Gizlilik Politikası

Devasso Growth Agency, Devasso Army panelinde işlenen kişisel veriler bakımından veri sorumlusudur. İletişim: privacy@devasso.cloud.

• Hesap verisi: ad, soyad, e-posta, profil görseli, rol ve tenant ataması.
• Oturum verisi: Supabase tarafından verilen JWT, IP adresi, kullanıcı ajanı, başarılı/başarısız giriş kayıtları.
• Operasyonel veri: tenant adına çalıştırılan agent istekleri, girdi/çıktı gövdeleri, pipeline izleri (traces), loglar ve metrikler.
• Kimlik bilgisi: tenant entegrasyonları için saklanan API anahtarları (şifrelenmiş biçimde).

• Panel erişiminin ve yetkilendirmenin sağlanması,
• Agent çalıştırma, orkestrasyon ve hata ayıklama operasyonları,
• Güvenlik izleme, anomali tespiti ve hesap kilitleme (brute-force koruması),
• Hizmet seviyesi raporlaması ve fatura dayanakları,
• Yürürlükteki mevzuattan doğan yükümlülüklerin yerine getirilmesi.

Veriler; sözleşmenin kurulması ve ifası (KVKK m.5/2-c, GDPR 6/1-b), meşru menfaat (KVKK m.5/2-f, GDPR 6/1-f) ve açık rıza gerektiren hallerde açık rıza (KVKK m.5/1, GDPR 6/1-a) hukuki sebeplerine dayalı olarak işlenir.

Aşağıdaki alt işleyenler, tanımlı amaçlarla veri işleyebilir:

• Supabase (EU): kimlik doğrulama, Postgres veritabanı, object storage.
• Hostinger VPS / Coolify: uygulama barındırma.
• OpenAI & Anthropic: agent çalıştırmaları için LLM çıkarımı — prompt/çıktı bu sağlayıcılara iletilir.
• Prometheus / Grafana: metrik ve log gözlemlenebilirliği (self-hosted).

Yurt dışına aktarım yalnızca hizmetin sağlanabilmesi için gerekli olduğu ölçüde ve standart sözleşme maddeleri çerçevesinde gerçekleştirilir.

• Hesap ve rol verisi: hesap aktif olduğu sürece + 1 yıl,
• Giriş/güvenlik kayıtları: 12 ay,
• Agent çalıştırma izleri (traces): 90 gün (tenant planına göre uzayabilir),
• Şifrelenmiş kimlik bilgileri: tenant tarafından silinene kadar.

Tüm trafik TLS üzerinden şifrelenir. Kimlik bilgileri AES-GCM zarf şifrelemesi ile saklanır; master key rotasyonu versiyonlanır. Giriş denemeleri üstel geri çekilme (exponential back-off) ile kilitlenir. Orkestratör–agent trafiği HMAC ile imzalı internal token üzerinden doğrulanır.

KVKK m.11 ve GDPR m.15–22 kapsamında:

• verilerinize erişim,
• düzeltme ve güncelleme,
• silme ve işleme kısıtlama,
• veri taşınabilirliği,
• işlemeye itiraz,
• otomatik karar verme süreçlerine karşı inceleme talep etme

haklarına sahipsiniz. Talepleriniz için privacy@devasso.cloud adresine başvurabilirsiniz; 30 gün içinde yanıt verilir.

Panel; oturum yönetimi için Supabase çerezlerini, brute-force kilidini takip etmek için sessionStorage anahtarlarını kullanır. Üçüncü taraf analitik veya reklam çerezi kullanılmaz.

Bu politikada yapılan değişiklikler, yürürlüğe girmeden en az 14 gün önce panel ve e-posta üzerinden duyurulur. Önceki sürümler talep üzerine paylaşılır.