Güven Merkezi

Güvenlik, Gizlilik ve Uyumluluk

AYSTEK çözümleri; kişisel veri, konum bilgisi ve ödeme verisiyle temas eden alanlarda güvenlik ve uyumluluk ilkelerini tasarımın merkezine alır.

KVKK Yaklaşımı

  • Veri sorumlusu sıfatı ve ilgili kişi haklarına ilişkin bilgilendirme
  • İşleme amaçları ve hukuki dayanaklar
  • Veri kategorilerine göre saklama süreleri
  • Üçüncü taraf aktarım ve alıcı grupları
  • Başvuru ve hak kullanım kanalları

Aydınlatma metni, gizlilik politikası ve çerez aydınlatması ayrı belgeler olarak yayımlanır.

GDPR Prensipleri

  • Hukuka uygunluk, şeffaflık ve adil işleme
  • Amaç sınırlaması ve veri minimizasyonu
  • Doğruluk ve saklama sınırlaması
  • Bütünlük, gizlilik ve hesap verebilirlik
  • İlgili kişi hakları (erişim, silme, itiraz)

AB ziyaretçileri kapsandığında veya davranışsal izleme kullanıldığında geçerlidir.

Ödeme Güvenliği

  • Ödeme altyapısı PCI DSS uyumlu sağlayıcılarla entegre edilir
  • Kart verisi AYSTEK sistemlerinde saklanmaz; tokenizasyon tercih edilir
  • Ödeme akışları HTTPS/TLS ile şifrelenir
  • 6493 sayılı Kanun çerçevesinde hizmet rolü netleştirilir

"PCI Compliant" iddiası yalnızca ilgili sertifika / kapsam belgesiyle birlikte kullanılabilir.

Teknik Güvenlik

  • OWASP Top 10 risk sınıfları entegrasyon ve geliştirme kontrol listesinde
  • Kimlik doğrulama: OAuth 2.0 + JWT; kısa ömürlü token ve refresh döngüsü
  • Yetkilendirme: RBAC; her endpoint tenant izolasyonu kontrolüyle korunur
  • Giriş doğrulama ve enjeksiyon önleme; tüm API boundary'lerinde
  • Content Security Policy (CSP) ile XSS riskleri azaltılır

Güvenlik açılımı (penetration testi) talepleri proje bazında değerlendirilir.

Veri İzolasyonu

  • Multi-tenant mimaride her kurumun verisi tenant_id ile izole edilir
  • Kiracılar arası veri sızıntısına karşı middleware katmanı her sorguda aktif
  • Soft-delete mekanizması; veriler yanlışlıkla kalıcı silinmez
  • Saklama süresi politikaları tenant düzeyinde yapılandırılabilir

Kullanıcı Gizliliği

  • Gereksinim dışı kişisel veri toplanmaz (veri minimizasyonu)
  • Analitik ve izleme araçları için explicit onay akışı
  • Profil verisi talep üzerine dışa aktarılabilir (taşınabilirlik)
  • Hesap silme ve veri anonimleştirme işlemleri desteklenir

Referans Düzenleyici Kaynaklar

KVKK — Kişisel Verileri Koruma Kurumu PCI DSS — PCI Security Standards Council GDPR — EUR-Lex

Sık Sorulan Sorular

AYSTEK, ödeme kurumu olarak mı hizmet veriyor?

Hayır. AYSTEK; ödeme altyapısını lisanslı PSP/ödeme kuruluşuyla entegre eden yazılım tedarikçisidir. 6493 sayılı Kanun kapsamındaki yükümlülükler entegre olunan sağlayıcıdadır.

Müşteri verileri AYSTEK sunucularında mı kalmaktadır?

AYSTEK Core self-hosted veya cloud modelde çalışabilir. Veri yerleşimi (data residency) kurumun tercihine göre yapılandırılır. Cloud modelinde hosting bölgesi anlaşmayla belirlenir.

Penetrasyon testi veya güvenlik denetimi yaptırılabilir mi?

Evet. Kurumsal müşteriler için bağımsız güvenlik denetimi ve penetrasyon testi kapsamı proje bazında değerlendirilir.

KVKK kapsamında "veri işleyen" mi yoksa "veri sorumlusu" mu sayılırsınız?

Bu ayrım; sözleşme yapısı ve işleme faaliyetlerinin fiili sorumlusuna göre değişir. Hukuki değerlendirme, her proje kapsamında ayrıca yapılmalıdır.

Güvenlik veya Uyumluluk Soruları

Güvenlik mimarisi, veri işleme veya uyumluluk konularında teknik ekibimize ulaşın.