UpCore Güven Merkezi
Çalışan verileri en hassas verilerdir. UpCore güvenlik, uyum, gizlilik ve operasyonel şeffaflık bilgilerini tek sayfada toplar. NDA gerektiren dökümanlar için satış ekibimizle iletişime geçin; standart politikalar ve sertifika tarihçesi burada kamuya açıktır.
Sertifikalar
Uyum çerçeveleri
Pazarlama vaadi değil, gerçek durum. Aktif olanları canlı şekilde işletiyoruz; hedef tarihli olanlar için yol haritasını paylaşıyoruz. Eksiklerini de şeffaf listeliyoruz — çünkü sertifika yalan söylenmez.
KVKK Uyumu
AktifVERBIS kaydı · yıllık DPIA · 72 saatlik ihlal bildirimi SLA · veri sahibi hakları portal · Aydınlatma metinleri (çalışan/aday/ziyaretçi ayrı).
Evidence: VERBIS No · DPIA rapor · ihlal yönetmeliği
ISO 27001:2022
Stage 1 · Q4 2026Bilgi güvenliği yönetim sistemi · Stage 1 denetimi 2026 Q4 · sertifika Q1 2027. 93 Annex A kontrolü şu an uygulamada.
Evidence: SoA · policies package (NDA sonrası)
SOC 2 Type II
Observation · 2026-0712 aylık gözlem penceresi 2026-07-01 başlıyor · Security + Availability + Confidentiality trust services · Q3 2027 sertifika.
Evidence: Type I readiness · bridge letter talep üzerine
GDPR
Applicable · AB müşteriAB müşterileri için GDPR Art. 28 Data Processing Agreement · SCC Module 2 · Chapter V transfer mekanizması.
Evidence: DPA + SCC şablonu
PCI-DSS
Kapsam dışıKart verisi asla UpCore sunucularında depolanmaz · ödemeler Stripe/İyzico tokenize ediyor · merchant-of-record seçeneği Paddle.
Evidence: PCI scope statement
HIPAA
Not applicableUpCore sağlık bilgisi işlemez · PHI kapsamında değil · sağlık sigortası verisi dışarıda tutulur.
Evidence: Scope statement
Teknik güvenlik
6 temel sütun
Şifreleme
- AES-256 at-rest · Azure Managed Keys veya customer-managed HSM
- TLS 1.3 in-transit · HSTS preload · minimum TLS 1.2
- pgcrypto field-level · TCKN + kritik PII · per-tenant anahtar
- Anahtar rotasyonu · 90 gün otomatik · audit log
Tenant İzolasyonu
- PostgreSQL Row-Level Security · her tablo tenant_id kısıtlı
- RBAC · 40+ izin · custom roller tanımlanabilir
- SAML 2.0 + OIDC SSO · SCIM provisioning (Okta, Entra)
- MFA zorunlu · Admin rolleri için FIDO2/WebAuthn
Audit & Observability
- Immutable audit log · WORM storage · 7 yıl
- Tüm erişim sorguları kayıtlı · kullanıcı + IP + user agent
- Bireysel psikometrik veri erişimleri alarm verir
- Forensic ready · SIEM entegrasyonu (Splunk, Sentinel)
Altyapı & DR
- Azure North Europe primary · İrlanda warm-standby
- PITR 35 gün · otomatik günlük snapshot
- Quarterly disaster recovery drill · RTO 4 saat · RPO 15 dk
- Multi-AZ Postgres · 99.9% uptime SLA · Linkerd service mesh
Veri Yönetimi
- Data residency: varsayılan EU North · 2026 Q3 Türkiye merkez
- Data classification: public/internal/confidential/restricted
- Veri sahibi portal · KVKK Madde 11 talepleri 30 gün SLA
- Retention policy: çalışan 5 yıl · aday 6 ay · otomatik silme
Access Control
- Zero trust · JWT + refresh token rotation
- Admin eylemleri için step-up auth (re-authentication)
- Session timeout 8 saat · idle timeout 30 dk
- IP allowlist · tenant-level geografik kısıtlama
SLA & Operasyon
Taahhütler · rakamlar
Müşteri sözleşmemizde yer alan rakamlar · kaçırma durumunda service credit otomatik uygulanır. Status page gerçek zamanlı raporlar (status.upcore.io).
Aylık uptime SLA
Enterprise: 99.95%
RTO · disaster recovery
PITR 35 gün
RPO · veri kaybı penceresi
Cross-region replica
İhlal bildirim SLA
KVKK + GDPR uyumlu
Veri sahibi talep yanıtı
KVKK Madde 13
P1 incident response
Enterprise tier · 7/24
Alt işleyenler
Kullandığımız 3. parti servisler
Bu liste değişirse tenant yöneticilere e-posta ile bildirim yapılır · 10 iş günü itiraz süresi sunulur · tüm kritik servisler için DPA imzalı.
| Vendor | Amaç | Lokasyon | Kritiklik | DPA |
|---|---|---|---|---|
| Microsoft Azure | Hosting · DB · Storage · AI | EU North + TR Central | Kritik | İmzalı |
| Clerk | Kimlik yönetimi (authn/authz) | ABD · SCC Module 2 | Kritik | İmzalı |
| Stripe | Abonelik ödemeleri (global) | İrlanda / ABD | Standart | İmzalı |
| İyzico | Türkiye ödeme gateway | Türkiye | Standart | İmzalı |
| DocuSign | E-imza · sözleşme | ABD · SCC Module 2 | Standart | İmzalı |
| Daily.co | Video mülakat · embedded | ABD · SCC Module 2 | Standart | İmzalı |
| SendGrid | Transaksiyonel e-posta | ABD · SCC Module 2 | Standart | İmzalı |
| Twilio | SMS OTP · bildirimler | ABD · SCC Module 2 | Standart | İmzalı |
| Azure OpenAI | AI yardımcı · prompt residency EU | EU North · residency | Standart | İmzalı |
| Anthropic Claude | Uzun döküman özet · CV parse | ABD · SCC Module 2 · zero retention | Standart | İmzalı |
| Datadog | Application monitoring | EU · data residency | Standart | İmzalı |
Süreçler
Operasyonel güvenlik pratikleri
Çalışan güvenlik eğitimi
Aylık phishing simülasyonu · yıllık ISO 27001 farkındalık + KVKK eğitimi · test geçme zorunlu.
Secure SDLC
Her PR'da SAST (Semgrep) · dependency scan (Dependabot) · container scan (Trivy) · kritik CVE block.
Vulnerability management
Yıllık bağımsız penetrasyon testi · bulgular 30 gün içinde kapanır · kritik < 7 gün.
Incident response
Playbook + on-call rotation · P1-P5 sınıflama · post-mortem zorunlu · müşteri bildirimi şablonu.
Vendor risk assessment
Tüm alt işleyenler yıllık güvenlik anketi + SOC 2/ISO dökümanı · 10 iş günü itiraz süresi değişikliklerde.
Bug bounty program
Public VDP · safe harbor · ödül matrix public · disclosure policy · HackerOne benzeri.
Belgeler
İndirilebilir politikalar
Kamuya açık olanlar direkt linklerle · NDA sonrası paylaşılanlar için güvenlik ekibiyle iletişim.
Güvenlik Açığı Bildirimi (VDP)
Safe harbor + ödül matrisi + disclosure timeline
KVKK Aydınlatma Metni
Çalışan · aday · ziyaretçi için ayrı
Kullanım Şartları
SaaS sözleşmesi · SLA · sorumluluk
security.txt
RFC 9116 güvenlik iletişim dosyası
Status Page
7 gün uptime · incident tarihçe
DPA şablonu (talep üzerine)
KVKK + GDPR uyumlu işleyici sözleşmesi
ISO 27001 SoA (NDA sonrası)
Statement of Applicability · NDA şart
Penetrasyon test özet (NDA sonrası)
Son yıllık bağımsız pentest · özet rapor
Güvenlik anketimiz var — nereden başlasak?
Vendor security questionnaire (VSAQ, CAIQ, SIG Lite, custom), RFP güvenlik ekleri, DPIA, TIA — hepsine 5 iş günü içinde yanıt veriyoruz. NDA ile başlayıp detaylı dökümanlara geçebiliriz.