Alt İşleyenler (Subprocessors)
Hizmetimizi sunmak için iş birliği yaptığımız tüm üçüncü taraflar burada listelenmiştir. Tüm 3rd party'lerle GDPR uyumlu Veri İşleme Sözleşmesi (DPA) imzalıdır.
📋 Subprocessor Politikamız
- Listemize yeni alt işleyen eklendiğinde 30 gün önceden e-posta ile bildirimde bulunuruz
- Kişisel verilerinizi üçüncü şahıslara satmaz, takas etmez veya kiralamayız
- Tüm aktarımlar yalnızca hizmet ifası amacıyla yapılır
- Yurt dışı aktarımlar Standart Sözleşme Maddeleri (SCC Modül 2) ile güvence altındadır
🖥️ A. Altyapı ve Hosting
Hetzner Online GmbH
Almanya (AB) DPA + ISO 27001Birincil sunucu altyapısı ve veri depolama. Falkenstein veri merkezi (Almanya, AB). Tüm üretim verileriniz burada işlenir ve depolanır. Off-site şifreli yedekler de Hetzner Storage Box (Almanya, AB).
Cloudflare, Inc.
ABD / EU-Home DPA + SCC + SOC 2CDN, DNS, WAF, DDoS koruması. EU-Home Region tercih edilir (Avrupa'da kalan trafik AB sunucularından geçer).
📧 B. İletişim (E-posta + SMS)
Mailgun (Sinch / Pathwire)
Almanya (EU sunucu) DPA + SOC 2Transactional e-posta gönderimi. EU veri merkezi (mailgun.eu). Bildirim, OTP, hesap silme onay, veri export linkleri vb.
NetGSM
Türkiye KVKK uyumluSMS gönderimi (varsayılan Türkiye sağlayıcı). İmza bildirim, OTP, hatırlatma SMS'leri.
Kobikom
TürkiyeSMS gönderimi (alternatif sağlayıcı, organizasyon seçimine göre).
Twilio Inc.
ABD DPA + SCCUluslararası SMS (yalnızca seçili organizasyonlar için, yurt dışı imzalayanlara SMS gönderimi gerektiğinde).
💳 C. Ödeme ve Belge Servisleri
PayTR Ödeme ve Elektronik Para Hizmetleri A.Ş.
Türkiye PCI DSS Level 1 + BDDKÖdeme işlemleri. Kart bilgileriniz doğrudan PayTR tarafından saklanır, imzala.org bu bilgileri görmez ve saklamaz (PCI-DSS SAQ A scope).
TÜBİTAK KAMU SM
Türkiye Devlet kurumuNitelikli zaman damgası hizmeti (RFC 3161). 5070 Sayılı Elektronik İmza Kanunu kapsamında resmi sağlayıcı. Belge hash değerleri zaman damgası alımı için iletilir; belge içeriği iletilmez.
💻 D. Geliştirme ve İzleme
GitHub (Microsoft)
ABD DPA + SCCKaynak kodu yönetimi. Yalnızca uygulama kodu depolanır, kullanıcı PII'si saklanmaz. CI/CD için GitHub Actions kullanılır (image build → GHCR registry).
📊 E. Pazarlama ve Analitik (yalnızca çerez consent ile aktif)
Aşağıdaki servisler yalnızca çerez consent banner'ından kabul ettiğiniz takdirde aktive olur. Reddetmeniz halinde bu servisler hiçbir şekilde veri toplamaz.
📈 Google Analytics 4 + Tag Manager
Site kullanım analitiği
Anonim kullanıcı kimliği (cookie ID), sayfa görüntülemeleri. PII KESİNLİKLE paylaşılmaz.
🔍 Microsoft Clarity
Isı haritaları, oturum kaydı
PII otomatik maskelenir (e-posta/şifre/kart input'ları görünmez).
📘 Meta Pixel
Facebook/Instagram reklam dönüşüm
Anonim browser ID, dönüşüm event'leri.
🟦 Google Ads
Arama ve display reklam
Conversion tracking, anonim ID.
🌍 Yurt Dışı Aktarım Özeti
| Aktarım Yönü | Hizmetler | Yasal Dayanak |
|---|---|---|
| AB içine | Hetzner DE, Mailgun EU sunucu | GDPR — ek güvence gerekmez |
| ABD | Cloudflare, Twilio, GitHub | SCC Modül 2 (Controller-to-Processor) |
| Türkiye (yurt içi) | PayTR, NetGSM, Kobikom, TÜBİTAK | KVKK m.9 — yurt içi sayılır |
| ABD (consent ile) | GA4, Clarity, Meta, Google Ads | Açık rıza (cookie consent) |
📬 Yeni Subprocessor Bildirim Aboneliği
Yeni alt işleyen ekleme bildirimlerini e-posta ile almak için kurumsal müşterilerimiz [email protected] adresine "DPA Notification List" konulu bir e-posta gönderebilir.
[email protected]Son güncelleme: 29 Nisan 2026 — Versiyon: 1.0