KVKK ve GDPR Uyumluluk Politikası
ShieldPoint, Türkiye Kişisel Verilerin Korunması Kanunu (KVKK) ve AB Genel Veri Koruma Tüzüğü (GDPR) kapsamındaki yükümlülüklerini tam olarak yerine getirir.
1. Veri Sorumlusu
Unvan: ShieldPoint Yazılım A.Ş.
Adres: Maslak Mahallesi, Büyükdere Caddesi No: 123, Sarıyer / İstanbul
E-posta: kvkk@shieldpoint.io
DPO (Veri Koruma Sorumlusu): dpo@shieldpoint.io
2. İşlemenin Hukuki Dayanakları
- Sözleşmenin İfası (GDPR Md. 6/1-b, KVKK Md. 5/2-c)Hizmetin sunulması, hesap yönetimi ve teknik destek için zorunlu işleme.
- Yasal Yükümlülük (GDPR Md. 6/1-c, KVKK Md. 5/2-ç)Vergi, denetim ve bildirim yükümlülükleri.
- Meşru Menfaat (GDPR Md. 6/1-f)Hizmet güvenliği, dolandırıcılık tespiti ve ürün geliştirme.
- Açık Rıza (GDPR Md. 6/1-a, KVKK Md. 5/1)Pazarlama iletişimi ve isteğe bağlı analitik.
3. Veri Kategorileri ve İşleme Amaçları
| Kategori | Veriler | Amaç | Dayanak |
|---|---|---|---|
| Kimlik | Ad, soyad, e-posta | Hesap yönetimi | Sözleşme |
| Teknik | IP, log, cihaz ID | Güvenlik & destek | Meşru menfaat |
| Finansal | Fatura bilgileri | Muhasebe | Yasal zorunluluk |
| Endpoint | DLP olayları, risk skoru | Hizmet sunumu | Sözleşme |
| İletişim | Destek talepleri | Müşteri hizmetleri | Sözleşme |
4. Uluslararası Veri Transferleri
Veriler öncelikli olarak Türkiye'de ve AB üyesi ülkelerdeki veri merkezlerinde işlenir. AB/EEA dışına transfer gerektiğinde GDPR Madde 46 kapsamında Standart Sözleşme Maddeleri (SCCs) kullanılır ve alıcı tarafın yeterli veri koruma güvencesi sağlaması şartı aranır. Tüm alt işleyiciler DPA (Veri İşleme Sözleşmesi) imzalamak zorundadır.
5. Veri Güvenliği Önlemleri
- AES-256 depolama şifrelemesi + TLS 1.3 aktarım şifrelemesi
- Tenant bazlı tam veri izolasyonu — çapraz tenant erişim teknik olarak engellenmiş
- Değiştirilemez denetim kayıtları (immutable audit log)
- Yıllık sızma testi ve ISO 27001 denetimi
- Erişim kontrolü: rol bazlı, en az ayrıcalık prensibi, MFA zorunlu
- İhlal bildirim protokolü: ilgili makama 72 saat, etkilenen kişilere makul sürede
6. İlgili Kişi Hakları
KVKK Madde 11 ve GDPR Madde 15–22 kapsamında aşağıdaki haklara sahipsiniz. Talepler kvkk@shieldpoint.io adresine iletilmeli; kimlik doğrulamasının ardından 30 gün içinde yanıtlanır.
- Erişim Hakkı (Md. 15): İşlenen verilerinizin kopyasını talep edebilirsiniz.
- Düzeltme Hakkı (Md. 16): Hatalı veya eksik verilerin düzeltilmesini isteyebilirsiniz.
- Silme Hakkı (Md. 17): "Unutulma hakkı" — saklama zorunluluğu yoksa veriler silinir.
- Kısıtlama Hakkı (Md. 18): İtiraz incelenirken işlemeyi kısıtlayabilirsiniz.
- Taşınabilirlik Hakkı (Md. 20): Verilerinizi makine okunabilir formatta alabilirsiniz.
- İtiraz Hakkı (Md. 21): Meşru menfaate dayalı işlemeye itiraz edebilirsiniz.
- Şikayet Hakkı: KVKK için Kişisel Verileri Koruma Kurumu'na, GDPR için ilgili DPA'ya başvurabilirsiniz.
7. Alt İşleyiciler
ShieldPoint, hizmet sunumu için aşağıdaki kategorilerde alt işleyicilerle çalışır. Güncel alt işleyici listesi talep üzerine sunulur.
- Bulut altyapısı (sunucu, depolama, CDN)
- E-posta iletim hizmeti (sistem bildirimleri)
- Ödeme işlemcisi (kart bilgisi ShieldPoint'e ulaşmaz)
- Hata izleme ve log yönetimi (anonim)
Tüm alt işleyiciler ile GDPR Md. 28 kapsamında DPA imzalanmıştır ve AB SCCs uygulanmaktadır.
8. Müşteri DPA (Veri İşleme Sözleşmesi)
GDPR kapsamında veri sorumlusu konumundaki kurumsal müşteriler için ShieldPoint, standart DPA imzalamaya hazırdır. DPA talebini dpo@shieldpoint.io adresine iletebilirsiniz. DPA; işleme kapsamını, güvenlik önlemlerini, alt işleyici koşullarını ve denetim haklarını kapsar.
9. Politika Güncellemeleri
Bu politika önemli ölçüde değiştiğinde kayıtlı e-posta adresinize ve bu sayfada duyurulur. Değişiklikler yürürlüğe girmeden en az 30 gün önce bildirilir. Yasal gereklilik halinde daha kısa sürede yürürlüğe girmesi mümkündür.
Hukuki belgelerimiz hakkında sorularınız için
legal@shieldpoint.io