aaynavu
Demo İste

Güvenlik merkezi

Teknik Güvenlik & Altyapı

Müşteri fotoğrafı ve kişisel veri işleyen bir platform için güvenlik, yalnızca bir kutucuk değildir. Bu sayfa Aynavu'nun teknik mimarisini, güvenlik kontrollerini ve kurumsal uyum belgelerini CTO, hukuk ve satın alma ekiplerine açıklar.

TLS 1.3AES-256Veri Türkiye'deKVKK 6698RBAC

Altyapı Mimarisi

CDN & Edge

  • Cloudflare Workers (edge compute)
  • DDoS koruması (L3/L4/L7)
  • Web Application Firewall (WAF)
  • Bot management

Görsel İşleme

  • Türkiye sunucuları (tr-west bölgesi)
  • Yurt dışına veri çıkmaz
  • Oturum sonu otomatik silme
  • Şifreli geçici depolama

Veritabanı

  • Cloudflare D1 (SQL, şifreli)
  • Yedekleme: günlük snapshot
  • Erişim: yalnızca worker üzerinden
  • Doğrudan internet erişimi yok

Şifreleme

KatmanYöntemAçıklama
TransitTLS 1.3Tarayıcı → edge → işleme sunucusu tüm hatlarda zorunlu
DurağanAES-256-GCMDisk üzerindeki tüm veri şifreli, anahtar yönetimi HSM üzerinde
Fotoğraf geçici bellekAES-256 + otomatik TTLMax 60 dk TTL; oturum kapandığında yazılım silme + üzerine yazma
Yönetim oturumuHMAC-SHA256Oturum çerezi imzalı; sır ortam değişkeninde tutulur, çerezde veya logda taşınmaz

Erişim Kontrolü

Erişim Kontrolü

  • • Şu an tek operatörlü yönetim paneli (parola korumalı)
  • • Müşteri fotoğraf verisine erişim: yalnızca işleme servisi
  • • Çok-rollü RBAC ve sorgu bazlı erişim logları (planlanan)
  • • Ayrıcalıklı erişim için MFA (planlanan)

Kimlik Doğrulama

  • • Admin: sabit-zamanlı gizli anahtar doğrulaması + imzalı oturum çerezi
  • • API: HMAC-SHA256 imzalı anahtarlar (planlanan)
  • • Enterprise: SSO / SAML 2.0 (planlanan)
  • • Oturum süresi: 7 gün (admin)

Ağ Güvenliği

  • • Tüm harici trafik: WAF + rate limiting
  • • İçerik güvenlik politikası (CSP): uygulanıyor
  • • HTTP güvenlik başlıkları: HSTS, X-Frame-Options, nosniff
  • • Yönetim erişimi: IP allowlist (planlanan)

Denetim Logları

  • • Yönetici işlemleri (giriş, gönderim) loglanır
  • • Fotoğraf silme olayları kayıt altına alınır
  • • Yapılandırılabilir log saklama (planlanan)
  • • Kurumsal: log export API (planlanan)

Veri Yaşam Döngüsü — Müşteri Fotoğrafı

1

Yükleme

Kullanıcı selfie yükler. TLS 1.3 şifreli iletim. KVKK rıza kaydı oluşturulur.

2

İşleme

Görsel render motoruna iletilir (Türkiye sunucusu). Sonuç oluşturulur. Ham görsel geçici bellekte.

3

Sunum

Render edilen görüntü kullanıcıya gösterilir. Sonuç önbelleğe alınmaz.

4

Silme

Oturum bitişinde (veya max 60 dk TTL) ham görsel yazılım + üzerine yazma ile silinir. Silme logu oluşturulur.

Fotoğraf eğitim verisine dahil edilmez

Müşteri görsel verisi model eğitiminde kullanılmaz — ayrıca yazılı sözleşme olmadan asla. Bu kural pilot sözleşmesinin standart bir maddesidir.

Olay Müdahale Planı

1 saat
Tespit → iç escalation
24 saat
Etkilenen marka bilgilendirilir
72 saat
KVKK md. 12 kapsamında KVKK Kurulu bildirim (gerekirse)

Olay müdahale planı kapsamındaki adımlar: tespid, izolasyon, kök neden analizi, giderim, müşteri bildirimi ve olay sonrası rapor. Ayrıntılı plan kurumsal müşterilere DPA ile birlikte sunulur.

BT ve Hukuk Ekipleri için SSS

Pentest veya bağımsız güvenlik değerlendirmesi yapıldı mı?+

Yıllık güvenlik değerlendirmesi yapılmaktadır. Pilot sürecinde kurumsal müşterilere güvenlik özet raporu paylaşılır. Sertifikalı pentest raporu roadmap üzerindedir ve büyük enterprise müşteriler için NDA altında gözden geçirme imkânı sunulabilir.

SOC 2 veya ISO 27001 sertifikasyonu var mı?+

Şu an için resmi sertifikasyon bulunmamaktadır. SOC 2 Type II yol haritasındadır. Mevcut kontroller bu standartların gereksinimlerine paralel tasarlanmıştır ve kurumsal müşterilere bir uyum matrisi sunulabilir.

Widget sitemizi nasıl etkiler? Yavaşlatır mı?+

Widget asenkron yüklenir, ana sayfa renderını bloklamaz. CDN üzerinden dağıtılır. Hedef yükleme süresi 4 saniye altındadır. Fallback modu: widget yüklenemezse görünmez — kullanıcıya hata göstermez.

Hangi güvenlik başlıkları uygulanıyor?+

HSTS, X-Content-Type-Options, X-Frame-Options (DENY), Referrer-Policy, Permissions-Policy ve Content-Security-Policy uygulanmaktadır.

Yazılı DPA nasıl talep edilir?+

Standart DPA taslağı ve ekleri (Ek-1: teknik önlemler, Ek-2: alt işleyiciler listesi) için info@aynavu.com adresine "DPA Talebi" konusuyla e-posta gönderebilirsiniz. 2 iş günü içinde yanıtlanır.

Güvenlik & DPA İletişimi

CTO, CISO veya hukuk ekibinizin güvenlik soruları, özel DPA müzakeresi veya kurumsal güvenlik anketi için doğrudan iletişime geçin.

Güvenlik Sorusu Gönder →DPA Taslağı İste →

Yanıt süresi: 2 iş günü. Gizlilik anlaşması (NDA) talebi: e-posta konusuna "NDA" ekleyin.

KVKK veri işleme politikası için: KVKK & Gizlilik Merkezi. Son güncelleme: Mayıs 2026.