PhotoRobot Teknik ve Organizasyonel Önlemler (TOM)
Bu belge, PhotoRobot'un Teknik ve Organizasyonel Önlemlerini (TOM'ları) GDPR 32. Maddesi kapsamında tanımlamaktadır: Sürüm 1.0 – PhotoRobot Edition, uni-Robot Ltd., Çekya. Belge son olarak 31 Aralık 2025 itibarıyla güncellenmiştir ve PhotoRobot'un DPA ve SLA kapsamındaki sözleşme yükümlülüklerine uyumu desteklemektedir.
1. Giriş - PhotoRobot TOM'lar
Bu belge, uni-Robot Ltd. (PhotoRobot) tarafından Genel Veri Koruma Yönetmeliği'nin (GDPR) 32. Maddesi uyarınca kişisel verilerin işlenmesinde uygun bir güvenlik seviyesini sağlamak amacıyla uygulanan Teknik ve Organizasyonel Önlemleri (TOM'ları) tanımlar.
Bu önlemler, PhotoRobot hizmetlerinin işletilmesine uygulanır ve bunlar arasında ancak bunlarla sınırlı olmakla birlikte:
- PhotoRobot Bulutu Kontrol Ediyor
- PhotoRobot Cloud 2.0
- PhotoRobot Yerel Kontroller (bulut servislerine bağlandığında)
- API'ler ve ilgili çevrimiçi hizmetler
- Destekleyici altyapı ve iç sistemler
Bu belge, PhotoRobot'un TOM'larının yetkili tanımı olarak hizmet eder ve Veri İşleme Anlaşmaları (DPA'lar), denetimler ve kurumsal güvenlik incelemelerinde referans alabilir.
2. Kapsam ve Uygulanabilirlik
Burada açıklanan TOM'lar aşağıdakiler için geçerlidir:
- PhotoRobot hizmetleri kapsamında müşteriler adına işlenen kişisel veriler
- Hizmetleri sağlamak, sürdürmek ve güvence altına almak için gerekli olan iç operasyonel veriler
Önlemler şunları dikkate alarak tasarlanmıştır:
- En Teknolojik Teknoloji
- Uygulama maliyetleri
- İşlemenin doğası, kapsamı, bağlamı ve amaçları
- Doğal Kişilerin hak ve özgürlüklerine yönelik riskler
3. Örgütsel Güvenlik Önlemleri
3.1. Bilgi Güvenliği Yönetişimi
PhotoRobot, bilgi güvenliği, veri koruma ve kabul edilebilir sistemlerin kullanımını düzenleyen iç politika ve prosedürleri sürdürmektedir.
Güvenlik ve veri koruma sorumlulukları, gizlilik ve hukuki konular için belirlenmiş kişiler dahil olmak üzere organizasyon içinde net bir şekilde tanımlanmıştır.
3.2. Çalışan Gizliliği ve Farkındalığı
- Çalışanlar ve yükleniciler gizlilik sorumluluklarına bağlıdır
- Sistemlere erişim ihtiyacı olan bilinmeye göre verilir
- Güvenlik ve veri koruma farkındalığı, işe alım ve devam eden operasyonların bir parçası olarak teşvik edilmektedir
4. Erişim Kontrolü ve Yetkilendirme
4.1. Rol Tabanlı Erişim Kontrolü (RBAC)
Sistemlere ve müşteri verilerine erişim, rol tabanlı erişim kontrolü (RBAC) ilkeleriyle kontrol edilir.
- Kullanıcılara, görevlerini yerine getirmek için gerekli minimum ayrıcalıklar verilir
- İdari erişim yetkili personelle sınırlıdır
4.2. Doğrulama
- İç ve dış sistemler için güçlü kimlik doğrulama mekanizmaları kullanılır
- Şifre politikaları ve erişim kimlik bilgileri güvenli şekilde yönetilir
- Erişim kimlik bilgileri paylaşılmamalıdır
5. Altyapı ve Ağ Güvenliği
5.1. Barındırma ve Bulut Altyapısı
PhotoRobot hizmetleri, sektör standardı fiziksel ve çevresel güvenlik kontrollerini uygulayan profesyonel bulut altyapı sağlayıcılarında (örneğin Google Cloud Platform) barındırılır.
5.2. Ağ Koruması
- Ağ trafiği güvenlik duvarları ve erişim kontrolleri kullanılarak korunur
- Kamuya açık hizmetler dahili sistemlerden izole edilmiştir
- Altyapı bileşenleri erişilebilirlik ve güvenlik olayları açısından izlenir
6. Şifreleme ve Veri Koruma
6.1. Aktarımda Veri
- İstemci ile PhotoRobot hizmetleri arasında iletilen veriler TLS/HTTPS kullanılarak şifrelenmiştir
- API'ler ve bulut arayüzleri için güvenli iletişim kanalları zorunlu kılınmıştır
6.2. Durağan Veri
- Bulut altyapısında depolanan veriler, barındırma sağlayıcısı tarafından sağlanan şifreleme mekanizmalarıyla korunur
- Depolanan verilere erişim yetkili sistemler ve personelle sınırlıdır
7. Kayıt Tutma, İzleme ve Olay Tespiti
7.1. Kayıt Kayıtları
- Sistem logları, operasyonel ve güvenlikle ilgili olaylar için oluşturulur
- Loglar sorun giderme, izleme ve olay analizi için kullanılır
7.2. İzleme
- Hizmetler erişilebilirlik, performans ve anormallikler açısından izlenir
- Anormal davranış veya hizmet kesintisi durumunda uyarılar tetiklenir
8. Olay Müdahalesi ve İhlal Yönetimi
PhotoRobot, kişisel veri ihlalleri de dahil olmak üzere güvenlik olaylarının ele alınması için prosedürler sürdürmektedir.
Bu prosedürler şunları içerir:
- Olayların Tanımlanması ve Değerlendirilmesi
- Azaltma ve Kontrol Önlemleri
- İç tırmanma
- Gerektiğinde müşterilerle iletişim
- GDPR ihlal bildirim yükümlülüklerine uyum (GDPR Maddeleri 33 ve 34)
9. Yedeklik, Erişilebilirlik ve İş Sürekliliği
9.1. Yedekler
- Veri yedeklemeleri, standart bulut işlemlerinin bir parçası olarak gerçekleştirilir
- Yedekler, felaket kurtarma ve hizmet sürekliliği amaçları için kullanılır
9.2. Erişilebilirlik
- Hizmetlerin yüksek erişilebilirliğini korumak için makul çabalar gösterilmektedir
- Planlı bakım faaliyetleri geçici hizmet kesintilerine neden olabilir
Kullanılabilirlik hedefleri ve yanıt süreleriyle ilgili detaylar, geçerli Hizmet Seviyesi Anlaşmalarında (SLA) ayrı olarak açıklanmıştır.
10. Güvenli Kalkınma ve Değişim Yönetimi
10.1. Güvenli Kalkınma Uygulamaları
PhotoRobot, yapılandırılmış geliştirme ve dağıtım süreçlerini takip eder, bunlar arasında şunlar yer alır:
- Uygun olduğunda geliştirme, test ve üretim ortamlarının ayrılması
- kontrollü yerleştirme prosedürleri
- Sürüm kontrolü ve değişiklik takibi
10.2. Güncellemeler ve Yamalama
- Yazılım bileşenleri, güvenlik açıklarını gidermek için güncelleniyor
- Kritik güncellemeler, risk değerlendirmesine göre önceliklendirilir
11. Alt İşlemciler ve Üçüncü Şahıslar
PhotoRobot, hizmet sunumunu desteklemek için alt işlemcilerle (örneğin, barındırma, e-posta hizmetleri) çalışabilir.
- Alt işlemciler, güvenlik ve veri koruma uygulamalarına göre seçilir
- Güncel alt işlemci listesi ayrı tutulmakta ve halka açık hale getirilmektedir
12. Fiziksel Güvenlik
Sunuculara ve veri merkezlerine fiziksel erişim bulut altyapısı sağlayıcısı tarafından yönetilir ve şunları içerir:
- Erişim Kontrolleri
- Gözetim ve İzleme
- Çevre korumaları
PhotoRobot kendi veri merkezlerini işletmez.
13. Veri Minimizasyonu ve Saklama
- Yalnızca hizmet sağlamak için gerekli veriler işlenir
- Kişisel veriler yalnızca sözleşmesel, yasal veya operasyonel amaçlar için gerekli olduğu sürece saklanır
- Veri silme ve saklama süreleri ilgili politika ve anlaşmalarda tanımlanmıştır
14. İnceleme ve Güncellemeler
Bu Teknik ve Organizasyonel Önlemler periyodik olarak gözden geçirilir ve gerektiğinde güncellenerek aşağıdaki özellikleri yansıtmak üzere güncellenir:
- Teknolojideki Değişiklikler
- Hizmetlerdeki değişiklikler
- Gelişen güvenlik ve düzenleyici gereksinimler
Önemli değişiklikler uygun olduğunda müşterilere iletilebilir.
15. İletişim Bilgileri
Bu Teknik ve Organizasyonel Önlemlerle ilgili sorular için:
uni-Robot Ltd.
Vodičkova 710/31
110 00 Prag 1
Çek Cumhuriyeti
E-posta: legal@photorobot.com
Son Not
Bu TOM'lar, PhotoRobot'un mevcut teknik ve organizasyonel önlemlerini tanımlar ve müşterilere şeffaflık ve güvence sağlamayı amaçlar. Kesintisiz hizmet garantisi veya mutlak güvenlik garantisi oluşturmazlar, ancak veri koruma ve bilgi güvenliğine risk odaklı ve orantılı bir yaklaşımı yansıtırlar.