Bu belge, SOCManage platformu ve ilişkili hizmetler kapsamında işlenen kişisel veriler hakkında şeffaflık sağlamak amacıyla hazırlanmıştır. Hem Türkiye’deki 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) hem de Avrupa Ekonomik Alanı’nda geçerli olan Genel Veri Koruma Tüzüğü (GDPR) kapsamında benzer bilgilendirme beklentileri bulunmaktadır; aşağıdaki metin bu beklentilere uygun, özet düzeyde bir açıklama niteliğindedir.
Bu sayfa hukuki danışmanlık veya tam bir gizlilik politikası yerine geçmez. Kurumunuza özel uyum değerlendirmesi, veri aktarımı, saklama süreleri veya standart sözleşme maddeleri için iç hukuk veya veri koruma uzmanınıza danışmanız önerilir.
Çerçeve ve kapsam
SOCManage; güvenlik operasyon merkezi (SOC) ve yönetilen güvenlik hizmeti (MSSP) ekipleri için e-posta tabanlı alarm toplama, korelasyon ve karar desteği sunan bir platformdur. Bu bağlamda işlenen verilerin büyük bölümü güvenlik olaylarına ilişkin operasyonel içerik (örneğin alarm bildirimleri) ve bunlara eşlik eden teknik meta verilerden oluşur; ayrıca web sitemiz üzerinden ilettiğiniz iletişim ve demo talebi bilgileri işlenebilir.
Platformun pasif mimari ile çalıştığı, müşteri ortamında ajan kurmadan ve güvenlik ürünlerine doğrudan müdahale etmeden hizmet verdiği öngörülür. Bu bilgilendirme, bu teknik model ile uyumlu olarak hangi tür verilerin SOCManage tarafından görülebileceği ve hangi amaçlarla işlendiği hakkında genel bir çerçeve çizer.
İşlenen veri kategorileri
Aşağıdaki liste, hizmetin doğası gereği sıklıkla karşılaşılan veri türlerini özetler. Gerçek kapsam, sizin yapılandırmanıza ve gönderdiğiniz alarm içeriklerine göre değişebilir.
Alarm ve olay verisi: Güvenlik ürünlerinizden e-posta yoluyla iletilen bildirimlerin konu ve gövde metni, eklere ilişkin işlenmiş içerik ve türetilmiş olay kayıtları.
Teknik ve trafik verisi: Bağlantı ve oturumla ilişkili olabilecek IP adresi, zaman damgası ve benzeri meta veriler; hizmetin güvenli ve izlenebilir şekilde sunulması için.
İletişim ve talep verisi: Demo veya bilgi talebi formlarında paylaştığınız ad-soyad, kurum, e-posta, telefon, pozisyon ve mesajınız gibi alanlar.
İşlenen veriler arasında özel nitelikli kişisel veri veya hassas kategoriler bilinçli olarak talep edilmez; ancak alarm metinlerinde bu tür bilgilerin yer alması teknik olarak mümkün olabilir. Bu durumda işleme, sözleşmesel ve teknik güvenceler ile sınırlı ve amaç bağlı tutulur.
İşleme amaçları
Kişisel veriler, aşağıdaki amaçlarla ve veri minimizasyonu ilkesiyle uyumlu şekilde işlenir:
Alarm ve olay yönetimi: Bildirimlerin toplanması, normalize edilmesi, korelasyon ve anomali analizi ile SOC karar desteği sağlanması.
Hizmetin işletilmesi: Platformun güvenliği, performansı, destek süreçleri ve sözleşmeden doğan yükümlülüklerin yerine getirilmesi.
Ticari iletişim: Demo randevusu, bilgi talebi ve müşteri adayı süreçlerinin yürütülmesi (ilgili formlarda açık rıza veya meşru menfaat çerçevesinde, uygulanabilir hukuka göre).
Aktarım ve teknik-organizasyonel güvenlik
Üçüncü taraflara aktarım konusunda temel ilke, kişisel verilerin açık rızanız veya kanuni bir zorunluluk bulunmadığı sürece üçüncü kişilerle paylaşılmamasıdır. Alt işlemci (sub-processor) kullanımı, sözleşme veya DPA kapsamında ayrıca tanımlanır ve gerekli güvenceler yazılı hale getirilir.
Teknik ve organizasyonel önlemler arasında özetle şunlar sayılabilir:
İletişimde ve mümkün olduğunca uçtan uca şifreli bağlantı (TLS vb.) kullanımı;
Veri işleme ortamlarında mantıksal veya fiziksel izolasyon ile erişimin sınırlandırılması;
Rol bazlı erişim kontrolü ve yetkisiz erişime karşı idari-teknik kontroller.
Saklama süreleri; hizmet sözleşmesi, yasal zorunluluklar ve meşru iş gerekçeleri doğrultusunda, veri türüne göre ayrı ayrı tanımlanır ve gerektiğinde silme veya anonimleştirme uygulanır.
İlgili kişi hakları
KVKK kapsamında ilgili kişiler; verilerinin işlenip işlenmediğini öğrenme, işlenmişse bilgi talep etme, işlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme, eksik veya yanlış işlenmişse düzeltilmesini isteme, KVKK’da öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme, otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme ve kanuna aykırı işleme sebebiyle zararın giderilmesini talep etme haklarına sahiptir.
GDPR kapsamında bulunan veri sahipleri için de benzer şekilde erişim, düzeltme, silme, işlemeyi kısıtlama, veri taşınabilirliği ve itiraz hakları gibi düzenlemeler söz konusudur; uygulanabilirlik ve süreçler veri sorumlusunun bulunduğu hukuk düzenine göre şekillenir.
Haklarınızı kullanmak için başvurularınızı, veri sorumlusu sıfatı taşıyan kuruluşunuzun iç prosedürlerine veya doğrudan SOCManage iletişim kanalları üzerinden iletebilirsiniz. Kimlik doğrulama ve yanıt süreleri yürürlükteki mevzuata uygun yürütülür.
KVKK
KVKK aydınlatma metni — özet
Aşağıdaki madde listesi, 6698 sayılı KVKK kapsamındaki özet aydınlatma metnimizin çekirdek unsurlarını toplar. Güncellemeler bu sayfa üzerinden yayımlanır.
İşlenen veriler: Alarm e-postalarındaki içerik ve meta veriler; IP ve zaman damgası; iletişim formu alanları.
Amaçlar: Alarm yönetimi, anomali analizi, SOC karar desteği, demo ve iletişim taleplerinin yürütülmesi.
Aktarım: Açık rıza veya kanuni zorunluluk dışında üçüncü kişilerle paylaşılmaz.
Güvenlik: Şifreli bağlantı, ortam izolasyonu ve rol bazlı erişim.
DPA
Veri işleme sözleşmesi (DPA) — özet
Kurumsal müşteri ilişkilerinde SOCManage, hizmetin ifası için genellikle veri işleyen (processor / işleyen) sıfatıyla hareket eder. Veri sorumlusu (controller) ise alarm ve olay verisinin hukuki kontrolünü elinde tutan müşteri kuruluşunuzdur. Bu rol ayrımı, GDPR Madde 28 ve KVKK çerçevesindeki sözleşmesel yükümlülüklerin kim tarafından üstlenileceğini netleştirir.
DPA kapsamındaki veri türleri özeti: güvenlik alarm e-postaları, bu verilerden türetilmiş olay kayıtları ve platformda işlenen ilgili meta veriler. Tam DPA metni; işlenen veri türleri, alt işlemciler, teknik-organizasyonel tedbirler, veri sahibi taleplerinde iş birliği, denetim ve silme yükümlülükleri gibi maddeleri içerir ve imzalı sözleşme eki olarak sağlanır.
Bu özet hukuki tavsiye değildir. Kurumunuza özel DPA, transfer mekanizmaları ve uyum paketi için iletişime geçin.
Çerez politikası
Bu web sitesinde çerezler ve benzeri teknolojiler, hizmetin güvenli sunumu ve — yalnızca izniniz halinde — ziyaret istatistiklerinin değerlendirilmesi amacıyla kullanılabilir.
Zorunlu çerezler: Oturumun çalışması, güvenlik veya tercihlerin hatırlanması gibi teknik olarak gerekli işlevler için kullanılan çerezlerdir; bunlar siteyi kullanmaya devam etmenizle birlikte makul ölçüde işlenir.
Analitik çerezler: Google Analytics (ölçüm kimliği site yapılandırmasına bağlıdır) yalnızca “Tümünü kabul et” seçeneğiyle onay vermeniz halinde yüklenir. Reddetmeniz halinde analitik etiketleri çalıştırılmaz. Çerez tercihiniz tarayıcınızda yerel olarak saklanır; ayrıntılar için tarayıcı ayarlarınızdan çerezleri yönetebilirsiniz.
Tercihleri değiştirme: Sayfa altbilgisindeki “Çerez tercihleri” bağlantısı ile bildirimi yeniden açabilirsiniz.
Çerez ve kişisel veri işleme hakkında genel bilgi için bu belgenin diğer bölümlerine bakınız. İşlemeye özgü hukuki dayanak ve saklama süreleri için kurum içi uyum dokümanlarınıza başvurunuz.
Bu belgedeki bölümler ve iletişim
KVKK özet aydınlatma bu sayfada KVKK aydınlatma özeti bölümünde; veri işleme sözleşmesi özeti DPA özeti bölümünde yer almaktadır.
Uyum, veri işleme kayıtları, teknik inceleme veya satın alma sürecinde hukuk ve bilgi güvenliği ekiplerinizin soruları için iletişim formu üzerinden bize ulaşabilirsiniz.
Uyum ve sözleşme konularında destek
DPA, veri işleme envanteri veya teknik güvenceler hakkında kurum içi değerlendirme yapıyorsanız, ekibimiz sürece uygun bilgi paylaşımı sağlayabilir.