Yasal Bilgilendirme

Yasal Kütüphane

Tüm kamuya açık sözleşme, politika ve uyum metinlerini tek yerden inceleyin.

Otomasyum, Ankara merkezli bir Nagdos Teknoloji girişimidir.

Dil

TR EN

Güncelleme

08 Nisan 2026

Hukuki İletişim

[email protected]
Yasal Bilgilendirme

Güvenlik Politikası & İhlal Bildirimi

Verilerinizi korumak için aldığımız önlemler.

Son güncelleme: 08 Nisan 2026 [email protected]

Sürüm 1.0 · Yürürlük: 08.04.2026 · Dayanak: KVKK md. 12 / GDPR md. 32–34 / ISO 27001

1. GÜVENLİK TAAHHÜDÜ

Otomasyum, Kullanıcı verilerinin güvenliğini, bütünlüğünü ve gizliliğini korumayı taahhüt etmektedir. Bu Güvenlik Politikası; mevcut teknik ve organizasyonel önlemleri ve güvenlik olaylarına müdahale prosedürlerini açıklamaktadır.

2. TEKNİK GÜVENLİK ÖNLEMLERİ

Şifreleme

  • Aktarımdaki tüm veriler TLS 1.2+ ile korunmaktadır (HTTPS zorunlu, HSTS etkin)
  • Hassas alanlar (API anahtarları, tokenlar) depolamada AES-256 ile şifrelenmektedir
  • Veritabanı yedekleri depolanmadan önce şifrelenir

Erişim Kontrolü

  • Parolalar bcrypt ile karma yapılmaktadır (maliyet faktörü ≥12)
  • Tüm hesaplar için iki faktörlü kimlik doğrulama mevcuttur
  • Kiracı hesaplarında rol tabanlı erişim kontrolü (RBAC) uygulanmaktadır
  • İç personelin üretim verilerine erişimi günlüklere kaydedilir ve ihtiyaç duyulanla sınırlıdır
  • Ayrıcalıklı erişim için MFA zorunludur; üç ayda bir gözden geçirilir

Altyapı

  • ISO 27001 sertifikalı bulut altyapısında barındırılmaktadır
  • Ağ düzeyinde güvenlik duvarları ve saldırı tespit sistemleri
  • Tüm genel uç noktaların önünde Web Uygulama Güvenlik Duvarı (WAF)
  • Altyapı düzeyinde DDoS azaltma
  • Altyapı ve bağımlılıklarda otomatik güvenlik açığı taraması

İzleme ve Günlükleme

  • Merkezi güvenlik günlükleme ve gerçek zamanlı uyarı
  • 5 başarısız kimlik doğrulama denemesi sonrasında hesap kilitleme
  • Denetim günlükleri en az 2 yıl saklanır
  • Olağandışı erişim örüntüleri için anomali tespiti

Veri Yedekleme

  • Günlük otomatik veritabanı yedekleri
  • Yedekler coğrafi olarak farklı bir konumda saklanır
  • Yedek geri yükleme her üç ayda bir test edilir
  • Kurtarma Süresi Hedefi (RTO): 4 saat  ·  Kurtarma Noktası Hedefi (RPO): 24 saat

3. ORGANİZASYONEL GÜVENLİK ÖNLEMLERİ

  • Üretim sistemlerine erişimi olan tüm personele güvenlik farkındalık eğitimi;
  • Güvenlik açısından hassas rollerdeki personel için özgeçmiş kontrolü;
  • Yıllık olarak gözden geçirilen belgelenmiş bilgi güvenliği politikaları;
  • En az yılda bir kez gerçekleştirilen üçüncü taraf güvenlik değerlendirmeleri;
  • Yılda en az iki kez test edilen olay müdahale planı;
  • Anında kimlik bilgisi iptali dahil resmi işe alım/işten ayrılma prosedürleri.

4. KİŞİSEL VERİ İHLALİ BİLDİRİM PROSEDÜRÜ

İHLAL MÜDAHALE ZAMANLAMASİ

T+0

Tespit: Güvenlik ekibi olası ihlali tespit eder. Olay günlüğü açılır. Ağırlık değerlendirmesi başlar.

T+4s

Kontrol altına alma: Anında kontrol önlemleri (iptal, izolasyon, yama) devreye alınır.

T+24s

İç değerlendirme: Etkilenen kapsam, nitelik ve veri sahipleri belirlenir.

T+72s

Yasal bildirim: KVKK md. 12 — ihlalden haberdar olunmasından itibaren 72 saat içinde Kişisel Verileri Koruma Kurumu'na bildirim yapılır.

T+7g

Kullanıcı bildirimi: İhlalin hak ve özgürlükleri açısından yüksek risk oluşturması durumunda etkilenen Kullanıcılar gecikmeksizin bilgilendirilir. Bildirimde; ihlalin niteliği, etkilenen veriler, olası sonuçlar ve alınan önlemler yer alır.

T+30g

Olay sonrası inceleme: Kök neden analizi, edinilen dersler ve politika güncellemeleri belgelenir.

5. SORUMLU AÇIKLAMA (BUG BOUNTY)

Platform'da olası bir güvenlik açığı keşfederseniz lütfen "GÜVENLİK AÇIĞI" konu başlığıyla [email protected] adresine sorumlu biçimde bildirin. Araştırmanız sırasında:

  • Kullanıcı verilerine erişmeyin, aktarmayın veya değiştirmeyin;
  • Açığı gidermemiz için bize 90 günlük süre tanımadan kamuoyuyla paylaşmayın;
  • Sorunu yeniden üretebilmemiz ve doğrulayabilmemiz için yeterli ayrıntı sağlayın.

Bildiriminizi 5 iş günü içinde teyit edecek ve ilerlememiz hakkında sizi bilgilendireceğiz. Bu politikaya uyan araştırmacılara karşı hukuki işlem başlatmıyoruz.

6. KULLANICI GÜVENLİK SORUMLULUKLARI

  • Güçlü ve benzersiz parolalar kullanın (en az 12 karakter, büyük/küçük harf, rakam, sembol);
  • İki faktörlü kimlik doğrulamayı etkinleştirin;
  • Hesap kimlik bilgilerini paylaşmayın;
  • Ortak cihazlarda kullanım sonrası oturumu kapatın;
  • Şüpheli faaliyetleri derhal [email protected] adresine bildirin;
  • Entegrasyon eklentisi/bağlayıcı yazılımını güncel tutun.

7. İLETİŞİM

Güvenlik olayları: [email protected] (konu: GÜVENLİK)

Hukuki, iptal veya faturalama sorularınız için doğrudan bizimle iletişime geçin.

Dijital teslim ve aktivasyon şartları Mesafeli Satış Sözleşmesi ile İptal ve İade Koşulları içinde düzenlenir.

Hukuk Ekibine Yaz Ana Sayfaya Dön