Güvenlik Önlemleri
ProcessMind Güvenlik Önlemleri
Yürürlük tarihi: 15 Nisan 2026
Bu belge, ProcessMind B.V.‘nin Müşteri Verilerinin gizliliğini, bütünlüğünü ve kullanılabilirliğini korumak için sürdürdüğü teknik ve kurumsal önlemleri (“TOM’lar”) açıklamaktadır. Bu önlemler; Veri İşleme Eki , Gizlilik Politikası ve SaaS Barındırma Politikası ’nı tamamlayıcı niteliktedir. ProcessMind, bu önlemleri en az yılda bir kez gözden geçirir ve günceller.
Müşteri Verileri asla üçüncü taraflara satılmaz, onlarla paylaşılmaz veya onların kendi amaçları için kullanılmaz.
1. Altyapı Güvenliği
1.1 Bulut Platformu. ProcessMind, yalnızca AB’deki (Frankfurt, Almanya, eu-central-1) Amazon Web Services (AWS) üzerinde barındırılır. AWS; ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3 ve PCI DSS sertifikalarına sahiptir. Listenin tamamı için AWS Uyumluluk Programları sayfasına göz atın.
1.2 Sunucusuz Mimari. Tüm uygulama mantığı AWS Lambda (serverless) üzerinde çalışır. Yamalanması veya güçlendirilmesi gereken uzun ömürlü sunucular bulunmaz; bu sayede güncellenmemiş işletim sistemleri, kalıcı sızmalar ve sunucu yanlış yapılandırmaları gibi tüm bir altyapı risk kategorisi ortadan kalkar.
1.3 Ağ İzolasyonu. Tüm hesaplama ve veri tabanı kaynakları, doğrudan internet erişimi olmayan özel alt ağlara sahip bir Sanal Özel Bulut (VPC) içinde çalışır. Veri tabanı örneklerine herkese açık olarak erişilemez; bunlara yalnızca yetkili Lambda işlevlerinden AWS RDS Data API aracılığıyla ulaşılabilir.
1.4 İçerik Dağıtımı. Statik varlıklar, Amazon CloudFront üzerinden sunulur. Tıklama tuzağı (clickjacking) saldırılarını önlemek için frame-ancestors kısıtlamalarını da içeren katı İçerik Güvenliği Politikası (CSP) yanıt başlıkları kullanılır.
1.5 Ortam Ayrıştırma. Üretim ve geliştirme ortamları; hesap ayrıştırma konusunda en iyi uygulamaları sunan AWS Control Tower aracılığıyla yönetilen ayrı AWS hesapları, ayrı veri tabanları ve ayrı altyapı yığınları kullanır. Önleyici ve tespit edici koruma bariyerleri tüm hesaplarda güvenlik temellerini zorunlu kılar. Geliştirici kimlik bilgileri üretimdeki Müşteri Verilerine erişemez.
2. Veri Şifreleme
2.1 Aktarım Sırasında Şifreleme. İstemciler ile ProcessMind hizmetleri arasında iletilen tüm veriler TLS 1.2 veya üzeri kullanılarak şifrelenir. Tüm API uç noktalarında, S3 yüklemelerinde ve web uygulamasında HTTPS zorunludur. VPC içindeki hizmetler arası iletişimde de şifreli kanallar kullanılır.
2.2 Depolama Sırasında Şifreleme. Tüm veri tabanları (Amazon Aurora PostgreSQL), müşteri tarafından yönetilen bir anahtar ve etkinleştirilmiş otomatik yıllık anahtar rotasyonu ile AWS Key Management Service (KMS) üzerinden AES-256 ile şifrelenir. Tüm depolama alanları (Amazon S3), Amazon S3 tarafından yönetilen anahtarlar (SSE-S3) ile sunucu tarafında şifrelenerek AES-256 ile korunur.
2.3 Anahtar Yönetimi. Veri tabanı şifreleme anahtarları AWS KMS üzerinden merkezi olarak yönetilir. Anahtar erişimi, en az yetki prensibini izleyen IAM politikalarıyla düzenlenir. S3 şifreleme anahtarları AWS tarafından otomatik olarak yönetilir. Anahtarlar asla uygulama kodunda veya yapılandırma dosyalarında saklanmaz.
3. Veri İzolasyonu ve Yerleşimi
3.1 Kiracı İzolasyonu. Her müşteri organizasyonuna özel ve izole edilmiş bir veri tabanı örneği atanır. Müşteri Verileri, veri tabanı düzeyinde asla diğer müşterilerin verileriyle karıştırılmaz. Paylaşılan meta veriler (örneğin hesap kayıtları, faturalandırma) katı erişim kontrollerine sahip ayrı bir çok kiracılı veri tabanında saklanır.
3.2 Veri Yerleşimi. Veri tabanları, dosya yüklemeleri, yedeklemeler ve sorgu sonuçları dahil tüm Müşteri Verileri, münhasıran AB’de (Frankfurt, Almanya) saklanır. ProcessMind, Müşteri Verilerini Avrupa Ekonomik Alanı dışına aktarmaz veya kopyalamaz.
3.3 Veri Saklama ve Silme. Ücretli aboneliklerde, Müşteri Verileri abonelik süresi dolduktan doksan (90) gün sonra otomatik olarak silinir. Deneme hesapları için veriler, hesap oluşturulduktan on üç (13) ay sonra otomatik olarak silinir. Müşteriler, verilerini uygulama üzerinden veya ProcessMind ile iletişime geçerek dilerdikleri zaman silebilirler. Otomatik yedeklemelerdeki verilerin süresi ek olarak doksan (90) gün içinde dolar. Tüm detaylara Veri İşleme Eki Bölüm 6’dan ulaşabilirsiniz.
4. Kimlik ve Erişim Yönetimi
4.1 Kimlik Doğrulama. ProcessMind; Microsoft Entra ID (Azure AD), Google OAuth 2.0/OIDC ve LinkedIn OAuth 2.0/OIDC üzerinden Tekli Oturum Açma (SSO) özelliğini destekler. ProcessMind güvenen taraf olarak hareket eder ve kullanıcı şifrelerini saklamaz. Çok faktörlü kimlik doğrulama (MFA), müşterinin kimlik sağlayıcısı üzerinden desteklenir.
4.2 Oturum Yönetimi. Tüm oturumlarda, SameSite ve Secure bayraklarına sahip güvenli HttpOnly çerezleri üzerinden iletilen imzalı JSON Web Token’ları (JWT) kullanılır. Belirteç imzaları her API isteğinde doğrulanır.
4.3 Yetkilendirme. Tüm API uç noktaları uygulama katmanında JWT tabanlı yetkilendirmeyi zorunlu kılar. Müşteri Verilerine erişim, kimliği doğrulanmış kiracı ile sınırlandırılarak kiracılar arası veri erişimi önlenir.
4.4 En Az Yetki Prensibi. Dahili sistemler en az yetki prensibini izler. Altyapı bileşenleri için IAM rolleri, gereken minimum izinlerle sınırlandırılır. Çalışanların üretim sistemlerine erişimi, belgelenmiş bir iş ihtiyacı olan belirli personel ile kısıtlıdır.
4.5 Çalışan Erişim Kontrolleri. Dahili sistemlere çalışan erişimi, SSO ve zorunlu MFA ile Active Directory üzerinden yönetilir. Rol tabanlı erişim kontrolü (RBAC), Müşteri Verilerine erişimin yalnızca “bilmesi gereken” yetkili personel ile sınırlı olmasını sağlar. Erişim hakları periyodik olarak gözden geçirilir.
5. Kayıt Tutma, İzleme ve Denetim
5.1 Merkezi Kayıt Tutma. Tüm uygulama olayları, kimlik doğrulama olayları ve sistem faaliyetleri, yapılandırılmış JSON günlükleri kullanılarak Amazon CloudWatch aracılığıyla merkezi olarak kaydedilir. Uygulama günlükleri, denetim olayları ve telemetri verileri için ayrı günlük grupları tutulur. Denetim ve telemetri günlükleri süresiz olarak saklanır ve silinmeye karşı korunur.
5.2 Erişim Kayıtları. WebSocket API erişim kaydı etkindir. Uygulama katmanı kayıtları, adli analiz için kimlik doğrulama olaylarını ve API isteği ayrıntılarını yakalar.
5.3 İzleme ve Uyarı. CloudWatch alarmları ve panelleri; sistem sağlığı, hata oranları ve güvenlikle ilgili olayların gerçek zamanlı izlenmesini sağlar. Anomaliler mühendislik ekibi için otomatik uyarıları tetikler.
5.4 Kayıt Koruması. Günlükler, erişim kontrollü özel CloudWatch günlük gruplarında saklanır. Günlük verileri depolanırken şifrelenir. Üretim günlüklerine geliştirme ortamlarından erişilemez.
6. Güvenlik Açığı Yönetimi
6.1 Otomatik Uyumluluk Taraması. Kod olarak altyapı (IaC); AWS Çözümleri en iyi uygulamaları, HIPAA Güvenliği, NIST 800-53 Rev 4 ve Rev 5 ile PCI DSS 3.2.1 dahil olmak üzere birden fazla uyumluluk çerçevesine göre her dağıtımda cdk-nag kullanılarak taranır. Her yığın için uyumluluk raporları oluşturulur ve dağıtım sürecinin bir parçası olarak incelenir. Bulgular takip edilir, önceliklendirilir ve giderilir ya da gerekçeleriyle belgelenir.
6.2 Bağımlılık Yönetimi. Yazılım bağımlılıkları, bilinen güvenlik açıkları açısından sürekli olarak izlenir. Kritik ve yüksek düzeydeki güvenlik açıkları derhal yamalanır. Bağımlılıklar düzenli bir döngüde güncellenir.
6.3 Güvenli Yazılım Geliştirme Yaşam Döngüsü (SDLC). Tüm kod değişiklikleri, üretim ortamına dahil edilmeden önce akran denetiminden geçer. Her değişiklikte otomatik test suitleri (birim, entegrasyon ve uçtan uca) çalıştırılır. Güvenlik hususları, inceleme kontrol listesinin bir parçasıdır.
7. Yedekleme ve Felaket Kurtarma
7.1 Otomatik Yedeklemeler. Amazon Aurora, yedi (7) günlük saklama süresiyle sürekli ve otomatik yedekleme gerçekleştirir. Yedeklemeler, kaynak veri tabanlarıyla aynı müşteri yönetimli KMS anahtarları kullanılarak şifrelenir.
7.2 Belirli Bir Ana Geri Dönüş. Aurora, yedekleme saklama penceresi içindeki herhangi bir saniyeye geri dönüşü destekleyerek veri bozulması veya kazara silme durumlarında hızlı restorasyon imkanı sağlar.
7.3 S3 Veri Dayanıklılığı. Dosya yüklemeleri ve veri ambarı artefaktları, %99,999999999 (11 dokuz) dayanıklılık sağlayan Amazon S3’te saklanır. Kurtarma amacıyla nesnelerin önceki sürümlerini tutan S3 sürümleme özelliği etkindir.
7.4 İş Sürekliliği. Felaket kurtarma prosedürleri belgelenmiştir ve periyodik olarak test edilir. Sunucusuz mimari, doğası gereği eu-central-1 bölgesi içindeki birden fazla Erişilebilirlik Alanında (Availability Zone) yüksek kullanılabilirlik sağlar.
8. Olay Müdahale
8.1 Olay Bildirimi. Bir Güvenlik Olayı (DPA’da tanımlandığı şekilde) durumunda ProcessMind, etkilenen müşterileri gereksiz bir gecikme olmaksızın ve mümkünse olaydan haberdar olduktan sonraki yetmiş iki (72) saat içinde bilgilendirecektir.
8.2 Olay Yönetimi. ProcessMind; tanımlama, sınırlama, ortadan kaldırma, kurtarma ve olay sonrası incelemeyi kapsayan belgelenmiş olay müdahale prosedürlerine sahiptir. Olaylardan çıkarılan dersler, güvenlik kontrollerine ve süreçlerine dahil edilir.
8.3 İletişim. Olay bildirimleri; olayın niteliğini ve kapsamını, etkilenen veri kategorilerini, olayı kontrol altına almak için alınan önlemleri ve müşteri için önerilen eylemleri içerir.
9. Kurumsal Önlemler
9.1 Bilgi Güvenliği Yönetimi. ProcessMind, ISO 27001 ile uyumlu bir bilgi güvenliği yönetim sistemi yürütür. ProcessMind, müşteri gereksinimleri ve yasal düzenlemeler doğrultusunda sertifikalar almayı ve bunları sürdürmeyi hedefler.
9.2 Güvenlik Farkındalığı. Müşteri Verilerine erişimi olan tüm personel güvenlik farkındalık eğitimi alır. Güvenlikle ilgili en iyi uygulamalar; işe alım, geliştirme iş akışları ve operasyonel prosedürlerin ayrılmaz bir parçasıdır.
9.3 Tedarikçi ve Alt İşleyici Yönetimi. Alt işleyiciler, sözleşme yoluyla bu belgede açıklananlara eş değer veri koruma standartlarına uymakla yükümlüdür. ProcessMind, halka açık bir alt işleyici listesi tutar ve yeni bir alt işleyici ile çalışmaya başlamadan en az otuz (30) gün önce bildirimde bulunur. Alt işleyiciler, uyumluluk açısından yıllık olarak incelenir.
9.4 Gizlilik. Müşteri Verilerini işlemekle yetkilendirilmiş tüm personel, yazılı gizlilik yükümlülüklerine tabidir.
10. Uyumluluk ve Sertifikalar
| Çerçeve / Standart | Durum |
|---|---|
| GDPR (AB Genel Veri Koruma Yönetmeliği) | Uyumlu |
| AB Veri Yerleşimi (Frankfurt, Almanya) | Zorunlu |
| AWS Altyapı Sertifikaları (ISO 27001, SOC 2, PCI DSS) | AWS aracılığıyla devralındı |
| Uluslararası aktarımlar için Standart Sözleşme Maddeleri (SCC’ler) | Uygulandı (bakınız DPA ) |
| Veri İşleme Eki (DPA) | Talep üzerine temin edilebilir |
Güvenlik ve uyumlulukla ilgili sorularınız ya da denetim raporları veya tamamlanmış güvenlik anketleri gibi belgeleri talep etmek için security@processmind.com adresiyle iletişime geçin.