AI SaaS Güvenliği: Verileriniz Nasıl Korunuyor? KVKK Uyumluluğu ve Best Practices
AI SaaS Güvenliği ve Veri Koruma Rehberi 🔒🛡️
AI SaaS ürünlerinde veri güvenliği ve gizlilik kritik öneme sahiptir. Bu kapsamlı rehberde, verilerinizin nasıl korunduğunu, KVKK uyumluluğunu ve güvenlik best practice'lerini detaylı olarak inceliyoruz.
🎯 Bu Rehberde Öğrenecekleriniz
- Veri şifreleme ve güvenlik protokolleri
- KVKK ve GDPR uyumluluğu
- Kullanıcı veri hakları
- Güvenlik sertifikaları
- İki faktörlü kimlik doğrulama
- Veri yedekleme ve kurtarma
- Güvenlik best practices
🔐 Veri Şifreleme ve Güvenlik
1. Aktarım Sırasında Şifreleme (In-Transit)
TLS/SSL Protokolü:
- ✅ TLS 1.3 standardı kullanılır
- ✅ 256-bit şifreleme
- ✅ Perfect Forward Secrecy (PFS)
- ✅ HTTPS zorunlu (HTTP desteklenmez)
Sertifikalar:
- Let's Encrypt SSL sertifikaları
- Otomatik yenileme
- Wildcard sertifika desteği
- A+ SSL Labs skoru
2. Depolama Sırasında Şifreleme (At-Rest)
Veritabanı Şifreleme:
- AES-256 şifreleme algoritması
- Şifrelenmiş veritabanı yedekleri
- Anahtar rotasyonu (her 90 günde)
- Hardware Security Module (HSM) kullanımı
Dosya Depolama:
- AWS S3 server-side encryption
- Şifrelenmiş dosya sistemleri
- Güvenli dosya silme
- Versiyonlama ve audit trail
3. Uygulama Seviyesi Güvenlik
Kimlik Doğrulama:
- Bcrypt password hashing
- Minimum 12 karakter şifre
- İki faktörlü kimlik doğrulama (2FA)
- OAuth 2.0 ve OpenID Connect
- Session timeout (30 dakika)
Yetkilendirme:
- Role-based access control (RBAC)
- Granular permissions
- API key yönetimi
- IP whitelist desteği
📜 KVKK Uyumluluğu
1. KVKK Nedir?
Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye'de kişisel verilerin işlenmesini düzenleyen kanundur. 7 Nisan 2016'da kabul edilmiş, 24 Mart 2016'da yürürlüğe girmiştir.
2. Toplanan Veriler
Kişisel Veriler:
- Ad, soyad
- E-posta adresi
- Telefon numarası (opsiyonel)
- Şirket bilgileri (kurumsal hesaplar)
- IP adresi ve cihaz bilgileri
Kullanım Verileri:
- Giriş zamanları
- Kullanılan özellikler
- Üretilen içerik miktarı
- API kullanım istatistikleri
Ödeme Bilgileri:
- Kredi kartı bilgileri (PCI-DSS uyumlu 3. parti)
- Fatura bilgileri
- İşlem geçmişi
3. Veri İşleme Amaçları
- ✅ Hizmet sunumu
- ✅ Müşteri desteği
- ✅ Faturalama
- ✅ Ürün geliştirme
- ✅ Güvenlik ve dolandırıcılık önleme
- ✅ Yasal yükümlülükler
4. Veri Saklama Süreleri
| Veri Türü | Saklama Süresi | Sebep |
|---|---|---|
| Hesap bilgileri | Hesap aktif olduğu sürece | Hizmet sunumu |
| İçerik verileri | Hesap aktif + 30 gün | Veri kurtarma |
| Fatura bilgileri | 10 yıl | Yasal zorunluluk |
| Log kayıtları | 1 yıl | Güvenlik ve denetim |
| Pazarlama izinleri | İzin iptal edilene kadar | Pazarlama |
5. Kullanıcı Hakları
KVKK Kapsamında Haklarınız:
1. Bilgi Talep Etme Hakkı:
- Hangi verilerinizin işlendiğini öğrenme
- İşleme amacını öğrenme
- Verilerin aktarıldığı 3. tarafları öğrenme
2. Düzeltme Hakkı:
- Yanlış verilerin düzeltilmesini talep etme
- Eksik verilerin tamamlanmasını isteme
3. Silme Hakkı:
- Verilerinizin silinmesini talep etme
- İşleme amacının ortadan kalkması
- Rızanın geri çekilmesi
4. İtiraz Hakkı:
- Veri işlemeye itiraz etme
- Otomatik karar alma süreçlerine itiraz
5. Taşınabilirlik Hakkı:
- Verilerinizi yapılandırılmış formatta alma
- Başka bir hizmet sağlayıcıya aktarma
6. Veri Talebi Nasıl Yapılır?
Başvuru Yöntemleri:
- E-posta: kvkk@utebaylargrup.com
- Hesap ayarları → Veri hakları
- Yazılı başvuru (noter onaylı)
Yanıt Süresi: En geç 30 gün içinde
Gerekli Bilgiler:
- Ad, soyad
- T.C. kimlik numarası
- İletişim bilgileri
- Talep konusu
🌍 GDPR Uyumluluğu
1. GDPR Nedir?
General Data Protection Regulation (GDPR), AB'de kişisel verilerin korunmasını düzenleyen yönetmeliktir. 25 Mayıs 2018'de yürürlüğe girmiştir.
2. GDPR Gereksinimleri
Yasal Dayanak:
- Açık rıza (Consent)
- Sözleşme gerekliliği
- Yasal yükümlülük
- Meşru menfaat
Veri Minimizasyonu:
- Sadece gerekli veriler toplanır
- Amaç dışı kullanım yapılmaz
- Düzenli veri temizliği
Privacy by Design:
- Tasarımdan itibaren gizlilik
- Varsayılan gizlilik ayarları
- Veri koruma etki değerlendirmesi
3. Veri İhlali Bildirimi
Süreç:
- İhlal tespit edilir (anında)
- Kişisel Verileri Koruma Kurulu'na bildirim (72 saat)
- Etkilenen kullanıcılara bildirim (gerekirse)
- Düzeltici önlemler alınır
🏆 Güvenlik Sertifikaları
1. ISO 27001
Bilgi Güvenliği Yönetim Sistemi:
- ✅ Sertifikalı (2024)
- ✅ Yıllık denetim
- ✅ Risk yönetimi
- ✅ Sürekli iyileştirme
2. SOC 2 Type II
Güvenlik, Kullanılabilirlik, Gizlilik:
- Bağımsız denetim
- Kontrol etkinliği
- Operasyonel güvenlik
- Yıllık rapor
3. PCI-DSS
Ödeme Kartı Güvenliği:
- Level 1 uyumluluk
- Stripe ve iyzico entegrasyonu
- Kart bilgileri saklanmaz
- Tokenization kullanımı
🔑 İki Faktörlü Kimlik Doğrulama (2FA)
1. 2FA Nedir?
İki faktörlü kimlik doğrulama, hesap güvenliğini artıran ek bir güvenlik katmanıdır.
2. Desteklenen Yöntemler
1. Authenticator Uygulamaları:
- Google Authenticator
- Microsoft Authenticator
- Authy
- 1Password
2. SMS Doğrulama:
- Türkiye operatörleri desteklenir
- 6 haneli kod
- 5 dakika geçerlilik
3. E-posta Doğrulama:
- Yedek yöntem
- Güvenlik kodu
4. Yedek Kodlar:
- 10 adet tek kullanımlık kod
- Cihaz kaybında kullanım
- Güvenli saklama önerisi
3. 2FA Nasıl Aktif Edilir?
- Hesap Ayarları → Güvenlik'e gidin
- "İki Faktörlü Kimlik Doğrulama" bölümünü bulun
- "Aktif Et" butonuna tıklayın
- Yöntemi seçin (Authenticator önerilir)
- QR kodu tarayın veya kodu girin
- Doğrulama kodunu girin
- Yedek kodları kaydedin
💾 Veri Yedekleme ve Kurtarma
1. Yedekleme Stratejisi
Otomatik Yedekleme:
- Günlük tam yedek
- Saatlik artımlı yedek
- Gerçek zamanlı replikasyon
- Coğrafi olarak dağıtılmış
Yedek Lokasyonlar:
- Birincil: İstanbul (AWS)
- İkincil: Frankfurt (AWS)
- Üçüncül: İrlanda (AWS)
2. Veri Kurtarma
Recovery Time Objective (RTO): 4 saat
Recovery Point Objective (RPO): 1 saat
Kurtarma Senaryoları:
- Yanlışlıkla silme: 30 gün içinde kurtarma
- Hesap kapatma: 30 gün grace period
- Sistem arızası: Otomatik failover
- Felaket kurtarma: 4 saat içinde
3. Manuel Yedekleme
Kullanıcı Yedekleme Seçenekleri:
- Tüm verileri dışa aktar (JSON, CSV)
- Seçili içerikleri indir
- API ile otomatik yedekleme
- Zamanlanmış export
🛡️ Güvenlik Best Practices
1. Güçlü Şifre Oluşturma
Öneriler:
- ✅ Minimum 12 karakter
- ✅ Büyük ve küçük harf
- ✅ Rakam ve özel karakter
- ✅ Sözlük kelimesi kullanmayın
- ✅ Her hizmet için farklı şifre
- ✅ Şifre yöneticisi kullanın
Kötü Şifre Örnekleri:
- ❌ 123456
- ❌ password
- ❌ qwerty
- ❌ Doğum tarihi
- ❌ İsim + yıl
İyi Şifre Örneği:
- ✅ K7$mP9@xL2#nQ5
- ✅ Doğru-At-Pil-Zımba-42!
2. Hesap Güvenliği
Yapılması Gerekenler:
- ✅ 2FA'yı aktif edin
- ✅ Düzenli şifre değiştirin (90 günde)
- ✅ Giriş aktivitelerini kontrol edin
- ✅ Şüpheli aktiviteleri bildirin
- ✅ Güvenli ağlar kullanın
- ✅ Cihazlarınızı güncel tutun
Yapılmaması Gerekenler:
- ❌ Şifrenizi paylaşmayın
- ❌ Halka açık WiFi'de giriş yapmayın
- ❌ Phishing e-postalarına tıklamayın
- ❌ API anahtarlarını paylaşmayın
- ❌ Tarayıcıda şifre kaydetmeyin
3. API Güvenliği
Best Practices:
- API anahtarlarını ortam değişkenlerinde saklayın
- Düzenli olarak rotate edin
- IP whitelist kullanın
- Rate limiting uygulayın
- HTTPS zorunlu tutun
- Webhook'ları doğrulayın
4. Ekip Güvenliği
Çoklu Kullanıcı Yönetimi:
- En az yetki prensibi
- Role-based access control
- Düzenli yetki gözden geçirme
- Çalışan ayrılışında erişim iptali
- Audit log takibi
🚨 Güvenlik İhlali Durumunda
1. Şüpheli Aktivite Tespit Ettiyseniz
- Hemen şifrenizi değiştirin
- 2FA'yı aktif edin (değilse)
- Tüm aktif oturumları sonlandırın
- API anahtarlarını yenileyin
- Destek ekibine bildirin
2. Phishing Saldırısı
Tanıma İpuçları:
- Şüpheli gönderici adresi
- Acil eylem talepleri
- Yazım hataları
- Şüpheli linkler
- Beklenmeyen ekler
Yapılması Gerekenler:
- E-postayı açmayın/tıklamayın
- Spam olarak işaretleyin
- security@utebaylargrup.com'a iletin
- Şifrenizi değiştirin (tıkladıysanız)
3. İletişim
Güvenlik Ekibi:
- 📧 security@utebaylargrup.com
- 🚨 Acil: +90 XXX XXX XX XX
- 💬 Canlı destek: 7/24
📊 Güvenlik Raporları
1. Şeffaflık Raporu
Yılda 2 kez yayınlanan şeffaflık raporumuzda:
- Veri talepleri istatistikleri
- Güvenlik olayları
- Sistem uptime
- Uyumluluk güncellemeleri
2. Güvenlik Denetimi
- Yıllık penetrasyon testi
- Üç aylık güvenlik taraması
- Sürekli vulnerability monitoring
- Bug bounty programı
🎯 Sonuç
Veri güvenliği ve gizlilik bizim için en yüksek önceliktir. Sürekli olarak:
- ✅ Güvenlik standartlarını güncelliyoruz
- ✅ Yeni tehditler için hazırlıklıyız
- ✅ Kullanıcı haklarını koruyoruz
- ✅ Şeffaf iletişim sağlıyoruz
- ✅ Yasal gereksinimlere uyuyoruz
📚 Ek Kaynaklar
- 📄 KVKK Aydınlatma Metni
- 📄 Gizlilik Politikası
- 📄 Çerez Politikası
- 📄 Veri İşleme Sözleşmesi
- 📄 Güvenlik Beyaz Kağıdı
İndirme: guvenlik.utebaylargrup.com
Son güncelleme: 24 Aralık 2025 | Versiyon: 3.2
© 2025 Ütebaylar Grup. Tüm hakları saklıdır.
