Veri İşleme Sözleşmesi (Data Processing Agreement)

Son güncelleme: 2026-04-08

Bu sözleşme, Finrend ("Veri İşleyen") ile API'yi kullanan kurumsal müşteri ("Veri Sorumlusu") arasında kişisel verilerin işlenmesine ilişkin koşulları düzenler. KVKK ve GDPR uyumludur.

1. Tanımlar

• Veri Sorumlusu: Finrend hizmetini kullanan ve son kullanıcı verisi paylaşan müşteri
• Veri İşleyen: Finrend
• Kişisel Veri: Tanımlanabilir bir gerçek kişiye ait her türlü bilgi
• Alt İşleyen: Finrend'in hizmet sunumunda kullandığı üçüncü taraflar

2. İşlenen Veri Kategorileri

Veri Sorumlusunun API'ye sağladığı veri (örneğin webhook hedef URL, abone bilgisi) ve API erişim metaverisi (IP, çağrı zamanı).

3. İşleme Amacı ve Süresi

• Amaç: Sözleşmesel hizmetin sunulması
• Süre: Sözleşme süresi + yasal saklama yükümlülükleri

4. Veri İşleyenin Yükümlülükleri

1. Veriyi yalnızca Veri Sorumlusunun yazılı talimatları doğrultusunda işler
2. Personeli gizlilikle yükümlüdür
3. KVKK m.12 kapsamında uygun teknik ve idari tedbirleri alır (şifreleme, erişim kontrolü, audit log)
4. Alt işleyen kullanımı için Veri Sorumlusunu bilgilendirir
5. Veri sahibi başvurularını Veri Sorumlusuna yönlendirir
6. Veri ihlali halinde 72 saat içinde Veri Sorumlusuna bildirir
7. Sözleşme sonunda veriyi siler veya iade eder

5. Onaylı Alt İşleyenler

• Hetzner Online GmbH (Almanya) — sunucu barındırma
• Cloudflare Inc. (ABD) — CDN ve DDoS koruma
• Stripe Inc. (ABD) — ödeme işleme
• Groq Inc. (ABD) — LLM çıkarımı (sadece haber metni; müşteri kişisel verisi gönderilmez)

Alt işleyen değişiklikleri 30 gün önceden duyurulur.

6. Güvenlik Tedbirleri

• TLS 1.3 ile uçtan uca şifreleme
• Şifrelerin bcrypt ile hash'lenmesi
• API anahtarlarının SHA-256 hash'i ile saklanması
• Rol tabanlı erişim kontrolü
• Audit log tutulması
• Düzenli yedekleme (PITR + 14 gün rotasyon)
• Sızma testi ve güvenlik gözden geçirme (yıllık)

7. Veri İhlali Bildirimi

Veri ihlali halinde Finrend, durumu tespit etmesinden itibaren 72 saat içinde kvkk@finrend.io adresinden Veri Sorumlusunu bilgilendirir.

8. Audit Hakkı

Veri Sorumlusu, makul bir önbildirimle yılda bir kez Finrend'in güvenlik kontrollerini denetleme hakkına sahiptir.

9. Hukuk ve Yetki

İşbu sözleşme Türkiye Cumhuriyeti hukukuna tabidir. Uyuşmazlıklarda İstanbul mahkemeleri ve icra daireleri yetkilidir.

Bu DPA bir şablondur. Enterprise müşteriler için imza süreci öncesinde hukuk müşaviri tarafından özelleştirilmelidir.