Güven ve Güvenlik

Envanterinizi nasıl koruyoruz — ve kasıtla neyi yapmıyoruz.

Veri yolunda durmuyoruz. İçerik okumuyoruz. Mimari, kasıtlı bir tercih — bu sayfada da her sınırı açıkça belirtiyoruz.

İçerik incelemiyoruzSadece uç-nokta telemetrisiVarsayılan tenant izolasyonu

Mimari taahhütler

Aşmadığımız beş sınır.

Bunlar hedef değil; ürünün şeklini belirleyen kararlar. CenseCloud bunları yapamaz — politika sözüyle değil, mimaride mümkün olmadığı için.

Ağ

Trafik yolunda proxy yok

SaaS proxy değiliz. İş uygulamalarınıza giden trafik CenseCloud üzerinden geçmez. Gecikme eklenmez, yeni bir hata noktası oluşmaz.

Müdahale

MITM yok, satır-içi şifre çözme yok

TLS'i kırmıyoruz, TLS'i sonlandırmıyoruz. Kullanıcı trafiğinde araya girilen bir nokta yok — söz değil, tasarım.

Üretim sunucusu

Üretim sunucularında ajan yok

Uç-nokta ajanı kullanıcı cihazlarında — laptop ve iş istasyonlarında — çalışır. Üretim sunucularına, veritabanlarına, domain controller'lara dokunmaz. Kritik altyapınız yerinde kalır.

Telemetri

Sadece uç-nokta sinyalleri

Envanter kullanıcının kendi uç-noktasından ve tarayıcısından oluşur — neyi kurduğu, neyi açtığı, neye izin verdiği. Sınırınızdan yalnızca onaylı sinyaller çıkar, veri yükü değil.

İçerik

İçerik incelemiyoruz

Aksiyonu ve hedefin risk skorunu yakalıyoruz — mesaj gövdesini, dosya içeriğini değil. CenseCloud bir DLP değil.

Veri — ne, ne değil

Aksiyonu ve hedefi topluyoruz. İçeriği okumuyoruz.

B2B SaaS yönetişimi sık sık gözetimle iç içe geçer. Çizdiğimiz çizgi somut: ne yapıldığını ve nereye gönderildiğini gözlemleriz; içinde ne olduğunu asla değil.

Topladıklarımız

Yönetişim için gerekli sinyaller.

Kullanıcı aksiyonu — Uygulama açıldı, paste denemesi engellendi, dosya paylaşımı engellendi, sayfa ziyareti — aksiyonun kendisi, zaman damgasıyla.
Hedef risk skoru — Hedef SaaS veya AI aracının sınıflandırması: AI kategorisi, kişisel hesap, yurt dışı yargı bölgesi, SSO yok. Sadece skor — sayfa gövdesi değil.
Kimlik nitelikleri — AD kullanıcı adı, OU, grup üyeliği, lastLogon (DC'lerin MAX'ı). Dizininizden çekilir; dış profillerle zenginleştirilmez.
OAuth izinleri — Entra/Workspace tenant'ınızda verilen üçüncü-taraf uygulama izinleri — uygulama adı, scope'lar, izin veren kullanıcı, zaman damgası.
Uç-nokta envanteri — Yüklü uygulamalar, tarayıcı eklentileri, IDE eklentileri. Ad ve sürüm — içlerindeki veri değil.
Lisans ve harcama — Finans entegrasyonu bağlandığında: abonelik satırı, lisans sayısı, yenileme döngüsü. Sözleşmeyi görürüz; kullanım içeriğini değil.

Toplamadıklarımız

Özellikle uzak durduğumuz sinyaller.

Mesaj ve dosya içeriği — E-posta gövdesi, chat mesajı, doküman içeriği, yapıştırılan metin asla okunmaz. Aksiyon yakalanır; payload yakalanmaz.
Tuş vuruşu / tıklama — Keylogging yok, click-tracking yok. Uç-nokta ajanı süreç ve event metadata'sını gözlemler; kullanıcı girdisini değil.
Ekran içeriği — Screen capture yok, screenshot akışı yok. Politika tetiklense (engelle, koçluk) bile ekranda ne olduğunu iletmiyoruz.
Kişisel tanımlayıcılar — Trafikten veya içerikten TCKN, kart, telefon ya da PII parçaları çıkarmıyoruz. İhtiyacımız yok.
Veritabanı satırları — Uygulama veritabanlarınıza bağlanmıyoruz. CenseCloud kendi envanterini okur; iş kayıtlarınızı değil.
Genel tarama geçmişi — Bilinen SaaS ve AI kategorileri dışındaki tarama kaydedilmez. Bir haber sitesi ziyareti bizim için görünmezdir.

Uyum çerçeveleri

Uyumluluğu kanıtlamanıza yardım ederiz — sahip olmadığımız sertifikaları iddia etmeyiz.

CenseRisk her riski denetçinizin gerçekten kullandığı çerçevelere eşler. Bu bir ürün yeteneğidir — şirket rozeti değil — ve bu ayrımı açıkça koruruz.

Bu bölümün dürüst olduğu nokta

CenseCloud şu an üçüncü-taraf bir güvenlik sertifikasına sahip değil. Aşağıdaki çerçeveler ürünün hangi raporlamayı ürettiğini gösterir — şirketin sahip olduğu sertifikaları değil. Ekibiniz denetime hazırlık için bu raporlardan yararlanır.

KVKK

Raporlama

Motorda ayrı risk katmanı. RoPA-seviyesinde dışa aktarım, özel-nitelikli veri etiketleme, yurt dışı aktarım görünümü, DSR desteği.

Dayanak · KVKK md. 12 · VERBİS

GDPR

Raporlama

Madde 30 işleme kayıtları, lawful basis incelemesi, üçüncü-ülke aktarım işaretleri — aynı envanterden.

Dayanak · GDPR md. 30

ISO 27001

Raporlama

Varlık envanteri (A.5.9), tedarikçi güvenliği (A.5.19–21), erişim kontrolü ve gözden geçirme (A.5.15–18). Kanıt canlı envanterden çekilir.

Dayanak · Annex A 5.9 · 5.15–18 · 5.19–21

NIST CSF 2.0

Raporlama

GOVERN, IDENTIFY (ID.AM, ID.SC) ve PROTECT (PR.AA) fonksiyon kategorilerine eşleme. 2.0 sonrası çerçeveye göre kurulmuş, sonradan iliştirilmiş değil.

Dayanak · GV · ID.AM · ID.SC · PR.AA

EU AI Act

Raporlama

AI uygulamalarında risk etiketleme, yönetişim merdiveni (onaylı · izlenen · koşullu · engelli), AI envanter öğesi başına kanıt izi.

Dayanak · Başlık III · GPAI yükümlülükleri

Tenant izolasyonu

Yapısal olarak firma başına ayrım.

Her firma CenseCloud içinde kendi tenant'ıdır. Çapraz-tenant erişim bir ayarla kapatılan şey değil — bir firmanın diğerinin envanterini görmesini sağlayacak hiçbir anahtar yok.

Firma başına tenant modeli

Her müşteri kendi tenant bağlamına sahip olur. Her sorgu, her API çağrısı firma kimliğini taşır ve veri katmanında filtrelenir.

İncelenmiş izolasyon

Tenant ayrımı iç uçtan uca denetimlerimizde gözden geçirilir. SQL enjeksiyonu, IDOR ve cross-tenant erişim vektörleri regresyon listesinde.

Role bağlı erişim

Tenant başına yönetici / izleyici / denetçi rolleri. Okuma ile aksiyon için modül seviyesinde kapsamlama. Hassas işlemler yöneticiye sınırlandırılır.

Denetim-değişmez iz

Politika değişiklikleri, erişim incelemeleri ve kapatma olayları, dashboard'un sonradan değiştiremeyeceği bir denetim loguna yazılır.

Alt-işleyenler

Bizim adımıza veri işleyen tedarikçiler.

KVKK ve GDPR gereği CenseCloud çalışırken tenant verisine dokunan üçüncü tarafları açıklarız. Aşağıdaki liste güncel. Tenant verisi işleyen bir alt-işleyen eklemeden önce müşterilere bildirim yaparız.

Tedarikçi

Amaç

Ne görür

Render

Hosting · bölge talep üzerine

AmaçCenseCloud ürününün (CenseRisk + CenseCost) uygulama hosting ve veritabanı. Yedekleme ve operasyonel izleme burada çalışır.

Ne görürTenant envanter verisi, kimlik nitelikleri, telemetri olayları.

Vercel

Pazarlama sitesi · global CDN

Amaçcensecloud.com (bu site) için statik hosting. Burada müşteri ürün verisi işlenmez.

Ne görürTrafik analitiği için Google Analytics 4 (Consent Mode v2) — rıza vermezseniz çerez yok, kişisel veri yok; yalnız anonim toplu sayım. Detay için /privacy.

Google Workspace (Gmail SMTP)

E-posta · US/EU uç

AmaçGiden işlemsel e-posta (bildirim, parola sıfırlama, davet). Ürünün bildirim hattının SMTP taşıması.

Ne görürCenseCloud'un gönderdiği mesajlar için alıcı adresi, konu ve bildirim gövdesi.

TCMB (Türkiye Cumhuriyet Merkez Bankası)

Public API · Türkiye

AmaçCenseCost'ta çoklu-para birimi gösterimi için FX kur alımı (USD baz, TRY/EUR gösterim).

Ne görürSadece kamuya açık döviz kuru verisi — TCMB'ye tenant verisi gönderilmez.

Bu liste mevcut mimariyi yansıtır ve değişebilir. En güncel alt-işleyen listesi — DPA şartları dahil — için aşağıdaki iletişim üzerinden bize ulaşın.

Güvenlik açıklaması

Bir şey mi buldunuz? Önce bize söyleyin.

CenseCloud'da bir açık bulduğunuzu düşünüyorsanız yayınlamadan önce bize yazın. Tanımlı bir cevap takvimi sözü veriyoruz ve uygun olduğunda düzeltme notunda katkınızı belirtiyoruz. Koordineli açıklama herkes için ürünü daha güvenli kılar.

Açık bildir →

Taahhütlerimiz

Raporunuzun alındığına dair 2 iş günü içinde teyit.
7 iş günü içinde triaj ve önem değerlendirmesi.
Onaylanan raporlar için changelog'da kredi — isterseniz.

DPA, alt-işleyen listesi veya güvenlik incelemesi mi istiyorsunuz?

DPA'mızı, güncel alt-işleyen listesini ve güvenlik anketi cevabımızı talep üzerine e-posta ile gönderiyoruz. Portal yok, gereksiz adım yok.

Güvenlik paketini isteyin →Şirket hakkında oku