YASAL BİLGİLENDİRME
KVKK Aydınlatma Metni
6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlusu sıfatıyla bilgilendirme.
Yürürlük: 03.05.2026 · Versiyon 1.0
Bu metin nedir? AltaySec Guardian hizmetini kullanırken kişisel verilerinizin nasıl işlendiğini, kimlerle paylaşıldığını ve haklarınızı açıklar. Hizmeti kullanmaya başlamadan önce okumanız gerekir.
1. Veri Sorumlusu
Bu metin kapsamındaki kişisel veri işleme faaliyetlerinin sorumlusu AltaySec'tir (bundan sonra "Şirket" veya "Guardian" olarak anılacaktır). İletişim: [email protected].
2. Hangi Verilerinizi İşliyoruz?
| Veri Kategorisi | Hangi Veriler | İşleme Amacı |
|---|
| Kimlik / İletişim | Ad-soyad, e-posta, telefon, şirket adı, ünvan | Hesap oluşturma, sözleşme yönetimi, fatura kesimi |
| Müşteri İşlem | Satın alınan paket, ödeme tarihi, kullanım miktarı, fatura bilgisi | Hizmet sağlama, ücretlendirme, muhasebe |
| İşlem Güvenliği | API anahtarları (hash'lenmiş), giriş kayıtları, IP adresi, oturum tokenı | Yetkilendirme, dolandırıcılık tespiti, kötüye kullanım önleme |
| Pazarlama / İlgi | İletişim formu yanıtları (yalnızca onay verirseniz) | Demo talebi, ürün güncellemesi bildirimi |
Önemli: Müşterinin LLM Trafiği
Guardian, müşterilerinin LLM'lere gönderdiği prompt ve LLM'den gelen yanıtların proxy'sidir. Bu trafik içinde kişisel veri (TC kimlik, IBAN, sağlık verisi vb.) bulunabilir. Guardian:
- Bu verileri tespit edip maskelenmiş halde LLM'e iletir.
- Maskelenen verileri yalnızca anlık bellekte (in-memory Vault) tutar — kalıcı olarak veritabanına yazmaz.
- Tarama ve maskelenme işlemi Türkiye sınırları içindeki sunucularda gerçekleştirilir.
- Trafiğin metaverisi (kullanım sayısı, hata oranı, gecikme) loglara yazılır; içerik (raw prompt) varsayılan olarak loglanmaz; talep halinde 90 gün retention'lı içerik logu açılabilir.
Müşterinin son kullanıcılarına yönelik aydınlatma yükümlülüğü müşterinin kendi sorumluluğundadır (KVKK Madde 10).
3. İşleme Hukuki Sebepleri (KVKK m.5/m.6)
- Sözleşmenin kurulması ve ifası (m.5/2-c) — hizmet sağlama, fatura kesimi, destek.
- Hukuki yükümlülüğün yerine getirilmesi (m.5/2-ç) — vergi mevzuatı, e-fatura, mali müşavirlik.
- Meşru menfaat (m.5/2-f) — sistem güvenliği, kötüye kullanım tespiti, hizmet iyileştirme.
- Açık rıza (m.5/1) — pazarlama amaçlı iletişim ve ürün güncellemesi bildirimleri için ayrıca alınır.
- Özel nitelikli verilerin işlenmesi söz konusu olduğunda (KVKK m.6) yalnızca müşterinin kendi izniyle ve maskeleme yoluyla; Guardian bu verileri kendi adına kullanmaz.
4. Aktarım: Verileriniz Kimlere Verilir?
| Alıcı | Gerekçe | Yer |
|---|
| VPS / barındırma sağlayıcı | Sunucu altyapısı | Türkiye |
| Cloudflare | DDoS koruma, CDN | Yurt dışı (DDoS sonlandırma) |
| e-Fatura / e-Arşiv entegratörü | Yasal fatura zorunluluğu | Türkiye |
| LLM sağlayıcısı (müşterinin tercihiyle) | İstek yönlendirme — yalnızca maskelenmiş veri | Müşterinin seçimine bağlı (OpenAI, Anthropic, Groq vb.) |
| Yetkili kamu kurumları | Mahkeme, savcılık, KVK Kurumu kararı | Türkiye |
5. Saklama Süresi
- Hesap ve fatura verileri: İlişki sona erdikten sonra 10 yıl (Vergi Usul Kanunu).
- Tarama metaverisi (token sayısı, sonuç): 90 gün.
- İçerik logu (talep halinde aktif): müşterinin belirlediği süre (varsayılan 30 gün, en fazla 90 gün).
- PII Vault (maskelenmiş veri): Yalnızca istek süresince bellekte; istek bittiğinde silinir.
- Pazarlama izinleri: Geri alındığı ana kadar.
6. Haklarınız (KVKK m.11)
Şirketimize başvurarak şunları talep edebilirsiniz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme,
- İşlenmişse bilgi talep etme,
- İşleme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde / dışında aktarıldığı kişileri bilme,
- Eksik veya yanlış işlenmişse düzeltilmesini isteme,
- Silinmesini veya yok edilmesini isteme (KVKK m.7),
- Düzeltme / silme bildirimlerinin aktarılan üçüncü kişilere iletilmesini isteme,
- İşlenen verilerin yalnızca otomatik sistemler aracılığıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
- Kanuna aykırı işleme nedeniyle zarara uğramışsanız zararın giderilmesini talep etme.
Başvuru: [email protected] adresine yazılı talebinizi iletebilirsiniz. 30 gün içinde yanıt verilir.
7. Veri Güvenliği Önlemleri
- Şifreli iletişim (TLS 1.3) — taşınan tüm trafik.
- Veritabanı erişim kısıtlama, yetkilendirme katmanları.
- API anahtarları SHA-256 ile hash'lenmiş; ham hali sadece oluşturulduğu anda müşteriye gösterilir.
- Şifreler PBKDF2 / sha256_crypt ile saklanır.
- Sunucu erişim kayıtları tutulur (90 gün).
- Düzenli yedekleme (günlük, 14 gün retention).
- Güvenlik açığı tespit ve yama süreçleri.
8. Çerez Kullanımı
Web sitemiz teknik olarak zorunlu çerezler ve oturum tokenları kullanır. Detay için Çerez Politikamız.
9. Değişiklikler
Bu metin gerektiğinde güncellenebilir. Önemli değişiklikler kayıtlı e-posta adresinize 30 gün önceden bildirilir.