TURKLEX.AI BİLGİ GÜVENLİĞİ POLİTİKASI
Son güncelleme tarihi: 11 Mayıs 2026 Yürürlük tarihi: 11 Mayıs 2026 Sürüm: 1.0
1. Amaç ve Kapsam
İşbu Bilgi Güvenliği Politikası (“Politika”), İMOTEK YAZILIM ANONİM ŞİRKETİ (“Şirket” veya “Turklex”) tarafından Turklex.ai platformu üzerinden sunulan hizmetler kapsamında işlenen verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini güvence altına almak amacıyla uygulanan teknik ve idari tedbirleri açıklar.
Politika; 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), Kişisel Verileri Koruma Kurulu’nun Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) ve sektörel iyi uygulamalar esas alınarak hazırlanmıştır.
Hukukçu kullanıcılarımızın müvekkil verisini emanet ettiği bir platform işletiyor olmamız nedeniyle; 1136 sayılı Avukatlık Kanunu m.36 kapsamındaki meslek sırrı hassasiyeti, güvenlik mimarımızın çekirdek tasarım ilkesi olarak benimsenmiştir.
2. Bilgi Güvenliği Yönetim Çerçevesi
2.1. Yönetim Sorumluluğu
Bilgi güvenliği, Şirket yönetim kurulu seviyesinde gözetlenen stratejik bir alan olarak konumlandırılmıştır. Politika’nın uygulanmasından Bilgi Güvenliği Komitesi sorumlu olup; komiteye Bilgi Güvenliği Yöneticisi (CISO) ve Veri Koruma Görevlisi raporlar.
2.2. Politika ve Standartlar Hiyerarşisi
Üst düzey Politika, aşağıdaki alt politika ve prosedürlerle desteklenir:
- Erişim Kontrolü Politikası
- Şifreleme ve Anahtar Yönetimi Politikası
- Olay Müdahale ve İhlal Bildirim Prosedürü
- Yazılım Geliştirme Yaşam Döngüsü (SDLC) Standardı
- Tedarikçi (Üçüncü Taraf) Yönetimi Politikası
- İş Sürekliliği ve Felaket Kurtarma Planı
- Personel Güvenliği ve Disiplin Yönetmeliği
2.3. Risk Yönetimi
Bilgi varlıkları periyodik olarak envantere alınır; tehdit ve zafiyet analizleri ile risk skorları belirlenir. Yüksek riskli varlıklar için ek kontroller uygulanır, kalıntı riskler komite tarafından kabul veya transfer edilir.
2.4. Uyum Çerçevesi
Şirket, faaliyetlerini aşağıdaki mevzuat ve iyi uygulamalar doğrultusunda yürütür:
- KVKK ve ikincil mevzuatı (Kişisel Verileri Koruma Kurulu rehberleri dâhil)
- 5651 sayılı Kanun kapsamında erişim sağlayıcı/içerik sağlayıcı yükümlülükleri
- 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve ikincil mevzuatı
- 6502 sayılı Tüketicinin Korunması Hakkında Kanun ve ilgili yönetmelikler
- OWASP Top 10, OWASP ASVS ve OWASP LLM Top 10 dâhil sektörel güvenlik iyi uygulamaları
3. Veri Konumu ve Egemenliği
3.1. Yurt İçinde Barındırma
Platform’a ilişkin tüm üretim verisi, Türkiye Cumhuriyeti sınırları içerisinde mukim, yüksek güvenlikli veri merkezlerinde barındırılır. Müvekkil verileri, dilekçeler, vaka dosyaları, AI bağlamı (context) ve sair Kullanıcı içeriği yurt dışına aktarılmaz.
3.2. AI Modellerinin Yurt İçi İşletimi
Platform’un dil modelleri, Şirket’in kontrolündeki yurt içi sunuculardan çalıştırılır. Kullanıcı içeriği, OpenAI, Anthropic, Google ve sair yabancı menşeli model sağlayıcılarına iletilmez. (Ayrıntı: KVKK Aydınlatma Metni §6)
3.3. İstisnai Yurt Dışı Aktarım
Operasyonel zorunluluk doğan istisnai hâllerde (örn. yardımcı analitik, e-posta gönderim altyapısı), aktarım yalnızca 02.03.2024 tarihli 7499 sayılı Kanun ile değişik KVKK m.9 çerçevesinde; yeterlilik kararı, uygun güvenceler (standart sözleşme/BKK) veya istisnai hâl koşulu sağlanarak ve şeffaf bildirimle yapılır.
4. Şifreleme ve Anahtar Yönetimi
| Alan | Standart |
|---|---|
| Durağan veri (data at rest) | AES-256 ile şifreleme; veritabanı seviyesinde tam disk şifreleme (TDE) |
| Aktarım hâlindeki veri (data in transit) | TLS 1.3 ile uçtan uca şifreleme; eski TLS sürümleri devre dışı |
| Yedekler | AES-256 ile şifrelenmiş ve ayrı anahtarla erişime tâbi |
| Parolalar | Argon2id / bcrypt ile tek yönlü hash; salt + pepper kullanımı |
| API anahtarları | Donanım Güvenlik Modülü (HSM) veya yönetilen sır deposu (vault) içerisinde saklanır |
| Tenant şifreleme anahtarı | Her hukuk bürosu için ayrı veri şifreleme anahtarı (tenant-level key); KEK/DEK hiyerarşisi uygulanır |
Şifreleme anahtarları, en az yılda bir kez rotasyona tâbi tutulur; bir personelin işten ayrılması, ihlal şüphesi veya kritik güncelleme hâllerinde olağanüstü rotasyon yapılır.
5. Kimlik Yönetimi ve Erişim Kontrolü
5.1. Kimlik Doğrulama
- Çok faktörlü kimlik doğrulama (MFA) tüm kullanıcı hesapları için desteklenir; yönetici ve idari hesaplar için zorunludur.
- Parolalar; en az 12 karakter, karmaşıklık kurallarına uygun ve HaveIBeenPwned vb. veri tabanlarına karşı denetlenir.
- Yanlış giriş denemeleri brute-force koruması, IP bazlı oran sınırlaması ve oturum kilitleme mekanizmalarıyla engellenir.
- Çıkış işlemleri ile uzun süreli inaktiflik sonrası oturumlar otomatik sonlandırılır.
5.2. Yetkilendirme
- En az yetki ilkesi (Least Privilege) ve görev ayrılığı (Segregation of Duties) prensipleri uygulanır.
- Role bazlı erişim kontrolü (RBAC) ile çalışan yetki matrisleri çeyrek dönemde bir gözden geçirilir.
- Üretim ortamına erişim, yalnızca onaylı bastion / jump host üzerinden, oturum kaydı altında yapılır.
5.3. Personelin Veri Erişimi
Şirket çalışanları, müvekkil verilerine ve dilekçe içeriğine kural olarak erişemez. Yalnızca aşağıdaki hâllerde sınırlı erişim mümkündür:
- Kullanıcı’nın açık talebi ve onayı doğrultusunda hata giderme;
- Hukuka aykırı kullanım veya somut güvenlik tehdidi tespitinde, içerik denetimi olmaksızın meta veri seviyesinde inceleme;
- Yetkili adli/idari makam emri.
Her erişim, kim/ne zaman/hangi gerekçeyle erişti şeklinde denetim izi (audit log) olarak tutulur ve değiştirilemeyecek şekilde saklanır.
6. Mantıksal İzolasyon (Multi-Tenant Mimari)
Turklex.ai mimarisi, tenant-bazlı izolasyon prensibi ile inşa edilmiştir:
- Her hukuk bürosunun verisi mantıksal olarak ayrılmış veritabanı bölmelerinde tutulur;
- Tenant’lar arasında ayrı şifreleme anahtarları kullanılır;
- Yapay zekâ bağlamı (context) ve geçici bellek (memory) tenant sınırının dışına çıkamaz;
- Bir tenant’ın isteği, yetki dışında başka bir tenant’ın verisine ulaşmadığı; otomatik test sürelerinde erişim kontrolü regresyon testleri ile doğrulanır.
7. Ağ ve Altyapı Güvenliği
- Tüm üretim varlıkları, segmentlere ayrılmış ağ topolojisinde; DMZ + iç servis katmanı + veri katmanı mimarisiyle konumlandırılır.
- Web uygulama güvenlik duvarı (WAF), DDoS koruması ve oran sınırlama (rate limiting) tüm girişlerde aktiftir.
- Açık portlar minimum tutulur; gereksiz servisler devre dışı bırakılır.
- Sunucular, otomatik yama yönetim sistemi ile güncel tutulur; kritik güvenlik yamaları için azami 7 gün içerisinde uygulama hedefi gözetilir.
- Saldırı tespit ve önleme sistemleri (IDS/IPS) ile SIEM çözümü, 7/24 anomali izlemesi yapar.
8. Uygulama Güvenliği ve Güvenli Yazılım Geliştirme (Secure SDLC)
8.1. Geliştirme Süreci
- Her kod değişikliği için kod incelemesi (peer review) zorunludur; üretim ortamına doğrudan müdahale yasaktır.
- Branch protection kuralları ile incelemesiz birleştirme (merge) engellenir.
- CI/CD süreçlerinde otomatik birim test (unit test), statik kod analizi (SAST), bağımlılık tarama (SCA) ve container imaj zafiyet tarama adımları çalışır.
- Üretim öncesi staging ortamlarında dinamik güvenlik testleri (DAST) uygulanır.
8.2. Güvenli Kodlama Standartları
- OWASP Top 10 ve OWASP ASVS ilkeleri temel alınır.
- Yapay zekâ özelinde OWASP LLM Top 10 (prompt injection, insecure output handling, training data poisoning vb.) tehditleri için ek kontroller uygulanır.
8.3. Üçüncü Taraf Bağımlılıklar
Açık kaynak ve ticari yazılım bağımlılıkları, yetkili güvenlik takımı tarafından onaylı kütüphaneler havuzundan kullanılır; CVE veri tabanları ile sürekli karşılaştırılır.
9. Sızma Testleri ve Zafiyet Yönetimi
- Bağımsız siber güvenlik uzmanları tarafından yılda en az bir kez harici sızma testi (penetration test) yaptırılır; kritik özellik geçişlerinde ek testler planlanır.
- Bulgular, kritiklik derecesine göre şu süreler içinde giderilir:
- Kritik: 24 saat
- Yüksek: 7 gün
- Orta: 30 gün
- Düşük: 90 gün
- İç ekipler, otomatik zafiyet tarayıcıları ve bug bounty / sorumlu açıklama (responsible disclosure) mekanizmalarıyla güvenlik araştırmacılarından gelen bildirimleri değerlendirir.
10. Olay Müdahalesi ve Veri İhlali Bildirimi
10.1. Olay Müdahale Ekibi
Computer Security Incident Response Team (CSIRT) sürekli görevdedir. Şüpheli olay tespitinde tetiklenen prosedür şu adımları içerir: tespit → izolasyon → kanıt toplama → kök neden analizi → giderme → kapanış raporu → öğrenilen dersler.
10.2. KVKK İhlal Bildirimi (72 Saat Kuralı)
KVKK m.12/5 ve Kurul’un 2019/271 sayılı kararı uyarınca; tespit edilen veri ihlallerinin, en geç 72 saat içerisinde Kişisel Verileri Koruma Kurulu’na bildirilmesi sağlanır. Etkilenen ilgili kişilere de en kısa sürede doğrudan bildirim yapılır.
10.3. Kullanıcıya Şeffaflık
İhlalin niteliği, kapsamı, alınan tedbirler ve ilgili kişinin koruyucu adımları (parola değişimi, MFA aktivasyonu vb.) Kullanıcı’ya açıkça ve sade bir dille iletilir.
11. İş Sürekliliği ve Felaket Kurtarma
| Gösterge | Hedef |
|---|---|
| RPO (Recovery Point Objective) | ≤ 1 saat |
| RTO (Recovery Time Objective) | ≤ 4 saat (kritik bileşenler için) |
| Yedekleme sıklığı | Sürekli (CDC) + günlük tam yedek |
| Yedek saklama süresi | 30 gün online + 1 yıl offline arşiv |
| Yedek bütünlük testleri | Çeyrek dönemde bir, gerçek kurtarma tatbikatı dâhil |
Felaket senaryolarına karşı coğrafi olarak ayrı, ancak yurt içinde yerleşik ikincil veri merkezi çözümü işletilir.
12. Audit Logging ve İzlenebilirlik
- Kullanıcı oturum açma, doküman yükleme, AI sorgu, paylaşım, silme gibi tüm kritik işlemler değiştirilemez denetim kayıtları (WORM logs) olarak tutulur.
- Loglar; KVKK ve 5651 sayılı Kanun kapsamındaki saklama süreleri dikkate alınarak en az 2 yıl süreyle muhafaza edilir.
- Yöneticiler için ayrı bir admin audit trail tutulur; bu kayıtlara erişim yalnızca CISO onayıyla mümkündür.
13. Personel Güvenliği
- İşe alım sürecinde referans ve adli sicil kontrolleri yapılır.
- Tüm çalışanlar, işe başlamadan önce gizlilik (NDA) ve bilgi güvenliği taahhütnamesi imzalar.
- Yılda en az bir kez KVKK ve bilgi güvenliği farkındalık eğitimi ile periyodik phishing simülasyonları düzenlenir.
- İşten ayrılan personelin tüm erişim hakları aynı iş günü içerisinde iptal edilir; cihazlar geri toplanır ve veri silme işlemleri tutanağa bağlanır.
14. Tedarikçi (Üçüncü Taraf) Yönetimi
- Şirket adına kişisel veri işleyen tüm tedarikçilerle KVKK m.12 ve Kurul Rehberlerine uygun Veri İşleme Sözleşmesi (DPA) akdedilir.
- Tedarikçiler, hizmet türüne göre kritiklik seviyelerine ayrılır; kritik tedarikçiler için ek güvenlik değerlendirmesi ve denetim hakkı saklı tutulur.
- Yurt dışında yerleşik tedarikçiler için KVKK m.9 çerçevesinde yeterlilik kararı/uygun güvence değerlendirmesi yapılmadan veri aktarımı yapılmaz.
15. Fiziksel Güvenlik
Şirket merkezi (ASO Teknopark) ve veri merkezi tedarikçileri; sektörün kabul gördüğü güvenlik standartlarına uygun olarak işletilir. Erişim kartlı geçiş sistemi, 7/24 video gözetim, yangın algılama ve söndürme, çift faz güç beslemesi ve iklimlendirme kontrollü ortam temel uygulamalardır.
16. Yapay Zekâ Modellerine Özel Güvenlik Kontrolleri
Yapay zekâ destekli bir hukuk teknolojisi platformu olarak Şirket; geleneksel uygulama güvenliği kontrollerine ek olarak AI-spesifik tehdit modeli uygular:
- Eğitim Yasağı: Kullanıcı içeriği, modellerin temel eğitimi veya fine-tuning’inde kullanılmaz (KVKK Aydınlatma Metni §6).
- Prompt Injection Koruması: Kullanıcı veya doküman kaynaklı zararlı talimat enjeksiyonlarına karşı sistem promptu izolasyonu ve içerik temizleme uygulanır.
- Çıktı Doğrulama: Hukuki referans, mahkeme adı ve madde numarası gibi yüksek riskli alanlarda gerçeklik kontrolü (citation verification) uygulanır.
- Adversarial Robustluk: Modellerin kötü niyetli istemlere karşı sızdırma (data leakage) testleri belirli aralıklarla yapılır.
- İnsan Müdahalesi: Kullanıcı, otomatik analize KVKK m.11/1-(g) uyarınca itiraz edebilir; insan değerlendirmesi sürecine yönlendirilir.
17. Sorumlu Açıklama (Responsible Disclosure)
Bir güvenlik açığı tespit eden araştırmacıları, info@turklex.ai üzerinden Şirket’le iletişime geçmeye davet ediyoruz (mesaj konusuna “Güvenlik Bildirimi” yazılması, doğrudan ilgili ekibe yönlendirilmesini kolaylaştırır). İyi niyetli olarak rapor edilen bulgular, mevzuatın izin verdiği ölçüde yasal koruma altında değerlendirilir; gerekli durumlarda araştırmacının katkısı kamuya açık teşekkür sayfasında veya ödül programı kapsamında takdir edilir.
Sorumlu açıklama kapsamında:
- Bulgu, kamuya duyurulmadan önce Şirket’e iletilmelidir.
- Kişisel veri erişiminden veya hizmet kesintisinden kaçınılmalıdır.
- Bulgu, makul bir düzeltme süresi içinde Şirket tarafından çözülecek olup, bu süre içinde detayların kamuya açıklanmaması gerekir.
18. Politika Güncellemeleri ve Yürürlük
İşbu Politika, yılda en az bir kez veya esaslı bir değişiklik gerektiren olayların ardından gözden geçirilir; güncellenen sürüm Platform üzerinden duyurulur. Tüm Şirket çalışanları, Politika’ya uyumdan sözleşmesel olarak sorumludur.
19. İletişim
Bilgi güvenliği konularına ilişkin tüm soru, talep ve bildirimler için:
- Tüm iletişim (genel, güvenlik bildirimi, KVKK ve veri koruma): info@turklex.ai
- Adres: İMOTEK Yazılım A.Ş., ASO Teknopark, Ahi Evran OSB Mahallesi, Erkunt Caddesi, No: 3/4, 06935 Sincan / Ankara
İMOTEK YAZILIM ANONİM ŞİRKETİ Veri Sorumlusu