Sözleşme Tarihi: 25 Ağustos 2024
Yürürlük Tarihi: 25 Ağustos 2024
Sürüm: 2024.08.25
Geçerlilik: Bu sözleşme, Kullanım Sözleşmesi ile birlikte okunmalıdır
Yürürlük Tarihi: 25 Ağustos 2024
Sürüm: 2024.08.25
Geçerlilik: Bu sözleşme, Kullanım Sözleşmesi ile birlikte okunmalıdır
1. TARAFLAR VE KAPSAM
1.1 Veri İşleyen (Faturaflow)
LEBENLANG ELEKTRONİK EV ALETLERİ LİMİTED ŞİRKETİAdres: Fenerbahçe Mah. Igrıp Sk. No: 13 İç Kapı No: 1 Kadıköy/İstanbul
Vergi Kimlik No: 6081761854
MERSİS No: 0608176185400001
Veri Sorumlusu Temsilcisi: bilgi@faturaflow.com
Bilgi Güvenliği Sorumlusu: bilgi@faturaflow.com
1.2 Veri Sahibi (Müşteri)
Faturaflow hizmetlerini kullanan ve ticari verilerini platforma yükleyen/entegre eden gerçek veya tüzel kişi.
1.3 Sözleşme Kapsamı
- İş Sırlarının Korunması: Ticari bilgiler, müşteri listeleri, fiyat bilgileri
- API Kimlik Bilgileri: Platform erişim anahtarları ve şifreler
- Mali Veriler: Fatura, sipariş, ödeme bilgileri
- Kişisel Veriler: KVKK kapsamındaki tüm veriler
- Teknik Veriler: Log kayıtları, sistem metrikleri
2. GİZLİLİK SINIFLANDIRMASI
2.1 Kritik Seviye (TOP SECRET)
Kapsam:
- API anahtarları ve şifreler
- Veritabanı bağlantı bilgileri
- Muhasebe sistemi kimlik bilgileri
- Ödeme bilgileri
Koruma Önlemleri:
- AES-256 şifreleme
- HSM (Hardware Security Module)
- Çift kimlik doğrulama
- Sadece yetkili personel erişimi
2.2 Gizli Seviye (CONFIDENTIAL)
Kapsam:
- Müşteri listeleri ve iletişim bilgileri
- Fatura detayları ve tutarları
- İş hacmi istatistikleri
- Ticari süreç bilgileri
Koruma Önlemleri:
- TLS 1.3 ile aktarım
- Rol tabanlı erişim kontrolü
- Aktivite logları
- Düzenli erişim denetimi
2.3 Sınırlı Seviye (INTERNAL)
Kapsam:
- Genel sistem kullanım istatistikleri
- Platform entegrasyon bilgileri
- Destek talep geçmişi
- Genel performans metrikleri
Koruma Önlemleri:
- Standart şifreleme
- Personel erişim kontrolü
- Anonimleştirme
- Aggregate raporlama
3. VERİ AKIŞ HARİTASI
3.1 Veri Giriş Noktaları
Otomatik Veri Akışı:
- BaseLinker API: Sipariş verileri (5 dakikada bir)
- Etsy API: Satış verileri (saatlik senkron)
- Shopify API: Order webhook'lar (gerçek zamanlı)
- Shopier API: Sipariş bildirimleri
Manuel Veri Girişi:
- Müşteri Paneli: Şirket bilgileri, ayarlar
- API Yapılandırması: Kimlik bilgileri
- Fatura Ayarları: Numaralama, seri bilgileri
- Destek Kanalları: Ticket sistemi
3.2 Veri İşleme Süreçleri
Gerçek Zamanlı İşleme:
- Sipariş Validasyonu: Veri bütünlüğü kontrolü
- Müşteri Eşleştirme: Paraşüt contact matching
- Fatura Oluşturma: Otomatik fatura kayıtı
- E-Arşiv Gönderimi: GİB entegrasyonu
Toplu İşleme:
- Günlük Raporlama: İstatistik hesaplama
- Backup İşlemleri: Veri yedekleme
- Log Analizi: Güvenlik ve performans
- Veri Temizleme: Eski kayıtların arşivlenmesi
3.3 Veri Çıkış Noktaları
Muhasebe Sistemleri:
- Paraşüt: Fatura, contact, ödeme kayıtları
- KolayBi: İrsaliye ve fatura verileri
- Logo İşbaşı: ERP entegrasyon verileri
Raporlama ve Analiz:
- Müşteri Dashboard: Özetlenmiş istatistikler
- API Erişimi: Ham veri exportu
- E-posta Bildirimleri: Durum güncellemeleri
4. TEKNİK GÜVENLİK ÖNLEMLERİ
4.1 Şifreleme ve Koruma
Veri Şifreleme:
- At Rest: AES-256-CBC şifreleme
- In Transit: TLS 1.3 protokolü
- In Use: Application-level encryption
- Backup: Şifrelenmiş yedekler
Anahtar Yönetimi:
- Key Rotation: 90 günde bir anahtar değişimi
- HSM Storage: Donanım güvenlik modülü
- Multi-Key: Farklı veriler için ayrı anahtarlar
- Escrow: Acil durum anahtar kurtarma
4.2 Erişim Kontrol Sistemleri
Kimlik Doğrulama:
- MFA: Çok faktörlü doğrulama zorunlu
- SSO: Tek oturum açma entegrasyonu
- Biometric: Kritik sistemler için
- Session Management: Güvenli oturum yönetimi
Yetkilendirme:
- RBAC: Rol bazlı erişim kontrolü
- Principle of Least Privilege: Minimum yetki
- Time-based Access: Zamana bağlı erişim
- IP Whitelisting: Belirli IP'lerden erişim
4.3 İzleme ve Denetim
Sistem İzleme:
- SIEM: Security Information Event Management
- Real-time Monitoring: 7/24 sistem takibi
- Anomaly Detection: Anormal davranış tespiti
- Threat Intelligence: Tehdit istihbaratı
Log Yönetimi:
- Comprehensive Logging: Tüm aktivite kaydı
- Log Integrity: Değiştirilemeyen loglar
- Centralized Storage: Merkezi log depolama
- Retention Policy: 7 yıl log saklama
5. PERSONEL GÜVENLİĞİ VE EĞİTİMİ
5.1 Personel Güvenlik Kontrolü
- Background Check: Sabıka kaydı ve referans kontrolü
- NDA Sözleşmesi: Tüm çalışanlar için gizlilik sözleşmesi
- Security Clearance: Güvenlik seviyesine göre izin
- Regular Review: Yıllık güvenlik değerlendirme
5.2 Güvenlik Eğitimi ve Farkındalık
- Onboarding Training: İşe başlama güvenlik eğitimi
- Annual Security Training: Yıllık güvenlik güncellemesi
- Phishing Simulation: Sosyal mühendislik testleri
- Incident Response Training: Olay müdahale eğitimi
5.3 Güvenlik Rolleri ve Sorumlulukları
Teknik Ekip:
- System Administrator: Sistem güvenlik yapılandırma
- Database Administrator: Veri güvenliği yönetimi
- Network Administrator: Ağ güvenliği kontrolü
- DevOps Engineer: Deployment güvenliği
Yönetim Ekibi:
- CISO: Bilgi güvenliği stratejisi
- Compliance Officer: Uyumluluk denetimi
- Privacy Officer: Veri koruma gözetimi
- Risk Manager: Risk değerlendirmesi
6. VERİ SAKLAMA VE İMHA POLİTİKALARI
6.1 Veri Saklama Süreleri
Yasal Gereklilikler:
- Mali Kayıtlar: 10 yıl (VUK m.253)
- E-Fatura Arşivi: 10 yıl (Maliye Bakanlığı)
- Muhasebe Belgeleri: 10 yıl (TTK m.64)
- KVKK Kayıtları: İşleme amacı süresi
Operasyonel Saklama:
- API Kimlik Bilgileri: Sözleşme süresi + 1 yıl
- Log Kayıtları: 7 yıl (Güvenlik amaçlı)
- Backup Veriler: 3 yıl (Disaster recovery)
- Performans Metrikleri: 2 yıl
6.2 Güvenli Veri İmhası
- Cryptographic Erasure: Şifreleme anahtarlarının imhası
- Physical Destruction: Donanım fiziksel imhası (DoD 5220.22-M)
- Secure Wipe: Yazılımsal güvenli silme (NIST 800-88)
- Certificate of Destruction: İmha sertifikası düzenleme
6.3 Yedekleme ve Kurtarma
- 3-2-1 Rule: 3 kopya, 2 farklı medya, 1 offsite
- Encrypted Backups: Tüm yedekler şifrelenmiş
- Geo-Redundancy: Farklı coğrafi konumlarda saklama
- Restoration Testing: Aylık geri yükleme testleri
7. ÜÇÜNCÜ TARAF ENTEGRASYONLARİ
7.1 Veri Paylaşım Protokolleri
E-ticaret Platform Entegrasyonları:
BaseLinker (Polonya):
- OAuth 2.0 kimlik doğrulama
- Sipariş verileri senkronizasyonu
- Durum güncelleme callback'leri
- Rate limiting: 100 req/min
Etsy (Amerika):
- OAuth 2.0 + refresh token
- Receipt ve listing verileri
- Webhook event subscriptions
- GDPR uyumlu veri işleme
Shopify (Kanada):
- App authentication sistemi
- GraphQL API kullanımı
- Webhook güvenlik doğrulama
- CCPA/GDPR compliance
Shopier (Türkiye):
- API key authentication
- SSL sertifikası zorunluluğu
- KVKK uyumlu veri transferi
- Yerel veri saklama
7.2 Muhasebe Sistem Entegrasyonları
Paraşüt:
- OAuth 2.0 authorization
- JWT token bazlı API
- E-fatura entegrasyonu
- Sandbox/Production ortamları
KolayBi:
- API key authentication
- Channel-based routing
- Token caching mekanizması
- Rate limiting ve retry logic
Logo İşbaşı:
- Direct database connection
- Encrypted connection strings
- Stored procedure calls
- Transaction management
7.3 Veri Güvenlik Gereklilikleri
- Data Processing Agreements: Tüm entegrasyonlar için DPA imzalama
- Security Assessments: Yıllık güvenlik değerlendirmesi
- Compliance Monitoring: Sürekli uyumluluk takibi
- Incident Notification: 72 saat içinde bildirim
8. OLAY MÜDAHALE VE KRIZ YÖNETİMİ
8.1 Güvenlik Olayı Sınıflandırması
Kritik Seviye (P1):
- Veri İhlali: Kişisel/ticari veri sızıntısı
- Sistem Çökmesi: Tüm hizmetlerin durması
- Fidye Yazılım: Ransomware saldırısı
- Yetkisiz Erişim: Admin hesaplara sızma
Yanıt Süresi: 1 saat içinde
Yüksek Seviye (P2):
- API Güvenlik Açığı: Entegrasyon sorunları
- DDoS Saldırısı: Hizmet engelleme
- Malware Tespiti: Zararlı yazılım bulaşması
- Veri Bütünlük Sorunu: Veri değişikliği
Yanıt Süresi: 4 saat içinde
8.2 Olay Müdahale Prosedürü
- Tespit ve Raporlama (0-30 dakika)
- Otomatik monitoring sistemleri
- Manuel olay bildirimi
- Ilk değerlendirme ve sınıflandırma
- Incident response team aktivasyonu
- Containment ve Analiz (30 dakika - 2 saat)
- Olayın kapsamının belirlenmesi
- Etkilenen sistemlerin izolasyonu
- Forensic veri toplama
- Stakeholder bilgilendirme
- Eradication ve Recovery (2-24 saat)
- Güvenlik açığının kapatılması
- Sistem yenileme ve recovery
- Veri bütünlük kontrolü
- Hizmet restorasyonu
- Lessons Learned ve İyileştirme (1 hafta)
- Post-incident review toplantısı
- Güvenlik politikası güncellemeleri
- Teknik iyileştirmeler
- Eğitim planlaması
8.3 İletişim ve Bildirim
- Internal Communications: Slack/Teams ile anında bildirim
- Customer Notifications: E-posta ve dashboard bildirimleri
- Regulatory Reporting: KVKK/BTK bildirimleri (72 saat)
- Media Relations: PR ekibi koordinasyonu
9. DENETİM VE UYGUNLUK
9.1 Düzenli Güvenlik Denetimleri
İç Denetimler:
- Aylık: Erişim kontrolü denetimi
- Üç Aylık: Veri sınıflandırma kontrolü
- Altı Aylık: Güvenlik politika değerlendirmesi
- Yıllık: Kapsamlı güvenlik denetimi
Dış Denetimler:
- Penetration Testing: 6 ayda bir
- Vulnerability Assessment: 3 ayda bir
- SOC 2 Audit: Yılda bir
- KVKK Compliance Audit: Yılda bir
9.2 Uyumluluk Standartları
- ISO 27001: Bilgi güvenliği yönetim sistemi
- SOC 2 Type II: Güvenlik kontrolleri doğrulaması
- KVKK: Türk veri koruma mevzuatı
- PCI DSS: Ödeme kartı güvenlik standartları
- GDPR: AB veri koruma tüzüğü
9.3 Kontinuous Monitoring
- SIEM Integration: Tüm güvenlik olaylarının merkezi izleme
- Automated Compliance Checks: Otomatik uyumluluk kontrolleri
- Risk Scoring: Dinamik risk puanlama sistemi
- Dashboard Reporting: Yönetici seviye raporlama
10. MÜŞTERİ HAKLARI VE YÜKÜMLÜLÜKLERİ
10.1 Müşteri Hakları
- Veri Görüntüleme: İşlenen verilerini görme hakkı
- Veri Taşınabilirlik: Verilerini başka platforma aktarma
- Güvenlik Sorgusu: Güvenlik önlemleri hakkında bilgi alma
- Olay Bilgilendirme: Güvenlik olayları hakkında bilgilendirilme
- Denetim Raporları: Yıllık güvenlik raporlarına erişim
10.2 Müşteri Yükümlülükleri
- Güvenli Kimlik Bilgileri: Güçlü şifre ve MFA kullanımı
- Güncel Bilgiler: API kimlik bilgilerinin güncel tutulması
- Yasal Uyumluluk: Kendi yasal yükümlülüklerini yerine getirme
- Veri Kalitesi: Doğru ve eksiksiz veri sağlama
- Olay Bildirim: Güvenlik şüphelerini bildirme
10.3 Veri Sahibi Hakları (KVKK m.11)
- Bilgi Talep Hakkı: İşlenen veriler hakkında bilgi alma
- Düzeltme Hakkı: Yanlış verilerin düzeltilmesini isteme
- Silme Hakkı: Yasal süreler dışında silme talebi
- İtiraz Hakkı: Veri işlemeye itiraz etme
- Taşınabilirlik Hakkı: Verilerini yapılandırılmış formatta alma
11. SÖZLEŞME İHLALİ VE YAPTIRIMLAR
11.1 Faturaflow Tarafından İhlal
- Veri İhlali: Müşteri verilerinin yetkisiz kişilerle paylaşımı
- Güvenlik Açığı: Bilinen açıkların zamanında kapatılmaması
- Bildirim Gecikmesi: Güvenlik olaylarının geç bildirilmesi
- Erişim İhlali: Yetkisiz personelin verilere erişimi
Yaptırımlar:
- Müşteriye derhal bildirim (24 saat içinde)
- Ücretsiz kimlik koruma hizmetleri
- Yasal danışmanlık masraflarının karşılanması
- Düzenleyici kurumlarla iş birliği
- Tazminat ödenmesi (zarar miktarına göre)
11.2 Müşteri Tarafından İhlal
- Kimlik Bilgisi Paylaşımı: API bilgilerinin üçüncü taraflarla paylaşımı
- Sistem Kötüye Kullanımı: Fair Use Policy ihlali
- Güvenlik İhlali Gizleme: Bilinen güvenlik sorunlarını bildirmeme
- Yasal İhlal: Yasal olmayan ticari faaliyetlerde kullanım
Yaptırımlar:
- Hesap geçici dondurma (24-72 saat)
- Hizmet kullanım kısıtlaması
- Sözleşme feshi (ciddi ihlallerde)
- Yasal işlem başlatılması
11.3 Karşılıklı Sorumluluk
- Zarar Paylaşımı: Karşılıklı ihmal durumunda ortak sorumluluk
- Sigorta Kapsamı: Cyber insurance ile kapsam sağlama
- Yasal Destek: Yasal süreçlerde karşılıklı destek
- İyileştirme Çalışmaları: Birlikte güvenlik iyileştirme
12. İLETİŞİM VE RAPORLAMA
Güvenlik ve Gizlilik İletişim Kanalları:
Güvenlik Olayları:
E-posta: bilgi@faturaflow.comAcil Hat: +90 (533) 484 01 14
PGP Key ID: 0x1234ABCD
Yanıt Süresi: 2 saat (7/24)
Veri Koruma Soruları:
E-posta: bilgi@faturaflow.comKVKK Temsilcisi: bilgi@faturaflow.com
Telefon: +90 (533) 484 01 14
Yanıt Süresi: 48 saat (iş günleri)
Düzenli Raporlama:
- Aylık Güvenlik Özeti: bilgi@faturaflow.com
- Üç Aylık Uyumluluk Raporu: bilgi@faturaflow.com
- Yıllık Şeffaflık Raporu: Web sitesinde yayınlanır
13. SÖZLEŞME GÜNCELLEMELERİ
13.1 Güncelleme Sebepleri
- Yasal Değişiklikler: KVKK, GDPR güncellemeleri
- Teknoloji Güncellemeleri: Yeni güvenlik teknolojileri
- Risk Değerlendirmesi: Yeni tehdit modellemeleri
- Standart Uyumluluğu: ISO, SOC güncellemeleri
13.2 Güncelleme Prosedürü
- Önceden Bildirim: 30 gün önceden e-posta bildirimi
- Detay Açıklama: Değişikliklerin açık açıklaması
- Müşteri Gözden Geçirme: 15 günlük inceleme süresi
- İtiraz Hakkı: Değişikliklere itiraz etme imkanı
Bu gizlilik ve veri güvenliği sözleşmesi uluslararası standartlar ve Türk hukuku uyarınca hazırlanmıştır.
LEBENLANG ELEKTRONİK EV ALETLERİ LİMİTED ŞİRKETİ
Son güncelleme: 25 Ağustos 2024
Sürüm: 2024.08.25
Bu sözleşmeyi kabul ederek, verilerinizin yukarıda belirtilen güvenlik önlemleri ile korunacağını ve gizliliğinin sağlanacağını kabul etmiş olursunuz.