Verilerinizi korumak için uyguladığımız teknik, idari ve mimari tedbirler.
JUDIS TEKNOLOJİ VE YAZILIM ANONİM ŞİRKETİ ("JUDIS" veya "Şirket"), hukuk profesyonellerinin ve kurumsal hukuk departmanlarının ("Kullanıcı") verilerini en üst düzey siber güvenlik standartlarıyla korumak üzere tasarlanmıştır.
İşbu Gizlilik ve Veri Güvenliği Politikası, JUDIS platformuna ("Platform") yüklediğiniz, oluşturduğunuz ve depoladığınız tüm dava dosyaları, müvekkil bilgileri ve hukuki belgelerin ("Müşteri Verisi") güvenliğine ilişkin uyguladığımız teknik, idari ve mimari tedbirleri şeffaf bir şekilde ortaya koymaktadır.
JUDIS, Platform'a yüklediğiniz Müşteri Verileri üzerinde hiçbir hak iddia etmez. 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") kapsamında, müvekkillerinize ve dava dosyalarınıza ait verilerin "Veri Sorumlusu" münhasıran sizsiniz (Kullanıcı). JUDIS, bu veriler üzerinde yalnızca size sağlanan bulut altyapısı kapsamında "Veri İşleyen" sıfatıyla, sadece sizin talimatlarınız doğrultusunda işlem yapar.
Avukatlık meslek kuralları ve KVKK mevzuatı gereği verilerin lokasyonu hayati önem taşımaktadır.
Türkiye Sınırları İçinde Depolama: Platform'a yüklenen tüm veri tabanı kayıtları, dokümanlar ve dava dosyaları, fiziksel olarak Türkiye Cumhuriyeti sınırları içerisinde yer alan, Tier-3 standartlarında yapılandırılmış yüksek güvenlikli veri merkezlerinde barındırılmaktadır. Veri tabanı altyapısı doğrudan Şirketimiz tarafından işletilen sunucularda; dosya depolama altyapısı ise aynı veri merkezleri içerisinde self-hosted (özelimize ayrılmış) nesne depolama üzerinde tutulmaktadır.
İzole Depolama: Yüklediğiniz belgeler, dış erişime tamamen kapalı izole nesne depolama altyapılarında tutulur. Bu belgelere yalnızca yetkilendirilmiş kullanıcı oturumlarında üretilen kısa ömürlü, imzalı ve zaman aşımına tabi bağlantılar aracılığıyla erişilebilir. Tarayıcı tabanlı zararlı yazılım (XSS/Macro) risklerini engellemek amacıyla dosyalar varsayılan olarak Content-Disposition: attachment başlığı ile sunulur; tarayıcı önbelleği Cache-Control: no-store ile engellenir. Yalnızca güvenli kabul edilen biçimler (PDF, JPEG, PNG, WEBP) için sınırlı önizleme imkânı bulunmaktadır.
Müşteri Verileri, endüstri ve bankacılık standardı olan şifreleme algoritmalarıyla korunmaktadır:
Aktarım Sırasında Şifreleme (Data in Transit): Cihazınız ile sunucularımız arasındaki tüm veri trafiği, HTTP Strict Transport Security (HSTS) destekli modern TLS şifreleme protokolleri ile güvence altına alınmıştır.
Duraksama Hâlinde Şifreleme (Data at Rest): Veri tabanımızdaki hassas alanlar (müvekkil bilgileri, dava içerikleri, notlar, görevler vb.) ve depolanan dosyalar AES-256-GCM algoritması ile şifrelenir.
Zarf Şifreleme Mimarisi (Envelope Encryption): Her organizasyon (Hukuk Bürosu) için veri tabanında ayrı bir Veri Şifreleme Anahtarı (DEK) oluşturulur. Bu anahtarlar, Ana Şifreleme Anahtarı (KEK) ile kilitlenerek korunur. Bu mimari, verilerinizin başka bir organizasyon veya yetkisiz kişiler tarafından deşifre edilmesini teknik olarak imkânsız hâle getirir.
Platformumuzun temelini oluşturan yapay zeka hizmetleri, mesleki sırlarınızı korumak için "Dinamik Maskeleme" ve "Eğitime Kullanılmama" prensipleriyle çalışır:
Otomatik Maskeleme (Pseudonymization): Platform içerisinde yapay zeka asistanına gönderdiğiniz metinler, dış servislere iletilmeden önce Türkiye'deki sunucularımızda çalışan özel Doğal Dil İşleme algoritmalarımızdan geçer. Metin içindeki T.C. Kimlik Numaraları, isimler, iletişim bilgileri, adresler ve kurum adları otomatik olarak sentetik etiketlere (Örn: [KİŞİ_1], [KİMLİK_1]) dönüştürülür. Hiçbir doğal dil işleme sistemi mutlak garanti vermediğinden, maskelenmiş metin yapay zeka altyapısına iletilmeden önce kullanıcı önizleme ekranında onayınıza sunulur.
Eğitime Kullanılmama Taahhüdü: Maskelenerek yapay zeka servis sağlayıcısına iletilen metinler, sağlayıcının kurumsal müşteri sözleşmesi gereği temel modellerin eğitiminde (model training) kullanılmaz. Bu, kurumsal düzeyde sözleşmesel bir taahhüttür.
Geçici İşleme Süreci: Sağlayıcı, hizmetin işletim bütünlüğü (kötüye kullanım tespiti, güvenlik denetimi gibi) için sınırlı bir süre boyunca prompt ve yanıt loglarını tutabilmektedir. Bu loglar JUDIS'in erişimine kapalıdır ve sağlayıcının belirlediği süre sonunda otomatik olarak silinir; veriler kalıcı diskte kullanıcı bazlı bir profil oluşturacak şekilde saklanmaz.
Çok Kiracılı İzolasyon (Multi-Tenant Isolation): Her organizasyon mantıksal olarak birbirinden tamamen yalıtılmıştır.
Rol Bazlı Yetkilendirme (RBAC): Yönetici kullanıcılar; ekiplerindeki diğer üyelerin finansal verilere, hassas dava dosyalarına veya silme yetkilerine erişimini sistem içerisinden kısıtlama hakkına sahiptir.
Değiştirilemez Denetim İzleri (WORM Audit Logs): Sistemdeki her kritik işlem (veri okuma, yazma, silme, belge indirme ve yapay zeka kullanımı), kullanıcının kimliği ve zaman damgası ile birlikte "Bir Kere Yazılır, Çok Kere Okunur" (WORM) formatında, silinemez şekilde kayıt altına alınır. Yönetici avukatlar, ofis içindeki tüm veri hareketlerini şeffaf bir şekilde denetleyebilir.
Hız ve Oturum Sınırlandırması (Rate Limiting & Brute Force Protection): Kötü niyetli yazılımların veya botların sisteme sızmasını engellemek amacıyla ardışık hatalı giriş denemelerinde hesaplar geçici olarak kilitlenir. Anlık sistem istekleri, sunucu kararlılığını korumak için sıkı kotalarla denetlenir.
Oturum Güvenliği: Aktif oturumlar belirli bir süre sonunda zaman aşımına uğrar. Çoklu cihaz kullanım limitleri ile hesabınızın yetkisiz cihazlarda açık kalması engellenir.
JUDIS, "Veri Minimizasyonu" ilkesine uygun hareket eder. Verileriniz, amacı için gerekli olduğu süre boyunca korunur ve otomatik anonimleştirme süreçleriyle yönetilir:
AI Sohbetleri: Bir AI sohbeti kullanıcı tarafından arşivlendiğinde, arşivleme tarihinden itibaren 6 (altı) ay sonra otomatik olarak anonimleştirilir. Aktif sohbetler ise son etkileşim tarihinden itibaren 1 (bir) yıl inaktivite süresi dolduğunda otomatik anonimleştirme sürecine alınır. Anonimleştirme; sohbet başlığı, mesaj içerikleri ve maskeleme eşleme tablosunun geri dönüşümsüz olarak yok edilmesini kapsar.
Dava Dosyaları: Kapatılan dava dosyaları, Avukatlık Kanunu m.39 uyarınca kapanış tarihinden itibaren 5 (beş) yıl süreyle korunduktan sonra otomatik anonimleştirme sürecine alınır; dava başlıkları, notlar ve duruşma kayıtları kişiyi tanımlanamayacak şekilde dönüştürülür, bağlı belge dosyaları nesne depolama altyapısından fiziksel olarak silinir.
Hesap Silme: Aboneliğinizi iptal edip hesabınızın silinmesini talep etmeniz hâlinde; yasal olarak saklanması zorunlu olan fatura ve güvenlik kayıtları hariç olmak üzere, tarafınıza ait tüm dava verileri, şablonlar ve belgeler 30 (otuz) günlük bekleme süresinin ardından geri döndürülemez şekilde kalıcı olarak imha edilir. Bu süre içinde talebinizi geri çekme hakkınız bulunmaktadır.
Veri İadesi (KVKK m.11): Hesap aktif olduğu sürece veya abonelik bitiminden sonra, [email protected] adresine ileteceğiniz talepler doğrultusunda verilerinizin makinece okunabilir formatta dışa aktarımı 30 (otuz) gün içinde ücretsiz olarak sağlanır.
JUDIS, sistemlerinde meydana gelebilecek herhangi bir olağandışı durumu veya veri sızıntısı şüphesini sürekli olarak izler. Herhangi bir yetkisiz erişim veya veri ihlali tespit edilmesi hâlinde; 6698 sayılı Kanun uyarınca durumu derhal, en geç 72 saat içerisinde Veri Sorumlusu sıfatını haiz olan size (Kullanıcıya) e-posta yoluyla bildirmeyi taahhüt eder.
Bu politika ile ilgili her türlü teknik veya hukuki sorunuz için aşağıdaki iletişim kanalları üzerinden Şirketimiz ve Veri Koruma Yetkilimiz ile iletişime geçebilirsiniz:
Unvan: JUDIS TEKNOLOJİ VE YAZILIM ANONİM ŞİRKETİ
MERSİS No: 0484236440400001
Vergi Dairesi ve No: Mecidiyeköy V.D. / 4842364404
Ticaret Sicil No: 1134295 (İstanbul Ticaret Sicili Müdürlüğü)
Adres: Fulya Mah. Büyükdere Cad. Quasar No: 76 İç Kapı No: 188 Şişli / İstanbul
E-Posta: [email protected] (veya [email protected])
