🚀 Dijital dönüşümünüze bugün başlayın! İlk 3 imza ücretsiz - Hemen deneyin!

← Güven Merkezi

Alt İşleyenler (Subprocessors)

Hizmetimizi sunmak için iş birliği yaptığımız tüm üçüncü taraflar burada listelenmiştir. Tüm 3rd party'lerle GDPR uyumlu Veri İşleme Sözleşmesi (DPA) imzalıdır.

📋 Subprocessor Politikamız

  • Listemize yeni alt işleyen eklendiğinde 30 gün önceden e-posta ile bildirimde bulunuruz
  • Kişisel verilerinizi üçüncü şahıslara satmaz, takas etmez veya kiralamayız
  • Tüm aktarımlar yalnızca hizmet ifası amacıyla yapılır
  • Yurt dışı aktarımlar Standart Sözleşme Maddeleri (SCC Modül 2) ile güvence altındadır

🪪 imzala-qes-helper (Nitelikli E-İmza) — Yeni Alt İşleyen DEĞİL

imzala.org'un Native Helper bileşeni (~15 MB native masaüstü uygulaması) USB token tabanlı QES akışı için kullanıcının kendi cihazında lokal çalışır. Helper bir 3rd party servis değildir, ek bir alt işleyen oluşturmaz.

  • USB token PIN'i hiçbir sunucumuza, hiçbir alt-işleyenimize iletilmez — yalnızca işletim sistemi PIN diyaloğunda kullanıcının yerel cihazında kalır
  • Özel anahtar USB token donanımından çıkmaz (PKCS#11 SSCD/QSCD modeli)
  • Helper backend'e yalnızca imza değeri + sertifika public bilgisi gönderir; bunu da kullanıcının kendi tarayıcısı üzerinden yapar
  • Helper sertifika thumbprint'leri ve imza zamanını lokal audit log'a yazar — PIN içeriği yazılmaz
  • Sertifika kullanıcının yetkili ESHS'sinden (TÜBİTAK KAMU SM, E-Tuğra, TürkTrust, E-Güven, KamuSM, ARKİmza, EİMZATR) edinilir; bu ESHS'lerle imzala.org'un veri paylaşımı yoktur

→ Güvenlik mimarisi detayı · QES Native Helper Uyum Beyanı

🖥️ A. Altyapı ve Hosting

🏢

Hetzner Online GmbH

Almanya (AB) DPA + ISO 27001

Birincil sunucu altyapısı ve veri depolama. Falkenstein veri merkezi (Almanya, AB). Tüm üretim verileriniz burada işlenir ve depolanır. Off-site şifreli yedekler de Hetzner Storage Box (Almanya, AB).

Amaç: Server hosting, storage
İşlenen veri: Tüm üretim verisi
Sertifikalar: ISO 27001, ISO 9001, ISO 14001

→ Hetzner Privacy Policy

☁️

Cloudflare, Inc.

ABD / EU-Home DPA + SCC + SOC 2

CDN, DNS, WAF, DDoS koruması. EU-Home Region tercih edilir (Avrupa'da kalan trafik AB sunucularından geçer).

Amaç: CDN, güvenlik, DNS
İşlenen veri: IP, request meta
Sertifikalar: SOC 2 Type II, ISO 27001, PCI DSS

→ Cloudflare Privacy Policy

📧 B. İletişim (E-posta + SMS)

📨

Mailgun (Sinch / Pathwire)

Almanya (EU sunucu) DPA + SOC 2

Transactional e-posta gönderimi. EU veri merkezi (mailgun.eu). Bildirim, OTP, hesap silme onay, veri export linkleri, Bilgilendirilecek Kişiler (CC) gönderim ve tamamlanma bildirimleri vb.

Amaç: E-posta gönderim
İşlenen veri: E-posta + içerik
Sertifikalar: SOC 2, GDPR DPA

→ Mailgun Privacy

📱

NetGSM

Türkiye KVKK uyumlu

SMS gönderimi (varsayılan Türkiye sağlayıcı). İmza bildirim, OTP, hatırlatma SMS'leri.

Amaç: SMS gönderim
İşlenen veri: Telefon + SMS içeriği
Bölge: Yurt içi (KVKK m.9)
📲

Kobikom

Türkiye

SMS gönderimi (alternatif sağlayıcı, organizasyon seçimine göre).

Amaç: SMS gönderim
İşlenen veri: Telefon + SMS içeriği
Bölge: Yurt içi
🌍

Twilio Inc.

ABD DPA + SCC

Uluslararası SMS (yalnızca seçili organizasyonlar için, yurt dışı imzalayanlara SMS gönderimi gerektiğinde).

Amaç: Uluslararası SMS
İşlenen veri: Telefon + SMS
Sertifikalar: SOC 2, ISO 27001

💳 C. Ödeme ve Belge Servisleri

💸

PayTR Ödeme ve Elektronik Para Hizmetleri A.Ş.

Türkiye PCI DSS Level 1 + BDDK

Ödeme işlemleri. Kart bilgileriniz doğrudan PayTR tarafından saklanır, imzala.org bu bilgileri görmez ve saklamaz (PCI-DSS SAQ A scope).

Amaç: Ödeme işleme
İşlenen veri: Ad, e-posta, fatura
Sertifikalar: PCI DSS Level 1
⏱️

TÜBİTAK KAMU SM

Türkiye Devlet kurumu

Nitelikli zaman damgası hizmeti (RFC 3161, KAMUnet Policy OID 2.16.792.1.2.1.1.5.7.3.1). 5070 Sayılı Elektronik İmza Kanunu kapsamında resmi sağlayıcı. İki kullanım: (1) imzalanan sözleşme PDF'lerinin zaman damgası, (2) yedek dosyalarının bütünlük hash'lerinin zaman damgası (9 Mayıs 2026'da yedek audit trail aktif edildi). Yalnızca SHA-256 hash değerleri iletilir; belge veya yedek içeriği iletilmez.

Amaç: Zaman damgası (imza + yedek)
İşlenen veri: Hash (içerik değil)
Statü: Resmi devlet sağlayıcı

💻 D. Geliştirme ve İzleme

🐙

GitHub (Microsoft)

ABD DPA + SCC

Kaynak kodu yönetimi. Yalnızca uygulama kodu depolanır, kullanıcı PII'si saklanmaz. CI/CD için GitHub Actions kullanılır (image build → GHCR registry).

Amaç: Code repository, CI/CD
İşlenen veri: Kod (PII yok)
Sertifikalar: SOC 1/2, ISO 27001, FedRAMP

📊 E. Pazarlama ve Analitik (yalnızca çerez consent ile aktif)

Aşağıdaki servisler yalnızca çerez consent banner'ından kabul ettiğiniz takdirde aktive olur. Reddetmeniz halinde bu servisler hiçbir şekilde veri toplamaz.

📈 Google Analytics 4 + Tag Manager

Site kullanım analitiği

Anonim kullanıcı kimliği (cookie ID), sayfa görüntülemeleri. PII KESİNLİKLE paylaşılmaz.

🔍 Microsoft Clarity

Isı haritaları, oturum kaydı

PII otomatik maskelenir (e-posta/şifre/kart input'ları görünmez).

📘 Meta Pixel

Facebook/Instagram reklam dönüşüm (tarayıcı tarafı)

Anonim browser ID, dönüşüm event'leri.

📘 Meta Conversions API (CAPI)

Sunucu tarafı reklam dönüşüm

SHA-256 hashlenmiş e-posta + telefon (ham PII değil). sGTM üzerinden iletilir.

🟦 Google Ads + Enhanced Conversions

Arama ve display reklam dönüşüm

Conversion tracking + Enhanced Conversions kapsamında SHA-256 hashlenmiş e-posta/telefon.

🛡️ Sunucu Tarafı Ölçüm (sGTM)

kx7m2.imzala.org — Hetzner Almanya

Yukarıdaki tüm ölçüm trafiği önce kendi sunucumuzdan geçer, consent + PII hash denetimi yapılır, sonra 3. taraflara aktarılır. AB-içi transfer.

→ Çerez politikası ve detaylar

🌍 Yurt Dışı Aktarım Özeti

Aktarım Yönü Hizmetler Yasal Dayanak
AB içine Hetzner DE, Mailgun EU sunucu GDPR — ek güvence gerekmez
ABD Cloudflare, Twilio, GitHub SCC Modül 2 (Controller-to-Processor)
Türkiye (yurt içi) PayTR, NetGSM, Kobikom, TÜBİTAK KVKK m.9 — yurt içi sayılır
ABD (consent ile) GA4, Clarity, Meta, Google Ads Açık rıza (cookie consent)

📬 Yeni Subprocessor Bildirim Aboneliği

Yeni alt işleyen ekleme bildirimlerini e-posta ile almak için kurumsal müşterilerimiz [email protected] adresine "DPA Notification List" konulu bir e-posta gönderebilir.

[email protected]

Son güncelleme: 9 Mayıs 2026 — Versiyon: 1.1 (TÜBİTAK KAMUnet TSA: yedek audit trail kullanımı eklendi)

Demo Talep Et

15 dakikalık ücretsiz demo ile imzala.org'un kurumunuza nasıl uyduğunu birlikte görelim.

E-posta veya telefondan en az birini doldurun.