Veri İşleme Sözleşmesi

Data Controller

White-label eSIM pazaryerini işleten, kişisel verilerin işlenme amaç ve yöntemlerini belirlemekten sorumlu olan Müşteri.

Data Processor

Verileri bağımsız olarak kullanma hakkı olmaksızın güvenli veri depolama ve platform hizmetleri sağlayan EsimPanel.io.

Personal Data

EsimPanel platformu üzerinden işlenen, kimliği belirlenmiş veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Processing

Kişisel veriler üzerinde gerçekleştirilen, yalnızca depolama, yedekleme ve güvenlik operasyonlarıyla sınırlı her türlü işlem.

Sub Processor

Platform operasyonlarını desteklemek üzere EsimPanel tarafından görevlendirilen üçüncü taraf hizmet sağlayıcılar.

Data Subject

Müşterinin white-label platformu üzerinden eSIM satın alan son kullanıcılar.

Sensitive Data

GDPR Madde 9'da tanımlandığı şekilde özel kategorilerdeki kişisel veriler, işlemeden açıkça hariç tutulmuştur.

Yetkili İşleme Amaçları

• Son kullanıcı kişisel verilerinin güvenli depolanması
• Platform operasyonu ve eSIM teslimat hizmetleri
• Yedekleme ve felaket kurtarma operasyonları
• Güvenlik izleme ve denetim kaydı tutma

Açıkça Hariç Tutulanlar

• Veri satışı, kiralama veya ticareti
• Pazarlama veya reklam kullanımı
• Veri profilleme veya ticari analitik
• Müşteriler arası veri paylaşımı
• Veri Sorumlusunun talimatları olmaksızın bağımsız veri işleme

İşleme Sınırlamaları

EsimPanel.io yalnızca veri depolama sağlayıcısı olarak hareket eder, verileri kullanma, analiz etme veya yeniden amaçlandırma konusunda bağımsız bir hakkı yoktur.

Veri Sorumlusu Yükümlülükleri

• Veri toplama için hukuki dayanağın sağlanması
• Veri sahibi rızasının yönetimi
• Kapsamlı gizlilik bildirimleri sunulması
• GDPR/KVKK uyumluluğunun sürdürülmesi
• Uygun olması durumunda VERBİS kaydının tamamlanması
• Veri İşleyene açık işleme talimatlarının verilmesi

Veri İşleyen Yükümlülükleri

• Veri depolama için AES-256 şifrelemenin uygulanması ve sürdürülmesi
• Sıkı erişim kontrolleri ve kimlik doğrulama mekanizmalarının uygulanması
• Veri erişiminin kapsamlı denetim kaydının tutulması
• Yıllık bağımsız güvenlik değerlendirmelerinin yapılması
• Derhal ihlal bildirimi sağlanması
• Veri Sorumlusunun belgelenmiş talimatlarına kesinlikle uyulması

Toplanan Veri Kategorileri

• Kimlik Verileri: Ad, e-posta, telefon numarası
• İşlem Verileri: eSIM alımları, ödeme kayıtları
• Cihaz Verileri: eSIM aktivasyonu için IMEI, cihaz türü
• Coğrafi Veriler: eSIM kapsamı için ülke, şehir
• Kimlik Doğrulama Verileri: Hash'lenmiş şifreler, API token'ları

Hariç Tutulan Veri Kategorileri

• Ödeme kartı detayları (PCI-DSS uyumlu Stripe üzerinden işlenir)
• Hassas kişisel veriler (sağlık, din, siyasi görüşler)
• Çocuklara ait kişisel veriler

Veri Minimizasyonu

Yalnızca eSIM pazaryeri operasyonu için gerekli veriler toplanacak ve saklanacaktır.

Mevcut Alt Veri İşleyenler

• Amazon Web Services (AWS) - Barındırma ve güvenli veri depolama (AB Veri Merkezleri)
• Stripe - Ödeme işleme (Amerika Birleşik Devletleri (AB Standart Sözleşme Maddeleri uygulanmıştır))
• AirAlo - eSIM sağlama (Küresel)
• Maya Mobile - eSIM sağlama (Küresel)

Alt Veri İşleyen Gereksinimleri

• GDPR uyumluluk sertifikası zorunludur
• Bireysel veri işleme sözleşmeleri gereklidir
• Yıllık güvenlik denetim dokümantasyonu
• İhlal bildirim yükümlülükleri
• Yeni alt veri işleyenler için müşteri onayı gereklidir

Ekleme Süreci

Yeni bir alt veri işleyen eklenmesinden 30 gün önce müşteriye bildirim yapılacaktır

Teknik Önlemler

• Veri depolama için AES-256 şifreleme
• İletim sırasında TLS 1.3 şifreleme
• bcrypt şifre hash'leme
• Çok faktörlü kimlik doğrulama
• Otomatik API token rotasyonu
• Gelişmiş güvenlik duvarı ve saldırı tespit sistemleri

Organizasyonel Önlemler

• Rol tabanlı erişim kontrol politikaları
• Kapsamlı denetim kaydı tutma
• Zorunlu çalışan gizlilik sözleşmeleri
• Düzenli güvenlik farkındalık eğitimleri
• Resmi olay müdahale planı
• Yıllık üçüncü taraf penetrasyon testleri