GÜVEN MERKEZİ
Şeffaf güvenlik posture'u
Bir siber güvenlik şirketinin kendi güvenlik durumunu gizlemesi tehlike sinyalidir. Aegis'in nasıl çalıştığını, nereye ne kaydettiğini, kimleri alt-işleyici olarak kullandığını burada açıkça paylaşıyoruz.
🔐
Şifreleme
TLS 1.3 + AES-256
🇹🇷
Veri konumu
AB + Türkiye
📋
Audit log
HMAC zincirli
1Veri akışı
Sizin sitenizi taramak için Aegis hangi veriyi alır, nasıl işler, ne kadar saklar:
Toplanan veri (sizden)
- Hedef domain (örn.
sirket.com) — abonelik süresince tutulur
- İletişim e-postası — rapor gönderimi için
- Ödeme bilgisi — sadece Shopier işler; Aegis bu veriye dokunmaz
- Operatör kimliği (Mod 2 aktif tarama için) — audit log'da imzalı
- Yetki sözleşmesi PDF SHA-256 hash'i — sözleşmenin kendisi değil, sadece hash
Taramada üretilen veri
- Subdomain listesi, DNS kayıtları, açık port'lar — public bilgi
- HTTP yanıt başlıkları — body değil, sadece header'lar
- Bulgu kategori + severity — örn. "eksik HSTS / high"
- AI analiz çıktısı — yönetici özeti + öneri
- PDF rapor — 90 gün ardından otomatik silinir (Aegis Pro: süresiz)
Toplamadığımız veri
- HTTP body içeriği (taraman dışında)
- Cookie içerikleri / kullanıcı oturumu
- Form POST verisi (Mod 2'de bile — sadece auth header)
- Çalışanlarınızın PII'si (sadece bizimle iletişim kuranların e-postası)
2Alt-işleyiciler
KVKK m.12 + m.9 gereği veri işleme zincirimizdeki üçüncü taraflar:
| Şirket | Amaç | Veri | Konum | Durum |
| Hetzner |
Sunucu hosting (web + DB) |
Tüm Aegis verisi |
Almanya (Frankfurt) |
AB |
| Cloudflare |
CDN + DNS + DDoS koruması |
HTTP trafik metadata |
Global edge |
ABD-orijinli |
| Anthropic |
AI analiz (Claude API) |
Bulgu kategori + title |
ABD |
Yurt dışı |
| Shopier |
Ödeme işleme |
Kart + fatura bilgisi |
Türkiye |
TR |
| Resend / SendGrid |
E-posta gönderimi |
Alıcı e-postası + rapor |
AB |
AB |
| Shodan |
Pasif fingerprinting |
Hedef IP/domain (sizin) |
ABD |
Yurt dışı |
| CISA KEV + NVD |
CVE veritabanı sorgulama |
CVE numarası (public) |
ABD (public API) |
Public API |
ℹ
Yurt dışı aktarım: Cloudflare / Anthropic / Shodan / NVD verileri yurt dışında işliyor. Aegis aboneliğinize başlarken KVKK m.9 kapsamında açık rıza alıyoruz; bu rızanın metnini
Gizlilik Politikası'nda bulabilirsiniz.
3Şifreleme
Veri dinlenmesin / kurcalanmasın diye Aegis aşağıdaki standartları uygular:
- Geçişte: TLS 1.3 (Caddy + Let's Encrypt). TLS 1.2 fallback minimum. RC4/MD5 kapalı.
- Diskte: Hetzner volume LUKS şifrelemeli. AES-256-XTS, root key Hetzner cloud KMS'te.
- Yedekte: S3-compatible offsite — istemci tarafı AES-256-CBC ile şifrelenmiş sonra yüklenir.
- Audit log: Her event HMAC-SHA256 zincirli (Aegis kendi audit_store'unda kullandığı yöntem) — geriye dönük tamper imkansız.
- Müşteri auth token: HMAC-SHA256 imzalı stateless token (24 saat TTL).
4Erişim kontrolü
- Operatör paneli: Caddy basic-auth + IP whitelist + 2FA (TOTP).
- Müşteri paneli: Magic-link auth (şifresiz), 24h token TTL.
- Mod 2 aktif tarama: Operatör + supervisor onayı + imzalı sözleşme PDF (SHA-256 audit'te).
- Aegis çalışanı erişimi: Sadece Niyazi (CEO+CTO+her şey). Müşteri verisine erişim audit log'a düşer.
- Üretim DB: Sadece bastion host'tan SSH + sudo, multi-factor.
5Saklama süresi
| Veri türü | Süre | Sebep |
| Aktif abonelik bulgu snapshot'ları | Süresiz (abonelik aktif olduğu sürece) | Diff motoru için tarihçe |
| PDF raporlar (Pro) | Süresiz | Audit kanıtı |
| PDF raporlar (Lite) | 90 gün | Storage maliyeti |
| Audit log | 3 yıl | KVKK Kurulu denetimi için |
| Ödeme kayıtları | 10 yıl | VUK + Maliye |
| Demo talep formu | Onaysız 2 yıl, açılırsa süresiz | Satış pipeline |
| İptal sonrası tüm veri | İptal +30 gün → otomatik silme | KVKK m.7 + AB GDPR |
6Olağanüstü durum + ihlal bildirimi
Bir veri ihlali tespit edersek (KVKK Madde 12/5):
- 72 saat içinde KVKK Kurulu'na bildirim (Veri İhlali Bildirim Formu)
- Etkilenen müşterilere doğrudan e-posta + telefon — gizlemiyoruz, ne kadar kötüyse o kadar açık
- Public post-mortem — blog'da kök sebep + alınan tedbir
- Bağımsız 3. taraf audit — etkili saldırı için
ℹ
Bugüne kadar: 0 (sıfır) raporlanmış ihlal. Aegis kendi altyapısını her gün kendi tarayıcısıyla tarar — sonuçları
/durum sayfasında public.
7Uyum sertifikaları
| Standart | Durum | Belge |
| KVKK + VERBİS |
Aktif |
VERBİS kayıt + irtibat kişisi atanmış |
| ISO 27001 |
2026 Q4 hedef |
Gap analysis tamamlandı, iç audit planlanıyor |
| SOC 2 Type II |
2027 hedef |
Müşteri talebine göre öncelik |
| GDPR |
Uyumlu |
AB müşteri verisi Hetzner-Frankfurt'ta |