--- title: "Teknik ve Organizasyonel Önlemler (TOM)" description: "Son Güncelleme: 30 Mayıs 2026" canonical_url: "https://getminds.ai/legal/tr/tom" last_updated: "2026-06-24T15:41:58.585Z" --- # Teknik ve Organizasyonel Önlemler (TOM) **Son Güncelleme: 30 Mayıs 2026** Art of X UG (haftungsbeschränkt) ("Minds"), kişisel verilerin işlenmesiyle ilgili riske uygun bir güvenlik düzeyi sağlamak amacıyla GDPR madde 32 uyarınca aşağıdaki teknik ve organizasyonel önlemleri uygular. --- ## 1. Erişim Kontrolü ### Fiziksel Erişim Kontrolü Minds altyapısı yalnızca sertifikalı bulut sağlayıcılarında barındırılır: - **DigitalOcean** – Frankfurt, Almanya veri merkezi (AB). Sertifikalar: SOC 2 Type II, ISO 27001, ISO 27017, ISO 27018. - **Supabase** – Stockholm, İsveç veri merkezi (AB), AWS üzerinde barındırılmaktadır. Sertifikalar: SOC 2 Type II. Fiziksel güvenlik (biyometrik erişim kontrolleri, 7/24 gözetim, erişim günlüğü) tamamen bulut sağlayıcıları tarafından yönetilmektedir. ### Mantıksal Erişim Kontrolü - Tüm dahili sistemler ve yönetim arayüzleri için rol tabanlı erişim kontrolü (RBAC). - Üretim sistemlerine tüm çalışan erişimi için çok faktörlü kimlik doğrulama (MFA) gereklidir. - Bireysel kullanıcı hesapları – paylaşılan kimlik bilgisi yoktur. - En az ayrıcalık ilkesine uygun olarak erişim haklarının düzenli olarak gözden geçirilmesi ve iptal edilmesi. - API anahtarları ve kimlik bilgileri şifrelenmiş parola yöneticilerinde yönetilir. - OAuth tokenları, entegrasyon kimlik bilgileri ve API anahtarları kapsamlı, beklemede şifrelenmiş ve iptal edilebilirdir. --- ## 2. Şifreleme ### Aktarım Sırasında Şifreleme - Tüm veri aktarımları TLS 1.2 veya üzeri ile güvence altına alınmıştır. - HSTS (HTTP Strict Transport Security) tüm genel uç noktalar için etkindir. - Dahili servisler arası iletişim de şifrelenmiştir. ### Saklı Halde Şifreleme - Veritabanları (Supabase/PostgreSQL), saklı haldeki veriler için AES-256 şifreleme kullanır. - Dosya depolama (DigitalOcean Spaces / Supabase Storage), sunucu tarafı AES-256 şifreleme kullanır. - Yedekler şifrelenmiş biçimde saklanır. --- ## 3. Veri Ayrımı (Kiracı Yalıtımı) - Kiracı yalıtımı (PostgreSQL'de Row-Level Security) ile veritabanı düzeyinde müşteri verilerinin sıkı mantıksal ayrımı. - Her müşteri yalnızca kendi verilerine erişebilir – hem veritabanı hem de API düzeyinde uygulanır. - Otomatik testler, kiracılar arası veri sızıntısının oluşmadığından emin olur. --- ## 4. Erişilebilirlik ve Dayanıklılık ### Barındırma Mimarisi - Uygulama, otomatik ölçeklendirme ve sağlık kontrolleriyle DigitalOcean App Platform üzerinde çalışır. - Yüksek erişilebilirlik yapılandırmasıyla Supabase üzerinde veritabanı. ### Yedekleme ve Kurtarma - En az 7 gün saklama süresiyle günlük otomatik veritabanı yedeklemeleri. - PostgreSQL veritabanı için Point-in-Time Recovery (PITR). - Kurtarma prosedürlerinin düzenli testi. - Kurtarma Süresi Hedefi (RTO): SLA'da tanımlandığı şekilde. - Kurtarma Noktası Hedefi (RPO): maksimum 24 saat. --- ## 5. Olay Müdahale - Güvenlik olayları için belgelenmiş olay müdahale süreci. - Kişisel veri ihlalinden haberdar olmanın ardından Veri İşleme Sözleşmesi (DPA) uyarınca **48 saat** içinde Kontrolörün (müşterinin) bilgilendirilmesi. - Tüm güvenlikle ilgili olayların günlüğe kaydedilmesi ve takibi. - Olay müdahale planının düzenli olarak gözden geçirilmesi ve güncellenmesi. --- ## 6. Gizlilik ve Çalışan Yükümlülükleri - Tüm çalışanlar ve yükleniciler gizlilik sözleşmeleriyle (NDA'lar) bağlıdır. - Tüm çalışanlar için düzenli veri koruma eğitimi. - GDPR uyarınca veri gizliliğini koruma yükümlülüğü. - Kişisel verilere erişim yalnızca bilme ihtiyacı temelinde verilir. --- ## 7. Alt İşleyici Yönetimi - Alt işleyicilerin veri koruma ve güvenlik kriterlerine göre dikkatli seçimi. - Tüm alt işleyicilerin GDPR uyumlu veri işlemeye sözleşmesel yükümlülüğü. - Alt işleyicilerin düzenli olarak gözden geçirilmesi. - Güncel alt işleyici listesi [Alt İşleyiciler](/legal/subprocessors) sayfasında mevcuttur. - DPA uyarınca müşterilere tüm değişikliklerin önceden bildirilmesi. --- ## 8. Günlükleme ve İzleme - Sistem olaylarının ve erişimin merkezi olarak günlüğe kaydedilmesi. - Audit günlükleri API/MCP erişimini, OAuth ve entegrasyon değişikliklerini, takvim senkronizasyonu/webhook olaylarını ve güvenlikle ilgili yönetici işlemlerini kapsar. - AI model etkileşimlerinin izlenmesi ve izlemesi için **Langfuse** (AB'de barındırılır). - Ürün analitiği ve isteğe bağlı oturum tekrarı için **PostHog** - kalıcı analitik/oturum tekrarı yalnızca analitik rızasıyla; hukuken mümkün olduğunda sınırlı çerezsiz tanılama. - Otomatik uyarılarla kritik sistem metriklerinin izlenmesi. - Anomaliler için günlüklerin düzenli olarak gözden geçirilmesi. --- ## 9. Veri Minimizasyonu ve Takma Adlaştırma ### Veri Minimizasyonu - Yalnızca ilgili işleme amacı için gerekli olan kişisel verilerin toplanması ve işlenmesi. - İşlenen veri kategorilerinin gereklilik açısından düzenli olarak gözden geçirilmesi. - Tanımlanan saklama sürelerine uygun olarak artık gerekli olmayan verilerin otomatik silinmesi. ### Takma Adlaştırma - Teknik olarak uygulanabilir ve uygun olduğunda, kişisel veriler takma adlaştırılmış biçimde işlenir. - Dahili işleme esas olarak gerçek isimler yerine UUID'ler kullanır. - Analitik değerlendirmeler toplulaştırılmış veya takma adlaştırılmış temelde gerçekleştirilir. --- ## 10. Düzenli İnceleme ve Değerlendirme - Altyapı ve uygulamaların düzenli güvenlik değerlendirmeleri. - Bağımlılıklar bilinen güvenlik açıklarına karşı düzenli olarak kontrol edilir (bağımlılık taraması). - Bu TOM'ların en az yılda bir kez veya işleme faaliyetlerindeki önemli değişikliklerde gözden geçirilmesi ve güncellenmesi. - Mevcut tehdit ortamına dayalı olarak güvenlik önlemlerinin sürekli iyileştirilmesi. --- ## 11. Ek Önlemler ### Giriş Kontrolü - Kişisel verilerdeki değişikliklerin günlüğe kaydedilmesi (denetim izi). - Hangi verileri kimin, ne zaman girdiğinin, değiştirdiğinin veya sildiğinin izlenebilirliği. ### Aktarım Kontrolü - Veri aktarımları yalnızca şifrelidir. - Yeterli koruma düzeyi olmaksızın (yeterlilik kararı veya Standart Sözleşme Maddeleri) kişisel verilerin üçüncü ülkelere aktarılmaması. ### İşleme Kontrolü - Kişisel verilerin yalnızca Kontrolörün talimatlarına uygun olarak işlenmesi. - DPA'da sipariş üzerine işlemenin sözleşmesel düzenlenmesi. --- *Bu teknik ve organizasyonel önlemler, mevcut tekniğin durumuyla tutarlı bir koruma düzeyi sağlamak için düzenli olarak gözden geçirilir ve gerektiğinde güncellenir.* **Art of X UG (haftungsbeschränkt)** Müdürler: Friedrich von Borries ve Alexander Doudkin