Güvenlik

Güvenlik ve veri gizliliği

Ekibiniz Pixel Office kullanmaya başladığında IT ve güvenlik ekibinizin soracağı soruların yazılı cevapları. Abartısız, olduğu gibi.

1. Verileriniz nerede tutulur?

Kalıcı veri — Neon Postgres (AB)

Ofis verileriniz (brief’ler, sohbetler, belgeler, hafıza kayıtları) AB’de barındırılan Neon Postgres + pgvector veritabanında tutulur.

Uygulama — Railway (API) + Vercel (web)

API sunucumuz Railway’de, web arayüzü Vercel’de çalışır (ABD merkezli sağlayıcılar). Veri işleme sırasında bu sunuculardan geçer; kalıcı depo yukarıdaki veritabanıdır.

Analitik — PostHog (AB, onaya bağlı)

Ürün analitiği PostHog’un AB sunucularında tutulur, çerez onayınıza bağlıdır ve yazdığınız metinler toplanmadan önce maskelenir — KVKK’ya uygun kurulum.

Yurt dışı aktarım çerçevesi

Türkiye dışına aktarımlar KVKK madde 9 ve standart sözleşme maddeleri (SCC) çerçevesinde yapılır. Tam sağlayıcı listesi aşağıdaki alt işleyen tablosundadır.

2. Tenant izolasyonu ve şifreleme

  • Ofis (tenant) izolasyonu

    Her ofis ayrı bir tenant’tır; tüm sorgular uygulama katmanında tenant kimliğiyle kapsanır. En hassas tablolarda — bilgi havuzu (yüklenen belge parçaları) ve ofis hafızası — buna ek olarak Postgres Row-Level Security (RLS) veritabanı düzeyinde zorunlu kılınır (FORCE ROW LEVEL SECURITY): bir tenant’ın sorgusu başka bir tenant’ın satırına veritabanı motoru tarafından erişemez.

  • Aktarım sırasında

    HTTPS her yerde zorunludur (HSTS aktif); veritabanı bağlantıları TLS ile kurulur (sslmode=require).

  • Beklemede (at rest)

    Veritabanı ve barındırma sağlayıcıları disk düzeyinde şifreleme uygular (sağlayıcı düzeyi at-rest şifreleme).

  • Entegrasyon anahtarları

    Bağladığınız hesapların OAuth token’ları (Google, Slack vb.) veritabanında Fernet ile şifrelenmiş saklanır; yalnızca ilgili araç çağrısı sırasında deşifre edilir ve log dosyalarına düz metin yazılmaz. Üretim ortamı, şifreleme anahtarı tanımlı olmadan açılmaz.

3. AI veri politikası

Verileriniz AI modellerinin eğitiminde kullanılmaz.

Bu taahhüt, model sağlayıcılarımızın ticari API şartlarına dayanır: API üzerinden gönderilen girdi ve çıktılar, sağlayıcıların modellerinin eğitiminde kullanılmaz. Pixel Office da kullanıcı verisiyle kendi modelini eğitmez — tek istisna, toplulaştırılmış ve anonim kullanım metrikleridir (örn. hangi Pixmate daha çok işe alınıyor).

Modele giden veriler

  • Brief metniniz ve sohbet geçmişi
  • Yüklediğiniz belgelerden ilgili alıntılar (bilgi havuzu araması)
  • Ofis hafızası kayıtları (tercihleriniz, önceki kararlar)
  • Bağlı araçlardan o an çekilen veriler (örn. takvim boşlukları) — geçici olarak, yanıtı üretmek için

Modele asla gitmeyenler

  • Ödeme/kart bilgileri — kart verisi sistemlerimizde hiç tutulmaz; ödemeyi kayıtlı satıcı (Whop) işler
  • Şifreler ve kimlik bilgileri — kimlik doğrulama Clerk’te gerçekleşir
  • OAuth token’larınız — araç çağrıları sunucu tarafında yapılır; token’lar istemlere eklenmez

Birincil model sağlayıcımız Anthropic’tir (Claude). Kesinti anında Google Gemini’ye yedeklenir; belirli görev türlerinde maliyet yönlendirmesi için DeepSeek, yedek zincirin son halkası olarak OpenAI kullanılabilir. LLM çağrılarının izleri (trace) yalnızca iç kalite ve hata ayıklama amacıyla AB’de barındırılan Langfuse Cloud’da tutulur; üçüncü taraflarla paylaşılmaz ve pazarlama amacıyla kullanılmaz.

4. Alt işleyen (sub-processor) listesi

Hizmeti sunmak için kullandığımız sağlayıcılar ve amaçları. Hiçbir sağlayıcı verilerinizi kendi pazarlama amaçları için kullanmaz. Liste değiştiğinde bu sayfa güncellenir.

SağlayıcıAmaçBölge
Anthropic (Claude)Birincil AI model çıkarımı (Pixmate yanıtları)ABD
Google (Gemini)Yedek AI model — birincil sağlayıcı kesintisinde devreye girerABD
OpenAIYedek AI model (kademeli yedek zincirinin son halkası)ABD
DeepSeekBelirli görev türlerinde AI çıkarım için kullanılabilir (maliyet yönlendirmesi)Çin merkezli sağlayıcı
Voyage AIYüklenen belge/metinlerin embedding’i (bilgi havuzu araması)ABD
RailwayAPI barındırma (uygulama sunucusu, arka plan işleri)ABD
VercelWeb arayüzü barındırmaABD
NeonPostgres veritabanı + pgvector (kalıcı veri deposu)AB
ClerkKimlik doğrulama (oturum, şifre, SSO bağlantıları)ABD
WhopÖdeme işleme — kayıtlı satıcı (Merchant of Record); kart verisi yalnızca Whop’taABD
PostHogÜrün analitiği — AB sunucuları, çerez onayına bağlı, metinler maskelenirAB
SentryHata izleme (crash raporları, performans)ABD
Langfuse CloudLLM çağrı izleri — yalnızca iç kalite/hata ayıklamaAB
Resendİşlemsel e-posta (davet, fatura bildirimi)ABD

5. Erişim kontrolü ve SSO

  • Roller (RBAC)

    Her ofis çok kullanıcılıdır ve dört rol tanır: owner (silme + faturalama dahil tam yetki), admin (üye yönetimi + ayarlar), editor (brief koşma + doküman yükleme), viewer (salt-okunur izleme). Üyeler e-posta davetiyle eklenir; davet linkleri süreli ve tek kullanımlıktır, roller sonradan değiştirilebilir.

  • Kurumsal SSO (SAML / OIDC)

    SAML 2.0 ve OIDC tabanlı kurumsal SSO destekliyoruz — Microsoft Entra ID, Okta ve Google Workspace dahil. Kurulum IdP tarafında yaklaşık 15 dakika sürer; mevcut kullanıcı hesapları e-posta eşleşmesiyle veri kaybı olmadan SSO’ya bağlanır. Ekibiniz için etkinleştirmek üzere bize yazın: alperen@pixel-office.com

  • MFA / 2FA

    SSO kullanan ekiplerde MFA ve Conditional Access politikalarınız aynen geçerli kalır — kimlik doğrulama tamamen kendi IdP’nizde gerçekleşir. Şifreyle giren kullanıcılar için Clerk üzerinden opsiyonel 2FA (TOTP) mevcuttur.

  • Oturumlar

    Oturum JWT’leri kısa ömürlüdür ve her istekte yenilenir; iptal edilen bir oturum yeni token alamaz. Bir kullanıcı IdP’nizde devre dışı bırakıldığında yeni oturum açamaz.

6. Veri hakları

  • Hesap silme — self servis

    Hesabınızı Profil → Tehlikeli Alan üzerinden kendiniz silebilirsiniz. Silme anında gerçekleşir: yalnızca sizin sahibi olduğunuz ofisler ve içindeki her şey (brief’ler, çıktılar, belgeler, entegrasyon token’ları) kalıcı olarak silinir. Yedeklerden tam silinme, dönen yedek saklama süresi nedeniyle 90 güne kadar sürebilir.

  • Hafıza kayıtlarını silme

    Ofis hafızasındaki kayıtlar tek tek görüntülenebilir ve kalıcı olarak silinebilir (geri getirilemez hard delete).

  • KVKK / GDPR başvuruları

    Erişim, düzeltme, silme ve itiraz talepleri için: alperen@pixel-office.com — en geç 30 gün içinde yanıtlarız. Ayrıntılar: KVKK Aydınlatma Metni · Gizlilik Politikası

7. Uyumluluk duruşumuz — dürüst çerçeve

  • KVKK + GDPR: Türkiye’de kurulu bir şirketiz; KVKK’ya her kullanıcı için uyarız. Yurt dışı aktarımlar SCC’ler ve KVKK m.9 çerçevesinde yapılır.
  • SOC 2 / ISO 27001: Bu sertifikalara henüz sahip değiliz. Yol haritamızdadır; süreci ilk kurumsal ekiplerle birlikte başlatmayı planlıyoruz. Bu sayfa + DPA, bugünkü yazılı güvenlik duruşumuzdur.
  • DPA: Talep eden ekiplerle veri işleme sözleşmesi (DPA) imzalayabiliriz — DPA talep et.
  • Destek: Destek iş saatleri içinde (İstanbul, GMT+3) ve elimizden gelenin en iyisi (best-effort) esasıyla verilir. Sözleşmesel SLA sunmuyoruz; hedeflerimizi MSA taslağımızda açıkça “hedef, taahhüt değil” diye yazarız.
  • Güvenlik bildirimi: Bir açık bulduğunuzu düşünüyorsanız: alperen@pixel-office.com

Ekibin için Pixel Office’i başlat

Satış görüşmesi gerekmez — ofisini kur, ekibini davet et. IT ekibin bu sayfayı ve DPA’yı incelemek isterse hazırız.