GÜVENLİK İHLALİ BİLDİRİM POLİTİKASI

(Data Breach Notification Policy)

Ultimate Global Compliance Edition – GDPR / KVKK / CPRA / LGPD


Profylee (“Platform”, “Şirket”), kişisel verilerin ve sistem güvenliğinin korunmasını en yüksek öncelik olarak kabul eder. Bu Güvenlik İhlali Bildirim Politikası (“Politika”), kişisel verilerin yetkisiz erişim, kayıp, ifşa veya değişikliğe uğrama riskine karşı uygulanacak prosedürleri ve kullanıcıların bilgilendirilmesine ilişkin esasları düzenler.

Politika; KVKK, GDPR (Madde 33–34), CPRA/CCPA, LGPD, NIST güvenlik standartları ve ISO/IEC 27001 + 27701 çerçevesine tam uyumlu olarak hazırlanmıştır.



1. AMAÇ VE KAPSAM

Bu Politika’nın amacı:

  1. Veri ihlallerinin hızlı bir şekilde tespiti

  3. Zararın en aza indirilmesi

  5. Yetkili mercilerle uyumlu bildirim

  7. Kullanıcıların zamanında bilgilendirilmesi

  9. Şirket içi sorumlulukların açık şekilde belirlenmesi

konularını güvence altına almaktır.

Bu Politika; Profylee’nin tüm modülleri için geçerlidir:

  1. AI Destekli Dijital Kimlik

  3. Works

  5. Flow & Pool

  7. Message

  9. Wallet

  11. Analytics & Insight

  13. Showcase, Publish, Wall

  15. Calendar (Google API) entegrasyonları

  17. OpenAI anonim işlem süreçleri



2. TANIMLAR

Veri İhlali (Data Breach):

Kişisel verilerin yetkisiz erişim, ifşa, kayıp, çalınma, silinme, değiştirilme veya güvenliğinin ihlal edilmesi.

Yetkisiz Erişim:

Veri sahibinin izni veya hukuki dayanak olmaksızın veriye erişim.

Veri Sahibi:

Profylee kullanıcısı (İşveren, Freelancer, bireysel kullanıcı veya şirket temsilcisi).

Yetkili Otorite:

KVKK Kurumu, GDPR kapsamında ilgili ülkenin DPA’sı, CPRA kapsamında California Privacy Protection Agency, LGPD kapsamında ANPD, vb.



3. İHLAL TESPİTİ VE ÖN DEĞERLENDİRME

Profylee aşağıdaki yöntemlerle veri ihlalini tespit eder:

  1. Güvenlik loglarının sürekli izlenmesi

  3. Anomali tespit sistemleri (monitoring tools)

  5. Şüpheli oturum girişleri

  7. Şifreli olmayan veri hareketleri

  9. CDN / sunucu tarafı olağan dışı trafik

  11. Kullanıcı veya üçüncü taraf bildirimleri

Bir ihlal şüphesi tespit edildiğinde derhal ön inceleme başlatılır.



4. OLAY YÖNETİM EKİBİ

Veri ihlali durumunda olaya müdahale edecek ekip:

  1. Veri Koruma Yetkilisi (DPO)

  3. Teknik Güvenlik Ekibi (DevOps / Backend)

  5. Hukuk ve Uyum Ekibi

  7. İletişim Ekibi (Kullanıcı bilgilendirme için)

  9. Üst Yönetim

Bu ekip gerekli koordinasyonu sağlayarak tüm süreci yönetir.



5. İHLALİN SINIFLANDIRILMASI

Profylee ihlalleri üç ana kategoriye ayırır:

1) Düşük Seviye İhlal

Kişisel veriye erişim yoktur veya risk minimaldir.

Örn: Sınırlı yetkilerle görüntülenemeyen teknik log hataları.

2) Orta Seviye İhlal

Kişisel veriler potansiyel olarak açığa çıkmıştır; risk minimal ila orta düzeydedir.

3) Yüksek Seviye İhlal

Kişisel veriler kötü niyetli kişilerce ele geçirilmiş olabilir.

GDPR, KVKK ve CPRA açısından bildirimi zorunludur.



6. BİLDİRİM YÜKÜMLÜLÜKLERİ

6.1. Yetkili Otoritelere Bildirim

GDPR

Yüksek riskli ihlallerde ilgili veri koruma otoritesine 72 saat içinde bildirim yapılır.

KVKK

İhlal tespitinden itibaren en kısa sürede / 72 saat içinde Kurum’a bildirim yapılır.

CPRA/CCPA – ABD

Kaliforniya sakinlerini ilgilendiren ihlaller, ilgili regülasyonlara göre ve gerekli durumlarda eyalet otoritelerine bildirilir.

LGPD – Brezilya

ANPD’ye “uygun süre içinde” (genellikle 2–5 iş günü) bildirim yapılır.



6.2. Kullanıcıya Bildirim

Aşağıdaki durumlarda kullanıcılar gecikmeksizin bilgilendirilir:

  1. Hassas kişisel verilerin ele geçirilmesi

  3. Hesap güvenliğini etkileyen bir durum

  5. Kimlik bilgilerinin kötüye kullanım riski

  7. Şifre veya oturum anahtarlarının ele geçirilmesi

  9. Finansal işlem verilerinin etkilenmesi

Kullanıcıya bildirilecek bilgiler:

  1. İhlalin niteliği

  3. Etkilenen veri kategorileri

  5. Olası riskler

  7. Alınan önlemler

  9. Kullanıcıların kendini koruma yöntemleri

Bildirim kanalları:

  1. E-posta

  3. Platform içi bildirim

  5. Gerekiyorsa SMS

  7. Geniş çaplı ihlallerde kamu duyurusu



7. ŞİRKET İÇİ İŞLEMLER VE ACİL ÖNLEMLER

İhlal tespit edildiğinde:

  1. Etkilenen sistem erişimleri durdurulur

  3. Şifreler, anahtarlar ve token’lar değiştirilir

  5. Log ve kanıtlar korunur

  7. Etkilenen hesaplar askıya alınır

  9. Güvenlik yama ve düzeltmeleri uygulanır

  11. İhlalin kaynağı teknik olarak izole edilir

  13. Üçüncü taraf tedarikçiler bilgilendirilir (OpenAI, PayTR, Paddle, Google vb.)




8. KÖK NEDEN ANALİZİ

İhlalin kaynağı detaylı şekilde belirlenir:

  1. Yetkisiz erişim mi oldu?

  3. Güvenlik açığı mı kullanıldı?

  5. API anahtarı sızdı mı?

  7. Üçüncü taraf servislerinden mi kaynaklandı?

  9. İnsan hatası mı?

  11. Konfigürasyon güvenlik açığı mı?

Rapor sonuçları kayıt altına alınır.



9. İHLAL SONRASI DÜZELTİCİ FAALİYETLER

Profylee, ihlal sonrası:

  1. Sistem güncellemeleri

  3. Güvenlik seviyesinin artırılması

  5. MFA / 2FA zorunluluğu

  7. Log izleme güçlendirilmesi

  9. Şifreleme mekanizmalarının revizyonu

  11. Personel için ek eğitim

  13. Gerekli durumlarda hukuk mercilerine başvuru

gibi önlemler alır.



10. KAYIT TUTMA VE RAPORLAMA

Tüm ihlaller için:

  1. Olay zamanı

  3. Etkilenen veriler

  5. Teknik detaylar

  7. Alınan önlemler

  9. Bildirim zamanlamaları

  11. Olay sonrası rapor

düzenlenir ve en az 3 yıl saklanır.

Bu gereklilik GDPR Article 33(5) ve KVKK uyumludur.



11. KULLANICI SORUMLULUKLARI

Kullanıcılar:

  1. Güçlü şifre kullanmak

  3. Hesap bilgilerini paylaşmamak

  5. Şüpheli durumları derhal bildirmek

  7. Zararlı içerik yüklememek

  9. Üçüncü taraf hesap bağlantılarında güvenli davranmak

zorundadır.




12. POLİTİKA GÜNCELLEMELERİ

Profylee, güvenlik ihtiyaçlarına ve yasal değişikliklere göre bu Politikayı güncelleyebilir.

Önemli değişikliklerde kullanıcılara bildirim yapılır.



13. İLETİŞİM

Güvenlik ihlali bildirimi, şüphe veya sorular için:

📩 [contact@example.com]