KURUMSAL EKLENTİ

Veri İşleme Sözleşmesi

DPA — Data Processing Agreement. Kurumsal müşterinin "veri sorumlusu", Guardian'ın "veri işleyen" sıfatıyla yükümlülüklerini düzenler.

Yürürlük: 03.05.2026 · Versiyon 1.0

Bu DPA, KVKK m.12 ve Aydınlatma Yükümlülüğüne dair Tebliğ ile uyumludur. Kurumsal SaaS ve On-Prem müşterileri için varsayılan olarak geçerlidir; talep halinde imzalı PDF nüshası verilir.

1. Taraflar

Veri Sorumlusu (Müşteri): Guardian'a verilerini işletmesi için talimat veren tüzel kişi.
Veri İşleyen (Guardian / AltaySec): Müşterinin talimatları doğrultusunda kişisel veriyi işleyen taraf.

2. İşleme Konusu, Süresi, Niteliği

Unsur	İçerik
Konu	Müşterinin LLM'e yönlendirdiği prompt/yanıt trafiğinin güvenlik taraması, KVKK kapsamı veriler için maskeleme.
Süre	Hizmet sözleşmesi süresince + sona erme sonrası 30 gün.
Nitelik	Otomatik regex ve algoritma kontrolüyle taranmış veri akışı; içerik kalıcı saklanmaz.
Amaç	Prompt injection tespiti, KVKK uyum, secret leak önleme.
Veri Türleri	Müşterinin son kullanıcı prompt'larında bulunabilen TC, IBAN, IBAN, telefon, e-posta, KVKK m.6 verileri vb.
İlgili Kişi Kategorileri	Müşterinin son kullanıcıları (B2B müşterilerinin müşterileri).

3. Veri İşleyenin Yükümlülükleri

Guardian (veri işleyen sıfatıyla) şunları taahhüt eder:

Müşterinin yazılı talimatları (panelden seçim, sözleşme, e-posta) dışında kişisel veri işlememek.
Veriyi gizli tutma yükümlülüğü olan personel ile çalışmak.
Teknik ve idari güvenlik tedbirlerini almak (Bölüm 5).
İlgili kişi başvurularına müşterinin yardımcı olmasına teknik destek vermek.
Veri ihlalini öğrendikten sonra en geç 24 saat içinde müşteriyi bilgilendirmek (KVKK m.12/5).
Hizmetin sonunda kişisel verileri silme veya iade etme.
Müşterinin kabul ettiği alt-işleyenler dışında üçüncü tarafa veri aktarmamak.
Müşterinin uygun ön bildirimle yapacağı denetimlere izin vermek (yılda en fazla 1 kez).

4. Alt-İşleyenler

Alt-İşleyen	Görev	Konum
VPS sağlayıcı	Sunucu barındırma	Türkiye
Cloudflare	DDoS koruma, CDN sonlandırma	Yurt dışı (proxy katmanı)
e-Fatura entegratörü	Yasal fatura kesimi	Türkiye
Yedekleme sağlayıcı	Off-site DB yedek	Türkiye

Yeni alt-işleyen eklenmesi durumunda müşteri en az 30 gün önceden bilgilendirilir; itiraz halinde sözleşme sonlandırılabilir.

5. Teknik ve İdari Güvenlik Tedbirleri

5.1 Teknik Tedbirler

Tüm trafik için TLS 1.3 şifrelemesi.
Veritabanı erişim kontrolü ve ağ izolasyonu.
Müşteri parolaları sha256_crypt / bcrypt ile hash'lenir.
API anahtarları SHA-256 ile hash'lenir; ham hali yalnızca oluşturma anında müşteriye gösterilir.
Erişim logları en az 90 gün süreyle saklanır.
Günlük otomatik PostgreSQL yedeği, 14 gün retention.
OWASP LLM Top 10 ile uyumlu güvenlik mimarisi.
Güvenlik başlıkları: HSTS, CSP, X-Frame-Options DENY, X-Content-Type-Options nosniff.
Düzenli pen-test ve red-team değerlendirmesi.

5.2 İdari Tedbirler

Personel için yıllık KVKK ve veri güvenliği eğitimi.
Gizlilik sözleşmesi (NDA) imzalı personel.
Çalışan ayrılığında hesap erişim iptali.
Olay müdahale süreci.
Yıllık iç denetim.

6. Veri Sahibi (İlgili Kişi) Talepleri

Guardian, müşterinin veri sahiplerine yönelik aydınlatma yükümlülüğüne (KVKK m.10) doğrudan taraf değildir; bu sorumluluk müşteriye aittir. Ancak Guardian, müşterinin KVKK m.11 başvurularını yanıtlamasına gerekli teknik desteği sağlar (örn. veri silme, log dökümü, maskelenmiş veri raporu).

7. Ücret

Bu DPA, hizmet sözleşmesi ücretine dahildir. Ek ücret talep edilmez.

8. Geçerlilik

Bu DPA, hizmet sözleşmesinin başlama tarihinde yürürlüğe girer ve sözleşmenin sona ermesini takip eden 30. günde sona erer. Yasal saklama yükümlülükleri saklıdır.

9. İmzalı Nüsha Talebi

Kurumsal denetim süreçleri için imzalı PDF nüsha gerekirse [email protected] adresine başvurabilirsiniz; 5 iş günü içinde imzalı nüsha iletilir.