendi geliştirdiğimiz SiFAST sistemimizde ortalama 30tps fast transfer işlemini sadece 80MB kaynakla gerçekleştiriyoruz. 7/24 çalışan yoğun trafikli sistemlerimiz açısından kaynak ve enerji tüketimini minimumda tutarak aynı zamanda sürdürülebilirlik konusuna katkıda bulunmuş oluyoruz.

 

Global ölçekte ürün geliştirme vizyonunuz var mı? Varsa hangi pazarlara odaklanıyorsunuz?

Bildiğiniz üzere ciddi bir değerleme ile kapattığımız son yatırım turundaki başarımız Sipay’in artık önemli bir global oyuncu olma kararlılığının tescillenmesi anlamına geliyor. Halihazırda yurt dışı pazarlarda iş birliklerimiz devam ediyor. Önümüzdeki dönemde global anlamda daha aktif olmak için global partnerler ile iş birliği ve entegrasyon süreçlerimiz devam ediyor.

 

Şu anda teknoloji tarafında sizin için en önemli gündem maddesi nedir?

Sipay olarak özellikle son yatırım turumuzu tamamladıktan sonra global bir fintek şirketi olma yolunda yüksek hedeflere odaklandık. Bu sebeple altyapımızı, ekibimizi ve kalite standartlarımızı bu hedefe uygun şekilde kurguluyor, iş birlikleri ve yeni pazarlardaki iş modellerine uygun entegrasyonlarla altyapımızı zenginleştiriyoruz.

Diğer yandan verimlilik ve güvenlik odaklı olarak kontrollü bir şekilde tüm süreçlerimize yapay zekâyı adapte etmekle ilgili projelerimizi sürdürüyoruz. Bunun için hem public çözümler hem de gizlilik gerektiren alanlarda on-prem çözümler üzerine konsantre olduk. Ekibimizin ürün ve altyapı ihtiyaçlarını geliştirirken, Sipay Academy altında da yapay zekâ modellerini ve agentlarını doğru, verimli ve güvenli kullanmak için eğitimler ve workshoplar gerçekleştiriyoruz.

 

2025 yılı itibarıyla sizi en çok heyecanlandıran teknoloji trendi hangisi?

Kuşkusuz ki yapay zekâ, kuantum çipler!

Sipay’den önce dijital reklamcılık ve e-ticaret alanında, yapay zekânın temellerini oluşturan makine öğrenmesi üzerine sistemler geliştiren bir ekibimiz vardı. Tüm geliştirme ve veri işleme süreçlerinde aktif rol aldığım için bu konular beni her zaman heyecanlandırmıştır.

Artık insanların yapay zekâ agentlarına bağlamı tarif eden ve çıktının doğruluğunu denetleyen role geçtiği, agentların ise üretimi ve operasyonu üstlendiği, içerik ve bağlama sadık kalarak karar verip akışları ve fonksiyonları yönettiği günlerdeyiz. Bu trend şu anda tüm sosyal ve iş dünyamızı şekillendiriyor. Biz de bu dönüşüme adapte olmaya devam ediyoruz.

Paralelinde ise kuantum bilgisayarlar yapay zekâyı tamamlayıcı donanımsal bir devrim olarak hızla ilerliyor. Günümüzde birim zamanda belirli işlem kapasitesiyle tek bir sonucu hesaplayan bilgisayarlardan, aynı anda çok sayıda olasılığı değerlendiren ve en uygun sonucu tespit edebilen kuantum bilgisayarlara geçecek olmamız çok büyük bir gelişme. Önümüzdeki dönemde bu iki teknolojinin bütünleşip ortaya çıkaracağı yenilikleri heyecanla bekliyorum.

 

Fintek kurmak isteyen teknoloji liderlerine en önemli tavsiyeniz nedir?

Öncelikle teknoloji kökenli girişimciler teknolojileri ne kadar güncel ve sağlam olursa o kadar iyi sonuç alacağını düşünebilir. Fakat hedef kitlenin ihtiyaçlarına odaklanmak ve düşündükleri kullanım senaryolarının sahada bir problemi çözüp çözmediğini test edip, anlamak en önemli konudur. Teknolojik kusursuzluğa fazla odaklanmak pazara girmeyi geciktirebilir.

Diğer yandan techstack konusunda en iyi bildikleri ve kaynak erişimi yüksek olan yazılım dillerini ve bileşenleri tercih etmelerini, çözülmüş teknik problemleri yeniden keşfetmek yerine iş modeline uygun olarak iyi modellenmiş bir ürün mimarisi oluşturmaya odaklanmalarını öneririm.

Sürekli gelişen, kontrol altında olan, ölçeklenebilir ve regülasyona uyumlu bir altyapıya sahip olmak için geliştirme aşamalarında şu temel soruları sormak faydalı olacaktır:

Modüler mi? İzleyebiliyor muyum? Ölçebiliyor muyum? Ölçekleyebiliyor muyum? Güvenli mi?

 

 

Sizce erken aşama fintek CTO’larının en çok kaçındığı ama aslında yapması gereken şey nedir?

Erken dönemlerde ciddi bir zaman baskısından dolayı bir an önce ürünün sahaya sürülmesine odaklanıldığı için genelde mimari dokümantasyon hazırlanması, uçtan uca test senaryolarının oluşturulması ya da yazılım geliştirme metodolojilerin pratiklerinin uygulanması gibi noktalarda özen gösterilemeyebiliyor. Önemli bir diğer konu ise bireysel çaba ile sonuç almaya çalışmak, takım çalışması ve iş birliğinin oluşmasını engelleyebiliyor. Özetle; teknoloji geliştirme kültüründe eksiklerle ilerlenebiliyor.

Bu eksikler zaman içerisinde önce alışkanlığa sonra da kültüre dönüşüyor. Buna kesinlikle izin vermemelerini, ekip üyelerini özellikle de yöneticilerini üretmeye meraklı ve takım çalışmasına uygun kişilerden seçmelerini öneririm.

Teknolojinizi, bir arada çalışma ve üretme kültürü iyi bir ekiple defalarca değiştirebilirsiniz fakat kültür dönüşümünü hiçbir teknolojiyle gerçekleştiremezsiniz.

 

 

Sizin öğrendiğiniz, ama “keşke biri daha önce söyleseydi” dediğiniz kritik bir içgörü var mı?

Kritik içgörüm doğru bir teknoloji yapılanmasını ve diğer birimlerle akıcı bir koordinasyon sağlamak ile ilgili olabilir, şöyle ki: Ürünleriniz, takımlarınız ve organizasyon şemanız ne kadar doğru hizalanmış ise o kadar sürtünmesiz ve verimli bir şekilde büyüyebilirsiniz.