Harmonity’nin GDPR, UK GDPR ve KVKK kapsamında kişisel verilerinizi sizin adınıza nasıl işlediğini açıklar.
LegalX Yapay Zeka Teknolojileri A.Ş.
APY Tekmer, Ataşehir Bulvarı, Atatürk, Ertuğrul Gazi Sk. D:2 Blok No:13, 34758 Ataşehir/İstanbul, Türkiye
Bu Veri İşleme Eki ("DPA"), Müşteri ile LegalX Yapay Zeka Teknolojileri A.Ş. ("Harmonity") arasındaki Sözleşme’nin bir parçasıdır. Harmonity hizmetiyle bağlantılı olarak kişisel verileri sizin adınıza işlerken veri işleyici olarak üstlendiğimiz yükümlülükleri tanımlar.
| Yasal Metin | Sade Anlatımla |
|---|---|
| 1.1 Bu Veri İşleme Eki ("DPA"), Sipariş Formu’nda belirtilen müşteri ("Müşteri") ile LegalX Yapay Zeka Teknolojileri A.Ş. ("Harmonity", "İşlemci", "biz") arasındaki Sözleşme’nin bir parçasıdır. Bu DPA’da tanımlanmayan büyük harfle başlayan terimler, Hizmet Koşulları veya ilgili Sipariş Formu’nda belirtilen anlamlara sahiptir. | Bu DPA, Harmonity için imzaladığınız sözleşmenin bir parçasıdır. |
| 1.2 Bu DPA, Müşteri’nin Veri Sorumlusu (veya Veri Sorumlusu adına hareket eden) ve Harmonity’nin İşlemci olduğu durumlarda, Hizmet kapsamında Harmonity tarafından Müşteri adına gerçekleştirilen Kişisel Veri İşleme faaliyetleri için geçerlidir. | Harmonity’yi kullanırken sizin adınıza işlediğimiz kişisel verileri kapsar. |
| 1.3 Öncelik sırası. Koşullar ile bu DPA arasında Kişisel Veri İşleme konusunda bir çelişki olması halinde bu DPA geçerli olacaktır. Sipariş Formu ile bu DPA arasında bir çelişki olması halinde, yalnızca Sipariş Formu’nun bu DPA’yı açıkça geçersiz kıldığını belirttiği ölçüde Sipariş Formu geçerli olacaktır. | Gizlilik/veri işleme konularında bu DPA genel Koşullar’ın önüne geçer—imzalanan Sipariş Formu’nuz açıkça aksini belirtmediği sürece. |
| 1.4 Bu DPA, bağımsız bir Veri Sorumlusu olarak işlediğimiz veriler için geçerli değildir (ör. web sitesi ziyaretçileri, pazarlama iletişimleri). Bu faaliyetler Gizlilik Politikamız tarafından kapsanmaktadır. | Web sitesi/pazarlama verileri bu DPA değil, Gizlilik Politikası tarafından kapsanmaktadır. |
| Yasal Metin | Sade Anlatımla |
|---|---|
| 2.1 "Uygulanabilir Veri Koruma Mevzuatı", Sözleşme kapsamında Kişisel Verilerin İşlenmesi için geçerli tüm yasaları ifade eder; bunlar arasında uygulanabildiği durumlarda: (a) AB GDPR (Tüzük (AB) 2016/679); (b) UK GDPR ve UK Veri Koruma Yasası 2018; ve (c) 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve ilgili ikincil mevzuat ve rehberler yer alır. | Bu madde, ilgili olduğu durumlarda GDPR/UK GDPR’yi ve Türkiye için KVKK’yı referans alır. |
| 2.2 "Kişisel Veri", "İşleme", "Veri Sorumlusu", "İşlemci" ve "Kişisel Veri İhlali" GDPR ve/veya KVKK’da (uygulanabilir olduğu şekilde) belirtilen anlamlara sahiptir. | Standart gizlilik tanımları. |
| 2.3 "Müşteri Verisi", Müşteri tarafından veya Müşteri adına Hizmet’e gönderilen, saklanan veya işlenen veriler (Kişisel Veriler dahil) anlamına gelir; sözleşme belgeleri, meta veriler ve türetilmiş çıktılar dahildir. | Harmonity’deki sözleşmeleriniz ve ilgili verileriniz. |
| 2.4 "Alt İşlemci", Harmonity tarafından Müşteri Kişisel Verilerini Müşteri adına işlemek üzere görevlendirilen herhangi bir İşlemci anlamına gelir. | Hizmeti yürütmek için kullandığımız tedarikçiler. |
| 2.5 "Güvenlik Paketi", Harmonity’nin gizlilik sözleşmesi (NDA) kapsamında veya başka bir şekilde sağlayabileceği (mevcut olduğu ölçüde) teknik ve organizasyonel önlemlerin özetleri ile ilgili materyalleri içeren tedarik/güvenlik dokümantasyonu anlamına gelir. | Kurumsal ekiplerin güvenlik değerlendirmesi sırasında talep ettiği doküman paketi. |
| Yasal Metin | Sade Anlatımla |
|---|---|
| 3.1 Müşteri, Müşteri Kişisel Verilerinin Veri Sorumlusudur ve İşlemenin amaçlarını ve araçlarını belirler. Harmonity, İşlemcidir ve Müşteri Kişisel Verilerini yalnızca Müşteri’nin belgelenmiş talimatlarına göre işler; bu talimatlar, Sözleşme kapsamında Hizmeti sunmak için gerekli olanları da içerir. | Kişisel verinin "neden/nasıl" işleneceğine siz karar verirsiniz; biz yalnızca Harmonity’yi sunmak ve talimatlarınızı uygulamak için işleriz. |
| 3.2 Müşteri’nin talimatları şunlarda belgelenmiştir: (a) Sözleşme; (b) Müşteri’nin Hizmeti yapılandırması ve kullanması; ve (c) Sözleşme ve Uygulanabilir Veri Koruma Mevzuatı ile tutarlı olmak koşuluyla, taraflarca karşılıklı olarak kabul edilen ek yazılı talimatlar. | Talimatlarınız genellikle şunlardır: sözleşme + Harmonity’yi nasıl kullanıp yapılandırdığınız. |
| 3.3 Harmonity, kendi görüşüne göre bir talimatın Uygulanabilir Veri Koruma Mevzuatını ihlal ettiği durumlarda (yasal olarak izin verildiyse) Müşteri’yi bilgilendirecektir. | Kişisel verilerle ilgili yasa dışı bir şey yapmamızı isterseniz bunu bildiririz. |
| 3.4 İşlemenin detayları (konu, süre, nitelik/amaç, veri kategorileri ve veri sahipleri), Ek 1’de belirtilmiştir. | Ek 1, "İşleme Detayları" appendiksidir. |
| Yasal Metin | Sade Anlatımla |
|---|---|
| 4.1 Gizlilik. Harmonity, Müşteri Kişisel Verilerini işlemeye yetkili kişilerin gizlilik yükümlülüklerine (sözleşmesel veya yasal) tabi olmasını ve rolleriyle ilgili uygun gizlilik/güvenlik eğitimi almasını sağlayacaktır. | Çalışanlarımız/yüklenicilerimiz verilerinizi gizli tutmak zorundadır. |
| 4.2 Güvenlik Önlemleri. Harmonity, Müşteri Kişisel Verilerini kazara veya yasa dışı imhaya, kayba, değişikliğe, yetkisiz ifsa veya erişime karşı korumak için tasarlanmış uygun teknik ve organizasyonel önlemleri uygulayacak ve sürdürecektir. Önlemlerin üst düzey açıklaması Ek 2’de yer almaktadır. | Hassas sözleşme verileri için uygun güvenlik kontrolleri uygularız; Ek 2 bunları özetler. |
| 4.3 Veri Sahibi Talepleriyle Yardım. İşlemenin niteliğini dikkate alarak, Harmonity, Müşteri’nin Hizmet’in self-servis kontrolleri aracılığıyla karşılayamadığı ölçüde, Veri Sahibi taleplerine (erişim, silme, düzeltme vb.) yanıt vermesi için makul düzeyde yardım sağlayacaktır. | Birisi GDPR/KVKK haklarını kullanırsa ve bunu doğrudan üründe yapamıyorsanız, size yardımcı oluruz. |
| 4.4 Uyumluluk desteği. Harmonity, Müşteri’ye şu konularda makul düzeyde yardım sağlayacaktır: (a) güvenlik ve ihlal bildirimleri; (b) gerekli olduğunda VİED (DPIA) ve ön danışmalar; ve (c) Hizmet göz önüne alınarak uyumluluğun gösterilmesi. | Uyumluluk çalışmalarınızı (VİED, ihlal yönetimi vb.) pratik bir şekilde destekleriz. |
| 4.5 Kişisel Veri İhlali Bildirimi. Harmonity, Müşteri Kişisel Verilerini etkileyen bir Kişisel Veri İhlali’nden haberdar olduktan sonra gereksiz gecikme olmaksızın Müşteri’yi bilgilendirecek ve Uygulanabilir Veri Koruma Mevzuatına uyum için makul ölçüde gerekli bilgileri sağlayacaktır. Olayın niteliği, etkilenen Veri Sahiplerinin/kayıtların kategori ve yaklaşık sayısı, olası sonuçlar ve alınan önlemler mümkün olduğunda bildirime dahil edilecektir. | Verilerinizi etkileyen bir ihlal olursa, sizi hızla bilgilendirir ve yükümlülüklerinizi yerine getirmeniz için gereken bilgileri paylaşırız. |
| 4.6 Zamanlama notu (GDPR). GDPR’nin uygulandığı durumlarda, Harmonity (mümkün olduğunda) Müşteri’nin denetim makamlarını farkına varmasından itibaren 72 saat içinde bilgilendirme yükümlülüğünü destekleyecek bir zaman çerçevesinde ilk bildirimi yapmayı hedefleyecektir; olay bilgilerinin gelişebileceği göz önünde bulundurulur. | GDPR’nin 72 saatlik beklentisini karşılamanıza yardımcı oluruz—anında mükemmel bilgi vaat etmeksizin. |
| 4.7 "Hukuki danışmanlık" sunulmaz. Harmonity hukuki danışmanlık sağlamaz. Hizmet’in özellikleri, iş akışları ve çıktılarının Müşteri’nin uyumluluk yükümlülükleri için uygun olup olmadığını belirlemek Müşteri’nin sorumluluğundadır. | Biz bir yazılım sağlayıcısıyız, avukatınız değiliz. |
| Yasal Metin | Sade Anlatımla |
|---|---|
| 5.1 Yetkilendirme. Müşteri, Hizmet’in sunulması için Müşteri Kişisel Verilerini işlemek üzere Alt İşlemciler görevlendirmesi için Harmonity’ye genel bir yetki verir. | Harmonity’yi çalıştırmak için tedarikçi kullanmamıza genel olarak izin verirsiniz. |
| 5.2 Alt İşlemci listesi. Harmonity, /trust/subprocessors adresinde ("Alt İşlemci Listesi") güncel bir Alt İşlemci listesi tutacaktır. Liste en azından Alt İşlemci adını, amacını ve (uygulanabilir olduğunda) üst düzey işleme bölgesini/konumunu içerecektir. | Resmi tedarikçi listesi Güven Merkezi sayfasında yer alacaktır. |
| 5.3 Değişiklikler ve bildirim. Harmonity, Alt İşlemci Listesi’ndeki önemli değişiklikleri Güven Merkezi sayfasını güncelleyerek bildirecek ve ticari açıdan makul olduğu durumlarda, makul kanallar aracılığıyla (örn. e-posta veya ürün içi bildirim) önceden bildirim sağlayacaktır. | Tedarikçiler değiştiğinde listeyi güncelleriz ve bildirim yapmaya çalışırız. |
| 5.4 İtiraz süreci. Müşteri, veri koruma gerekçeleriyle yeni bir Alt İşlemci’ye makul bir şekilde itiraz ederse, bildirimden sonra makul bir süre içinde Harmonity’ye yazılı olarak bildirmelidir. Taraflar itirazı çözmek için iyi niyetle çalışacaklardır. Taraflar itirazı çözemezlerse, Müşteri, Sözleşme kapsamında etkilenen Hizmet bileşenini sonlandırabilir (geçerli sözleşmesel taahhütlere tabidir). | Geçerli gizlilik gerekçeleriyle yeni bir tedarikçiye itiraz edebilirsiniz; çözmeye çalışırız, mümkün olmazsa fesih hakkı geçerlidir. |
| 5.5 Aktarım hükümleri. Harmonity, Müşteri Kişisel Verileriyle ilgili olarak bu DPA’dan daha az koruyucu olmayan yazılı yükümlülükleri (gizlilik ve güvenlik yükümlülükleri dahil) Alt İşlemcilere yükleyecektir. Harmonity, bu aktarım hükümleri kapsamındaki yükümlülüklerin Alt İşlemciler tarafından yerine getirilmesinden sorumlu olarak kalır. | Tedarikçileri verilerinizi korumak için sözleşmesel olarak bağlarız ve sorumluluğumuz devam eder. |
| Yasal Metin | Sade Anlatımla |
|---|---|
| 6.1 Müşteri, Hizmet’in Müşteri Kişisel Verilerinin Türkiye, AEA/BK ve Alt İşlemci Listesi’ne ve Müşteri yapılandırmasına bağlı olarak diğer yetki alanlarında İşlenmesini gerektirebileceğini kabul eder. | Veriler, kurulum ve tedarikçilere bağlı olarak farklı bölgelerde işlenebilir. |
| 6.2 GDPR/UK GDPR’nin uygulandığı ve Müşteri Kişisel Verilerinin AEA/BK dışında yeterli koruma sağlamadığı kabul edilen bir yetki alanına aktarıldığı durumlarda, taraflar uygun bir aktarım mekanizmasına (Avrupa Komisyonu’nun Standart Sözleşme Hükümleri veya UK IDTA/eki gibi) başvuracaklardır. | GDPR uygulanıyor ve veri AEA/BK dışına çıkıyorsa, gerektiğinde tanınan yasal aktarım araçlarını kullanırız. |
| 6.3 KVKK aktarımları. KVKK’nın uygulandığı ve sınır ötesi aktarımların özel güvenceler, onaylar veya taahhütler gerektirdiği durumlarda, taraflar Veri Sorumlusu ve İşlemci rollerini, Türk Kişisel Verileri Koruma Kurumu’nun ilgili rehberlik ve kararlarını dikkate alarak yasal olarak gerekli mekanizmayı uygulamak üzere iyi niyetle işbirliği yapacaklardır. | KVKK uluslararası aktarımlar için ek adımlar gerektiriyorsa, bunları uygulamak için işbirliği yaparız. |
| 6.4 Bu bölüm, Sözleşme ve Uygulanabilir Veri Koruma Mevzuatı’nda belirtilen sınırlamalara ve sorumluluk dağılımına tabidir. | Aktarım uyumluluğu paylaşımlıdır ve yasaya ve rollere bağlıdır. |
| Yasal Metin | Sade Anlatımla |
|---|---|
| 7.1 Sözleşme süresi boyunca Müşteri, Hizmet’in mevcut işlevlerini kullanarak Müşteri Verilerini dışa aktarabilir veya alabilir. | Abonelik süresince verilerinizi dışa aktarabilirsiniz. |
| 7.2 Sözleşme’nin sona ermesi veya feshedilmesi üzerine, Harmonity, Müşteri Kişisel Verilerini Sözleşme’de belirtildiği şekilde sınırlı bir süre boyunca dışa aktarım için erişilebilir kılacaktır (yasal olarak yasaklanmadıkça). Bu sürenin ardından, Harmonity Müşteri Kişisel Verilerini makul bir zaman diliminde silecek veya anonimleştirecektir; saklamanın geçerli yasa tarafından gerekli olması veya yasal taleplerin kurulması, kullanılması veya savunulması için gerekli olması halleri hariçtir. | İptal sonrasında verilerinizi indirmek için sınırlı bir süreniz olur; ardından yasal nedenlerle saklanması gerekmedikçe sileriz. |
| 7.3 Müşteri, yedeklerde kalıntı kopyaların sınırlı bir süre boyunca kalabileceğini kabul eder; ancak bu yedekler korunmakta olup geri yükleme ve iş sürekliliği amaçları dışında aktif olarak işlenmez ve Harmonity’nin yedek saklama döngüsüne göre silinir/üzerine yazılır. | Yedeklerde veriler kısa süre kalabilir, ancak korunur ve nihayetinde üzerine yazılır. |
| Yasal Metin | Sade Anlatımla |
|---|---|
| 8.1 Talep üzerine ve gizlilik yükümlülüklerine (gerektiğinde NDA dahil) tabi olarak, Harmonity, bu DPA’ya uyumluluğu göstermek için gerekli makul bilgileri Müşteri’ye sağlayacaktır; bunlar arasında ilgili güvenlik önlemlerinin özetleri ve (mevcut olduğunda) üçüncü taraf denetim raporları, sertifikalar veya değerlendirmeler yer alabilir. | Güvenlik dokümantasyonunu tedarik incelemesi için (gerektiğinde NDA kapsamında) paylaşırız. |
| 8.2 Müşteri, bu DPA’ya Harmonity’nin uyumluluğunu yalnızca şu durumlarda denetleyebilir: (a) Müşteri, sağlanan dokümantasyon aracılığıyla uyumluluk gereksinimlerini makul ölçüde karşılayamadığında; ve (b) denetimin Müşteri Kişisel Veri İşlemesi ile sınırlı olduğunda. Denetimler: (i) makul önceden yazılı bildirimle; (ii) mesai saatlerinde; (iii) 12 aylık dönemde en fazla bir kez (yasa gereği veya doğrulanmış bir ihlali takiben hariç); ve (iv) diğer müşterileri ve Harmonity’nin sistemlerini korumak için tasarlanmış gizlilik ve güvenlik kısıtlamalarına tabi olarak gerçekleştirilmelidir. | Denetimler mümkün ancak kontrollüdür: önce dokümantasyon; denetimler sınırlı, planlı ve aksatmayan şekilde yapılır. |
| 8.3 Müşteri kendi denetim masraflarını karşılar. Denetim önemli bir uyumsuzluk ortaya koyarsa, taraflar iyi niyetle düzeltmeyi görüşecektir. | Denetim masraflarınız size aittir; önemli bir uyumsuzluk varsa düzeltme için çalışırız. |
| Yasal Metin | Sade Anlatımla |
|---|---|
| 9.1 Yalnızca hizmet sunumu. Harmonity, Müşteri Kişisel Verilerini yalnızca Hizmeti Müşteri için sağlamak, güvence altına almak, sürdürmek ve iyileştirmek amacıyla işleyecektir; Müşteri’nin başlattığı yapay zeka destekli özellikleri sunmak da buna dahildir. | Verilerinizi sizin için ürünü çalıştırmak amacıyla kullanırız. |
| 9.2 Müşteri Verileri üzerinde eğitim yapılmaz (genel modeller). Harmonity, Müşteri Verilerini (Müşteri Kişisel Verileri dahil) diğer müşteriler tarafından kullanılması amaçlanan genel amaçlı makine öğrenimi modellerini eğitmek veya iyileştirmek için kullanmayacaktır; Müşteri’nin yazılı olarak açıkça onay verdiği durumlar hariçtir. | Sözleşmeleriniz diğer müşteriler için model eğitiminde kullanılmaz—açıkça onay vermedikçe. |
| 9.3 Toplu/anonim veriler. Harmonity, Hizmet’ten elde edilen toplu ve/veya anonimleştirilmiş verileri analitik, ürün iyileştirme ve güvenlik amaçlarıyla oluşturabilir ve kullanabilir; ancak bu verilerin Müşteri’yi veya herhangi bir bireyi tanımlamaması koşuluyla. | Platformu iyileştirmek için gerçekten anonimleştirilmiş analitikleri kullanabiliriz. |
| Yasal Metin | Sade Anlatımla |
|---|---|
| 10.1 Bu DPA, Sözleşme kapsamında Harmonity’nin Müşteri Kişisel Verilerini işlemesi süresince yürürlükte kalır. Fesih sonrasında geçerliliğini sürdürmesi amaçlanan bölümler (gizlilik, denetim ve silme yükümlülükleri dahil) uygulanabilir olduğu şekilde geçerliliğini korur. | DPA, verilerinizi işlediğimiz sürece geçerlidir. |
| 10.2 Bu DPA kapsamındaki sorumluluk, Uygulanabilir Veri Koruma Mevzuatının bu tür sınırlamaları yasakladığı durumlar hariç olmak üzere, Sözleşme’de belirtilen sorumluluk sınırlamalarına tabidir. | Ana Koşullar’daki aynı sorumluluk sınırları geçerlidir; yasa bir şeyi sınırlamayı yasaklamadıkça. |
| 10.3 Uygulanacak hukuk ve uyuşmazlıklar. Bu DPA kapsamında veya bununla bağlantılı olarak ortaya çıkan uyuşmazlıklar, Hizmet Koşulları’ndaki uyuşmazlık çözümü maddesine uygun olarak, İstanbul, Türkiye’deki ISTAC’ta tahkim yoluyla, yargılama dili Türkçe olmak üzere; zorunlu hukuk aksini gerektirmedikçe çözümlenecektir. | Koşullar ile aynı uyuşmazlık maddesi (ISTAC, İstanbul, Türkçe). |
| Yasal Metin | Sade Anlatımla |
|---|---|
| A1.1 Konu. Hizmetin sunulması: sözleşme oluşturma, inceleme, işbirliği, onay iş akışları, sözleşme deposu özellikleri ve ilgili destek/operasyonlar; Müşteri tarafından başlatılan yapay zeka destekli özellikler dahil. | İşlemenin ne için olduğu. |
| A1.2 Süre. Sözleşme süresi ve Sözleşme ile bu DPA’da belirtilen fesih sonrası saklama/dışa aktarım süresi ve yedekleme döngüsü. | Verileri ne kadar süre işlediğimiz. |
| A1.3 İşlemenin Niteliği. Barındırma, depolama, getirme, organizasyon, iletim, görüntüleme, dönüştürme (örn. meta veri çıkarma), erişim kontrolü uygulama, denetim kaydı tutma ve destek operasyonları; ve Müşteri tarafından talep edildiğinde, Hizmet içinde çıktı oluşturmak için Müşteri tarafından sağlanan girdilerin yapay zeka ile işlenmesi. | Verilerle pratikte ne yapıldığı. |
| A1.4 Amaç(lar). Hizmeti Müşteri için sağlamak, sürdürmek, güvence altına almak ve desteklemek; kötüye kullanımı önlemek ve güvenilirliği sağlamak; yasal yükümlülüklere uymak; ve Müşteri tarafından talep edilen yapay zeka özelliklerini sunmak. | Neden işlediğimiz. |
| A1.5 Veri Sahiplerinin Kategorileri. Müşteri’nin yetkili kullanıcıları; Müşteri’nin çalışanları; Müşteri’nin karşı tarafları ve temsilcileri; imzacılar; işbirlikçiler; ve Hizmete yüklenen sözleşmelerde veya ilgili kayıtlarda Kişisel Verileri bulunan diğer bireyler. | Platformda kimlerin verileri görünebilir. |
| A1.6 Kişisel Veri Kategorileri. İsimler, iş iletişim bilgileri, unvanlar/roller, imzalar, sözleşme belgelerindeki tanımlayıcılar, işbirliği iş akışlarındaki iletişim içeriği ve sözleşmeyle ilgili meta veriler içerebilir. Müşteri, Hizmete gönderilen içeriği kontrol eder. | Sözleşmelerdeki ve işbirliğindeki tipik kişisel veriler. |
| A1.7 Özel kategoriler / hassas veriler. Hizmet, Müşteri’nin özel nitelikli veri kategorileri (GDPR m. 9) veya yüksek hassasiyetli tanımlayıcılar göndermesi için tasarlanmamıştır; Müşteri gerekliliği değerlendirip uygun önlemleri almadıkça. Harmonity bu tür verileri bilerek talep etmez. | Gerekli olmadıkça ve değerlendirmediğiniz sürece hassas veri göndermeyin. |
| A1.8 İşleme operasyonları. Toplama (Müşteriden), depolama, organizasyon, erişim, ifsa (yetkili kullanıcılara), silme ve Hizmeti sunmak için gerektiğinde aktarım. | Operasyonlar listesi. |
| Yasal Metin | Sade Anlatımla |
|---|---|
| A2.1 Erişim kontrolü. Çalışma alanı ve belge düzeyinde rol tabanlı erişim kontrolleri ve izin sınırları; kimlik doğrulama kontrolleri; dahili erişim için en az ayrıcalık ilkeleri. | İzinler ve en az ayrıcalık. |
| A2.2 Şifreleme. Aktarım sırasında ve beklemede (üst düzey) şifreleme; Hizmete uygun güvenli anahtar yönetimi uygulamaları. | Veriler hareket halinde ve saklanırken şifrelenir (üst düzey). |
| A2.3 Kayıt tutma ve denetlenebilirlik. Soruşturmaları ve yönetişimi desteklemek için tasarlanmış güvenlik kaydı tutma ve denetim izleri; mümkün olduğunda atfedilebilir eylemler. | Kim ne yaptı ve ne zaman (denetim izi). |
| A2.4 Güvenli geliştirme ve değişiklik yönetimi. Zafiyetleri azaltmak için tasarlanmış uygulamalar (örn. kod incelemesi, ortam ayrımı, kontrollü dağıtım). | Güvenli SDLC temelleri. |
| A2.5 Zafiyet yönetimi. Zafiyetleri tespit etme, önceliklendirme ve giderme süreçleri; bağımlılık güncellemeleri ve uygun şekilde izleme. | Zafiyetleri giderir ve yönetiriz. |
| A2.6 Olay müdahalesi. Soruşturma, kontrol altına alma, düzeltme ve müşteri bildirim yollarını içeren belgelenmiş olay müdahale süreci. | Bir olay müdahale sürecimiz var. |
| A2.7 Yedekleme ve kurtarma. İş sürekliliğini desteklemek için tasarlanmış yedekleme ve kurtarma süreçleri; yedekleme sistemleri etrafında erişim kontrolleri. | Yedekler mevcuttur ve korunmaktadır. |
| A2.8 Alt İşlemci kontrolleri. Alt İşlemciler için sözleşmesel güvenceler ve özen yükümlülüğü; erişimin gerekli olanla sınırlandırılması. | Tedarikçiler sözleşmesel ve operasyonel olarak kontrol edilir. |
| A2.9 Organizasyonel önlemler. Güvenlik farkındalık beklentileri, gizlilik yükümlülükleri ve dahili erişim yönetişimi. | Kişi/süreç kontrolleri de vardır. |
| Yasal Metin | Sade Anlatımla |
|---|---|
| A3.1 Güncel Alt İşlemci Listesi /trust/subprocessors adresinde tutulmakta olup bu DPA’ya atıf yoluyla dahil edilmiştir. | Tedarikçi listesi Güven Merkezi sayfasında yer almaktadır. |
Bu DPA hakkında sorularınız mı var? Bize ulaşın: support@harmonity.ai