Logo

Bilgi Güvenliği Politikası

Son güncelleme: 18 Mart 2026

1. Genel Yaklaşım

VEX-I Teknoloji ve Bilişim Hizmetleri Ltd. Şti. (“Şirket”), Masraf.AI platformu aracılığıyla sunduğu hizmetlerde bilgi güvenliğini kurumsal yönetişimin ayrılmaz bir parçası olarak kabul eder. Müşterilerimize ait finansal veriler, kişisel bilgiler ve kurumsal masraf kayıtları; teknik, idari ve fiziksel güvenlik önlemleriyle korunmaktadır.

Bu politika, platformumuzun güvenlik mimarisini, veri koruma yaklaşımımızı ve uyumluluk standartlarımızı şeffaf bir şekilde açıklamak amacıyla hazırlanmıştır.

2. Veri Şifreleme ve İletim Güvenliği

  • TLS/SSL Şifreleme: Tüm veri iletişimi 256-bit TLS/SSL sertifikası ile şifrelenerek gerçekleştirilir. Platform ile kullanıcı arasındaki iletişimde üçüncü taraf müdahalesi engellenir.
  • Veritabanı Şifreleme: Veritabanında saklanan veriler AES-256 standardında şifrelenir. Bekleyen veriler (data at rest) dahil tüm katmanlarda şifreleme uygulanır.
  • HTTPS Zorunluluğu: Platform erişimi yalnızca HTTPS protokolü üzerinden sağlanır. HTTP üzerinden yapılan tüm istekler otomatik olarak güvenli bağlantıya yönlendirilir.

3. Kimlik Doğrulama ve Erişim Kontrolü

  • Rol Tabanlı Yetkilendirme (RBAC): Her kullanıcı yalnızca yetkilendirildiği verilere erişebilir. Yetki atamaları müşteri yöneticisi tarafından kontrol edilir.
  • Çok Faktörlü Kimlik Doğrulama (MFA): Hesap güvenliğini artırmak için MFA desteği sunulmaktadır. SSO/SAML 2.0 ve Azure AD entegrasyonu desteklenmektedir.
  • Oturum Yönetimi: Belirli bir süre işlem yapılmadığında oturumlar otomatik olarak sonlandırılır. Eşzamanlı oturum kontrolleri ve güvenli çıkış mekanizmaları uygulanır.

4. Altyapı ve Ağ Güvenliği

  • Kurumsal Veri Merkezi: Platformumuz, uluslararası güvenlik standartlarına uygun veri merkezlerinde barındırılmaktadır. Fiziksel erişim kontrolleri ve çevresel güvenlik önlemleri uygulanır.
  • DDoS ve Saldırı Koruması: Gelişmiş DDoS koruma sistemleri, WAF (Web Application Firewall) ve IDS/IPS çözümleri ile platform sürekli olarak korunmaktadır.
  • Sürekli Güvenlik Taraması: Otomatik zafiyet taramaları düzenli olarak gerçekleştirilir. Tespit edilen bulgular öncelik sırasına göre değerlendirilir ve giderilir.

5. Veri Yedekleme ve İş Sürekliliği

  • Otomatik Yedekleme: Veriler düzenli aralıklarla otomatik olarak yedeklenir. Yedekleme işlemleri izlenir ve doğrulama testleri yapılır.
  • Coğrafi Yedeklilik: Yedek kopyalar farklı coğrafi bölgelerde saklanır. Olası bir felaket senaryosunda veri kaybı riski en aza indirilir.
  • Şifreli Yedekleme: Tüm yedek veriler şifrelenmiş olarak saklanır ve yalnızca yetkili personel tarafından erişilebilir.

6. Yasal Uyumluluk ve Standartlar

Platformumuz aşağıdaki yasal düzenlemelere ve standartlara uygun olarak işletilmektedir:

  • 6698 Sayılı KVKK: Kişisel Verilerin Korunması Kanunu kapsamında veri sorumlusu sıfatıyla hareket ediyoruz. Kişisel verilerin işlenmesi, saklanması ve imha edilmesine ilişkin tüm süreçler KVKK ve ilgili ikincil mevzuata uygun olarak yürütülmektedir.
  • ISO 27001 Çerçevesi: Bilgi güvenliği yönetim sistemimiz, ISO 27001 çerçevesinde yapılandırılmıştır. Güvenlik politikalarımız düzenli olarak gözden geçirilir ve güncellenir.

7. Veri İşleme ve Gizlilik

  • Veri Gizliliği: Müşteri verileri, yasal zorunluluklar ve sözleşmesel yükümlülükler dışında üçüncü taraflarla paylaşılmaz. Verilerin gizliliği sözleşmesel taahhütlerle güvence altına alınır.
  • Veri Saklama Süreleri: Veriler, hizmet sunumu ve yasal saklama yükümlülüklerinin gerektirdiği süre boyunca muhafaza edilir. Süre sonunda KVKK'ya uygun şekilde imha edilir.
  • Güvenli Veri İmhası: Sözleşme sona erdiğinde veya talep halinde müşteri verileri geri dönüşümsüz olarak silinir. İmha işlemleri kayıt altına alınır.

8. Güvenlik İzleme ve Olay Müdahalesi

  • 7/24 İzleme: Sistem ve ağ trafiği sürekli olarak izlenir. Anormal aktiviteler otomatik uyarı mekanizmaları ile tespit edilir.
  • Olay Müdahale Prosedürü: Güvenlik olaylarına müdahale için tanımlanmış prosedürler mevcuttur. Olaylar sınıflandırılır, analiz edilir ve raporlanır.
  • Bilgilendirme Yükümlülüğü: Kişisel veri ihlali durumunda KVKK'nın 12. maddesi uyarınca Kişisel Verileri Koruma Kurulu'na ve ilgili kişilere yasal süre içinde bildirim yapılır.

9. İletişim

Bilgi güvenliği politikamız hakkında sorularınız veya güvenlik ile ilgili bildirimleriniz için aşağıdaki iletişim kanallarından bize ulaşabilirsiniz:

VEX-I Teknoloji ve Bilişim Hizmetleri Ltd. Şti.

Mersis No: 0925130183000001

Nida Kule, Barbaros Mahallesi, Begonya Sk. No:1/2, Batı Ataşehir, Ataşehir - İstanbul

E-posta: info@vex-i.com

Web: https://vex-i.com

Bu politika, VEX-I Teknoloji ve Bilişim Hizmetleri Ltd. Şti. tarafından hazırlanmış olup yasal düzenlemeler ve operasyonel gereksinimler doğrultusunda güncellenebilir.