GÜVEN MERKEZİ

Şeffaf güvenlik posture'u

Bir siber güvenlik şirketinin kendi güvenlik durumunu gizlemesi tehlike sinyalidir. Aegis'in nasıl çalıştığını, nereye ne kaydettiğini, kimleri alt-işleyici olarak kullandığını burada açıkça paylaşıyoruz.

🔐
Şifreleme
TLS 1.3 + AES-256
🇹🇷
Veri konumu
AB + Türkiye
📋
Audit log
HMAC zincirli
⚖️
KVKK m.12
Uyumlu

1Veri akışı

Sizin sitenizi taramak için Aegis hangi veriyi alır, nasıl işler, ne kadar saklar:

Toplanan veri (sizden)

  • Hedef domain (örn. sirket.com) — abonelik süresince tutulur
  • İletişim e-postası — rapor gönderimi için
  • Ödeme bilgisi — sadece Shopier işler; Aegis bu veriye dokunmaz
  • Operatör kimliği (Mod 2 aktif tarama için) — audit log'da imzalı
  • Yetki sözleşmesi PDF SHA-256 hash'i — sözleşmenin kendisi değil, sadece hash

Taramada üretilen veri

  • Subdomain listesi, DNS kayıtları, açık port'lar — public bilgi
  • HTTP yanıt başlıkları — body değil, sadece header'lar
  • Bulgu kategori + severity — örn. "eksik HSTS / high"
  • AI analiz çıktısı — yönetici özeti + öneri
  • PDF rapor — 90 gün ardından otomatik silinir (Aegis Pro: süresiz)

Toplamadığımız veri

  • HTTP body içeriği (taraman dışında)
  • Cookie içerikleri / kullanıcı oturumu
  • Form POST verisi (Mod 2'de bile — sadece auth header)
  • Çalışanlarınızın PII'si (sadece bizimle iletişim kuranların e-postası)

2Alt-işleyiciler

KVKK m.12 + m.9 gereği veri işleme zincirimizdeki üçüncü taraflar:

ŞirketAmaçVeriKonumDurum
Hetzner Sunucu hosting (web + DB) Tüm Aegis verisi Almanya (Frankfurt) AB
Cloudflare CDN + DNS + DDoS koruması HTTP trafik metadata Global edge ABD-orijinli
Anthropic AI analiz (Claude API) Bulgu kategori + title ABD Yurt dışı
Shopier Ödeme işleme Kart + fatura bilgisi Türkiye TR
Resend / SendGrid E-posta gönderimi Alıcı e-postası + rapor AB AB
Shodan Pasif fingerprinting Hedef IP/domain (sizin) ABD Yurt dışı
CISA KEV + NVD CVE veritabanı sorgulama CVE numarası (public) ABD (public API) Public API
Yurt dışı aktarım: Cloudflare / Anthropic / Shodan / NVD verileri yurt dışında işliyor. Aegis aboneliğinize başlarken KVKK m.9 kapsamında açık rıza alıyoruz; bu rızanın metnini Gizlilik Politikası'nda bulabilirsiniz.

3Şifreleme

Veri dinlenmesin / kurcalanmasın diye Aegis aşağıdaki standartları uygular:

4Erişim kontrolü

5Saklama süresi

Veri türüSüreSebep
Aktif abonelik bulgu snapshot'larıSüresiz (abonelik aktif olduğu sürece)Diff motoru için tarihçe
PDF raporlar (Pro)SüresizAudit kanıtı
PDF raporlar (Lite)90 günStorage maliyeti
Audit log3 yılKVKK Kurulu denetimi için
Ödeme kayıtları10 yılVUK + Maliye
Demo talep formuOnaysız 2 yıl, açılırsa süresizSatış pipeline
İptal sonrası tüm veriİptal +30 gün → otomatik silmeKVKK m.7 + AB GDPR

6Olağanüstü durum + ihlal bildirimi

Bir veri ihlali tespit edersek (KVKK Madde 12/5):

  1. 72 saat içinde KVKK Kurulu'na bildirim (Veri İhlali Bildirim Formu)
  2. Etkilenen müşterilere doğrudan e-posta + telefon — gizlemiyoruz, ne kadar kötüyse o kadar açık
  3. Public post-mortemblog'da kök sebep + alınan tedbir
  4. Bağımsız 3. taraf audit — etkili saldırı için
Bugüne kadar: 0 (sıfır) raporlanmış ihlal. Aegis kendi altyapısını her gün kendi tarayıcısıyla tarar — sonuçları /durum sayfasında public.

7Uyum sertifikaları

StandartDurumBelge
KVKK + VERBİS Aktif VERBİS kayıt + irtibat kişisi atanmış
ISO 27001 2026 Q4 hedef Gap analysis tamamlandı, iç audit planlanıyor
SOC 2 Type II 2027 hedef Müşteri talebine göre öncelik
GDPR Uyumlu AB müşteri verisi Hetzner-Frankfurt'ta

Güvenlik iletişimi

Bir güvenlik açığı tespit ettiniz mi? Sorumlu bildirim politikamız:

Güvenlik e-postası security@aegisscanner.com
PGP fingerprint /.well-known/aegis-security.asc
Bug bounty Niyet beyanı (formal program 2026 Q4)
KVKK iletişim kişisi kvkk@aegisscanner.com
Veri sorumlusu Niyazi Önder Duman (Aegis Scanner)