KVKK · GDPR · HIPAA Uyumluluk
VerimliAI'nin uluslararasi veri koruma standartlarina tam uyumluluk beyani. Musteri verileriniz AES-256 sifreli, OpenAI API'de egitilmez, uctan uca korunur.
1. Kurumsal Veri Guvenligi Taahhudumuz
VerimliAI olarak, is ortaklarimizin ve onlarin musterilerinin verilerini en degerli varlik olarak kabul ediyoruz. Operasyonlarimiz; 6698 sayili Kisisel Verilerin Korunmasi Kanunu (KVKK), Avrupa Birligi Genel Veri Koruma Tuzugu (GDPR — Regulation EU 2016/679), California Tuketici Gizliligi Yasasi (CCPA) ve ABD Saglik Sigortasi Tasinabilirlik ve Sorumluluk Yasasi (HIPAA) cercevesinde tam uyumlu olarak yurutulmektedir. Bu sayfa, kurumsal IT guvenlik ekiplerinin ve uyumluluk denetcilerinin ihtiyac duydugu tum teknik ve hukuki detaylari iceren resmi bir beyanname niteligindedir.
OpenAI API Kullanici Sozlesmesi Madde 3(c) uyarinca, API uzerinden gonderilen tum veriler OpenAI tarafindan AI modellerini egitmek icin kullanilmaz. Bu, ChatGPT'nin ucretsiz surumunden farkli olarak, API kullanicilarina saglanan yasal olarak baglayici bir guvencedir. Islenen veriler 30 gun icinde API loglarindan otomatik olarak silinir.
2. Uctan Uca Veri Sifreleme Mimarisi
VerimliAI ekosisteminde veri, uc asamali bir sifreleme zincirinden gecer. Bu zincir, verinin olustugu andan silindigi ana kadar her noktada korunmasini garanti eder.
VerimliAI Veri Sifreleme Zinciri
Asama 1: Aktarim sirasinda TLS 1.3 · Asama 2: Depolamada AES-256 · Asama 3: Anahtar yonetiminde AWS KMS
2.1 AES-256 ile Bekleyen Veride Sifreleme (At Rest)
Tum musteri verileri (diyalog gecmisi, urun katalogu, fatura kayitlari, kullanici bilgileri) PostgreSQL veritabaninda AES-256 standardiyla sifrelenmis olarak saklanir. AES-256, 2^256 farkli anahtar kombinasyonu sunar. Bu sayi, gozlemlenebilir evrendeki atom sayisindan daha buyuktur; mevcut bilgi islem teknolojisiyle kirilmasi teorik olarak imkansizdir. Sifreleme anahtarlari, veriden ayri bir guvenlik katmani olan AWS Key Management Service (KMS) uzerinde yonetilir. KMS, FIPS 140-2 Seviye 3 sertifikali Donanim Guvenlik Modulleri (HSM) uzerinde calisir.
2.2 TLS 1.3 ile Aktarilan Veride Sifreleme (In Transit)
Kullanici ile VerimliAI sunuculari arasindaki tum veri akisi, TLS 1.3 protokolu ile sifrelenir. TLS 1.3, onceki surumlere kiyasla: (1) el sikisma suresini 2 gidis-gelis'ten 1'e indirerek %50 daha hizlidir, (2) kullanilmayan ve zayif sifreleme algoritmalarini (RSA anahtar degisimi, CBC modu, SHA-1) tamamen kaldirarak daha guvenlidir, (3) Perfect Forward Secrecy (PFS) ozelligi sayesinde, bir oturum anahtari ele gecirilse dahi gecmis oturumlarin sifresi cozulemez. Tum alt alan adlarimizda HSTS (HTTP Strict Transport Security) header'i aktiftir; tarayicilar yalnizca HTTPS baglantisi kurabilir.
3. KVKK, GDPR ve HIPAA Karsilastirmali Uyum Matrisi
| Uyumluluk Gereksinimi | KVKK | GDPR | HIPAA | VerimliAI Durumu |
|---|---|---|---|---|
| Veri Isleme Hukuki Dayanagi | Acik riza / Sozlesme | 6 hukuki dayanak | BAA sozlesmesi | ✓ Tum kosullar saglanir |
| Veri Minimizasyonu | Amacla sinirli | Madde 5(1)(c) | Minimum Necessary | ✓ Yalnizca gerekli veri |
| Saklama Suresi Siniri | Gerekli sure | Madde 5(1)(e) | 6 yil (dokumantasyon) | ✓ Kategori bazinda tanimli |
| Veri Ihlali Bildirimi | 72 saat (Kurul'a) | 72 saat (DPA'ya) | 60 gun (etkilenenlere) | ✓ En siki sure uygulanir |
| Alt Isleyici Denetimi | Sozlesme zorunlu | DPA zorunlu | BAA zorunlu | ✓ Tum alt isleyicilerle DPA |
| Sinir Otesi Veri Aktarimi | Yeterlilik karari / Taahhutname | SCC / DPF | Saklama siniri yok | ✓ SCC+DPF+TIA uygulanir |
| Erisim Hakki (Data Subject Access) | 30 gun | 30 gun (1 ay) | 30 gun | ✓ 30 gun icinde yanit |
| Silme Hakki | Var (Madde 7) | Var (Madde 17) | Sinirli | ✓ Talep uzerine 30 gun |
| Veri Tasinabilirligi | Yok (kanunda) | Var (Madde 20) | Var | ✓ JSON/CSV export |
| Etki Degerlendirmesi (DPIA) | Gerekli | Zorunlu | Zorunlu | ✓ Her projede yapilir |
4. OpenAI Enterprise API ve Veri Izolasyonu
Kurumsal musterilerin en sik sordugu soru sudur: "Benim musteri diyaloglarim, fatura bilgilerim ve isletme verilerim OpenAI tarafindan kendi AI modellerini egitmek icin kullanilir mi?" Cevap kisa ve nettir: Hayir, kesinlikle kullanilmaz.
OpenAI'nin API Kullanim Sartlari'nin 3. maddesi uyarinca, API uzerinden gonderilen tum veriler (promptlar ve completion'lar dahil) su guvencelere tabidir: (a) OpenAI, API verilerini modellerini egitmek veya iyilestirmek icin kullanmaz; (b) API verileri, ChatGPT'nin ucretsiz surumunden ve ChatGPT Plus/Team/Enterprise urunlerinden tamamen izole edilmis bir altyapida islenir; (c) API istek loglari, kotuye kullanim izleme amaci haric 30 gunden fazla saklanmaz ve bu sure sonunda otomatik olarak silinir. Bu guvenceler, BAA (Business Associate Agreement) kapsaminda HIPAA uyumlu saglik verisi islenmesine de olanak tanir.
5. Sifir Guven Mimarisi (Zero Trust Architecture)
VerimliAI sistemleri, "hicbir kullaniciya, hicbir cihaza, hicbir ag trafigine varsayilan olarak guvenme" prensibine dayanan Sifir Guven (Zero Trust) mimarisiyle calisir. Bu mimari su katmanlardan olusur:
- Kimlik Dogrulama (Authentication): Tum sistem erisimleri, zorunlu iki faktorlu kimlik dogrulama (2FA) ile korunur. Yonetim panelleri, sunucu SSH erisimleri ve API anahtar yonetimi TOTP veya FIDO2 guvenlik anahtarlariyla dogrulanir.
- Yetkilendirme (Authorization - RBAC): Erisim kontrolu, En Az Ayricalik (Least Privilege) prensibine dayanan Rol Tabanli Erisim Kontrolu (RBAC) ile yonetilir. Her kullanici yalnizca gorevi icin gerekli minimum veriye ve isleve erisebilir.
- Mikro-Segmentasyon: Veritabani, uygulama sunucusu, API katmani ve yedekleme sistemleri birbirinden ag duzeyinde izole edilmistir. Bir katmandaki guvenlik ihlali diger katmanlara yayilamaz.
- Surekli Izleme (SIEM): Tum sistem loglari merkezi SIEM (Guvenlik Bilgisi ve Olay Yonetimi) platformunda toplanir. Anormal davranislar (gece yarisi admin girisi, olagandisi veri indirme) gercek zamanli olarak alarm uretir.
6. Hukuki ve Teknik Denetim Izleri
Tum veri isleme faaliyetleri, degistirilemez (immutable) denetim loglarina kaydedilir. Bu loglar sunlari icerir: kim, ne zaman, hangi veriye, hangi IP'den, hangi islemi yapti. Loglar, olasi bir hukuki denetim veya KVKK/GDPR sorusturmasi durumunda tam ve eksiksiz bir denetim izi sunar. Log saklama suresi 1 yildir. Loglara erisim, sadece yetkilendirilmis guvenlik personeliyle sinirlidir ve tum log erisimleri de ayrica loglanir (log-of-logs prensibi).
Kurumsal Uyumluluk Brifingi Talep Edin
IT guvenlik ve uyumluluk ekiplerinize ozel teknik sunum.
Guvenlik Brifingi Planlayin