Veri İşleyen Sözleşmesi (DPA)
v1.0 — yayın 9 Mayıs 2026
ESTOREPARK VERİ İŞLEYEN SÖZLEŞMESİ (DATA PROCESSING ADDENDUM — DPA)
Versiyon: v1.0 — 9 Mayıs 2026 Mevzuat Çerçevesi: 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) m.12 ve ilgili Yönetmelikler; AB Genel Veri Koruma Tüzüğü (GDPR) m.28 (uygulanabildiği ölçüde) Yayın: estorepark.com/yasal/dpa adresinde public olarak yayınlanmıştır
ÖNSÖZ
İşbu Veri İşleyen Sözleşmesi (bundan sonra "DPA"), estorepark Hizmet Aboneliği Sözleşmesi'nin (bundan sonra "Ana Sözleşme") ayrılmaz parçasıdır. Ana Sözleşmenin onaylanmasıyla işbu DPA da Müşteri tarafından kabul edilmiş sayılır.
Ana Sözleşme ile DPA arasındaki çelişki halinde işbu DPA hükümleri esastır (kişisel veri işleme konularında).
1. TARAFLAR VE ROLLER
1.1 Taraflar
Veri İşleyen (Processor): Ege Bilgi Yazılım Sanayi ve Ticaret Limited Şirketi ("estorepark")
- MERSİS: 0325040377400016
- Adres: Martı Tower, Şehit Polis Fethi Sekin Cad. Kat:7 D:701, Bayraklı/İzmir 35580
- KEP: egebilgi@hs03.kep.tr
- E-posta: info@egebilgi.com.tr
Veri Sorumlusu (Controller): Müşteri (Ana Sözleşmede tanımlı)
1.2 Roller
İşbu DPA kapsamında, Müşteri'nin son tüketicilerine ait kişisel veriler ("Müşteri Verisi") açısından:
- Müşteri = Veri Sorumlusu (KVKK m.3/1-ı; GDPR Art. 4/7)
- estorepark = Veri İşleyen (KVKK m.3/1-i; GDPR Art. 4/8)
estorepark, Müşteri Verisi üzerinde Müşteri'nin yönergesi ve amaçları doğrultusunda, sadece Hizmet'in sunulması için gerekli olan teknik işleme faaliyetlerini gerçekleştirir; işleme amaçlarını ve vasıtalarını bağımsız olarak belirlemez.
İstisna — Enhanced Services: estorepark'ın anonim analitik, fraud önleme ve kendi hizmet kalitesi ölçümü için Müşteri Verisi'ni anonimleştirilmiş şekilde işlediği durumlarda Veri Sorumlusu sıfatına haiz olur. Bu işlemeler işbu DPA'nın 9. maddesinde detaylandırılmıştır.
1.3 estorepark'ın Kendi Müşteri Verisi
estorepark'ın Müşteri'nin kendisine ait kişisel verileri (Hesap bilgileri, fatura, iletişim, ödeme vb.) işlerken Veri Sorumlusu sıfatıyla hareket eder. Bu işlemeler işbu DPA kapsamında DEĞİLdir; estorepark KVKK Aydınlatma Metni (estorepark.com/yasal/kvkk) ile düzenlenmiştir.
2. İŞLEME KAPSAMI
2.1 İşlemenin Amacı
estorepark, Müşteri Verisi'ni yalnızca aşağıdaki amaçlarla işler:
- Hizmet'in sunulması ve sürdürülmesi
- Müşteri'nin mağaza yönetimi (sipariş takibi, envanter, müşteri ilişkileri vb.)
- Müşteri tarafından yetkilendirilen üçüncü taraf entegrasyonlarının çalıştırılması (kargo, ödeme aracısı, pazaryeri, e-fatura vb.)
- Yasal saklama yükümlülüklerinin yerine getirilmesi
- Müşteri'nin yazılı yönergesi doğrultusunda diğer destek faaliyetleri
2.2 İşlemenin Konusu
İşleme aşağıdaki kişisel veri kategorilerini kapsar:
| Veri Kategorisi | Örnekler |
|---|---|
| Kimlik Verisi | Ad, soyad, ünvan |
| İletişim Verisi | E-posta, telefon, adres |
| Müşteri İşlem Verisi | Sipariş geçmişi, tercihler, alışveriş davranışı |
| Finansal Veri | Ödeme yöntemi (token edilmiş kart bilgisi — kart numarası saklanmaz), fatura bilgisi |
| Teknik Veri | IP adresi, tarayıcı bilgisi, oturum, çerez |
| Lokasyon Verisi | Teslimat adresi, IP tabanlı bölge |
2.3 İlgili Kişi Kategorileri
İşlenen veriler aşağıdaki kişilere aittir:
- Müşteri'nin son tüketicileri (mağaza alıcıları, üyeler)
- Müşteri'nin mağaza ziyaretçileri
- Müşteri'nin müşteri destek taleplerine yönlendirdiği üçüncü kişiler
2.4 İşleme Süresi
İşleme, Ana Sözleşmenin yürürlülük süresince + Ana Sözleşmenin sona ermesini takip eden veri saklama süresince devam eder (Madde 11).
2.5 İşleme Faaliyeti
Toplama, kaydetme, depolama, organize etme, değiştirme, erişim sağlama, açıklama, aktarma, anonim hale getirme, silme — Müşteri'nin Hizmet'i kullanma şekli ve Müşteri'nin yönergesi doğrultusunda gerçekleşir.
3. ESTOREPARK'IN YÜKÜMLÜLÜKLERİ
estorepark, Veri İşleyen sıfatıyla aşağıdaki yükümlülüklere uyacağını taahhüt eder:
3.1 Yönergeye Uygunluk
Müşteri Verisi'ni yalnızca Müşteri'nin Ana Sözleşme ve işbu DPA kapsamında verdiği yazılı yönergeler doğrultusunda işler.
3.2 Gizlilik Yükümlülüğü
Müşteri Verisi'ne erişim sağlayan tüm estorepark personeli ve alt işleyenler yazılı gizlilik yükümlülüğü altındadır.
3.3 Güvenlik Önlemleri
İşbu DPA'nın EK-B (Teknik ve Organizasyonel Güvenlik Önlemleri) maddesinde belirtilen önlemleri uygular ve güncel tutar.
3.4 Alt İşleyen Yönetimi
Madde 5'te belirtilen kurallar çerçevesinde alt işleyenleri yönetir.
3.5 Yardım Yükümlülüğü
Müşteri'nin KVKK kapsamındaki yükümlülüklerini yerine getirmesinde (ilgili kişi başvuruları, ihlal bildirimi, denetim, etki değerlendirmesi) makul yardımı sağlar.
3.6 İhlal Bildirimi
Madde 7'de belirtilen sürelerde ve şekilde Müşteri'ye veri ihlali bildirimi yapar.
3.7 Veri Saklama ve İmha
Sözleşme sona erdiğinde Madde 11'de belirtilen şekilde Müşteri Verisi'ni iade veya imha eder.
3.8 Denetim Hakkı
Müşteri'ye Madde 8'de belirtilen denetim hakkını sağlar.
4. MÜŞTERİ'NİN YÜKÜMLÜLÜKLERİ
Müşteri, Veri Sorumlusu sıfatıyla aşağıdaki yükümlülüklere uyacağını taahhüt eder:
4.1 Hukuki Dayanak
İşlediği Müşteri Verisi'nin KVKK m.5 ve m.6 (özel nitelikli veri için) kapsamında geçerli bir hukuki dayanağa sahip olduğunu garanti eder.
4.2 Aydınlatma Yükümlülüğü
Kendi son tüketicilerine KVKK m.10 kapsamında aydınlatma yükümlülüğünü yerine getirmek Müşteri'nin sorumluluğundadır. estorepark, Hizmet'in altyapısı ile bu aydınlatmanın yapılmasına olanak sağlar (mağaza KVKK metin yönetim modülü, çerez banner vb.).
4.3 Açık Rıza Yönetimi
Açık rıza gerektiren işlemeler (pazarlama izni, yurtdışı veri aktarımı, özel nitelikli veri vb.) için ilgili kişiden gerekli rızayı Müşteri alır.
4.4 İlgili Kişi Başvurularına Yanıt
İlgili kişilerin KVKK m.11 kapsamındaki başvurularına 30 gün içinde yanıt verme yükümlülüğü Müşteri'ye aittir. Müşteri, gerektiğinde estorepark'tan teknik yardım talep edebilir.
4.5 Yasal Uyum
ETBİS kayıt, e-fatura, e-arşiv, mesafeli satış, tüketici hukuku gibi e-ticaret mevzuatı yükümlülükleri Müşteri'ye aittir.
4.6 VERBİS Kayıt
Eğer Müşteri yıllık çalışan/bilanço eşiği nedeniyle VERBİS kayıt yükümlülüğüne tabi ise, kayıt yapmak Müşteri'nin sorumluluğundadır.
5. ALT İŞLEYENLER (SUB-PROCESSORS)
5.1 Genel Yetkilendirme
Müşteri, estorepark'ın Hizmet'in sunulması için gerekli olan alt işleyenleri kullanmasına genel olarak izin verir. estorepark, alt işleyenleri seçerken gerekli özeni gösterir ve onlarla yazılı veri işleme sözleşmesi yapar.
5.2 Mevcut Alt İşleyenler
İşbu DPA'nın imzalanması tarihinde estorepark'ın kullandığı alt işleyenler:
| Alt İşleyen | Hizmet | Lokasyon | Veri Kategorisi |
|---|---|---|---|
| DigitalOcean LLC | Bulut hosting (sunucu, depolama) | ABD / AB | Tüm Müşteri Verisi (şifrelenmiş) |
| Amazon Web Services Inc. | Bulut hosting (yedekleme, CDN) | ABD / AB | Tüm Müşteri Verisi (şifrelenmiş) |
| Yapı ve Kredi Bankası A.Ş. | Sanal POS (ödeme tahsilatı) | TR | Kart token, sipariş tutarı |
| Twilio Inc. (SendGrid) | Transactional e-posta gönderimi | ABD | Alıcı e-posta, gönderim metni |
| Cloudflare Inc. | CDN, DDoS koruma, Turnstile | Global | IP, tarayıcı verisi (proxy) |
| Tawk.to Ltd. | Canlı destek widget'ı | ABD | Konuşma içeriği, IP |
| Google LLC | Analytics (anonimleştirilmiş), GTM | ABD | Anonim site kullanım verisi |
Güncel alt işleyen listesi estorepark.com/yasal/sub-processors adresinde public olarak yayınlanır. Liste, KVKK Standart Sözleşme imza durumu, lokasyon ve veri kategorisi bilgisi ile birlikte güncel tutulur.
5.3 Yeni Alt İşleyen Bildirimi
estorepark, yeni bir alt işleyen eklemeden 30 gün önce Müşteri'ye e-posta yoluyla bildirimde bulunur. Bildirim aşağıdaki bilgileri içerir:
- Alt işleyenin ticari ünvanı + lokasyonu
- Aktarılan veri kategorileri
- Hizmet kapsamı + amaç
- KVKK Standart Sözleşmesi / DPA imza durumu (yurt dışı için)
5.4 İtiraz Hakkı
Müşteri, yeni alt işleyene 30 gün içinde yazılı itiraz edebilir. İtiraz aşağıdaki gerekçelerden birine dayanır:
- KVKK uyumsuzluğu (örn. KVKK Standart Sözleşmesi imzalanmamış, yeterli koruma kararı yok)
- Sektör düzenleyicisi çelişkisi (BDDK, EPDK, Sağlık Bakanlığı vb. sektörel kural)
- Alt işleyenin geçmiş veri ihlali sicili
- Müşteri'nin kendi son tüketici sözleşmelerinde alt işleyene koyduğu kısıtlama
5.5 İtiraz Çözümü
estorepark ve Müşteri 30 gün içinde itirazı görüşür. Çözüm bulunamazsa:
- estorepark Müşteri'nin verilerini söz konusu yeni alt işleyene aktarmaktan kaçınır (teknik olarak mümkünse), veya
- Müşteri Sözleşmeyi bedelsiz feshedebilir; kullanılmamış aboneliğin pro-rata iadesi yapılır.
5.6 Alt İşleyenler için Sorumluluk
estorepark, alt işleyenlerinin işbu DPA hükümlerine uymasını sağlamak ve ihlallerden Müşteri'ye karşı doğrudan sorumlu olmakla yükümlüdür (Ana Sözleşmedeki sorumluluk üst sınırı saklıdır).
6. YURTDIŞI VERİ AKTARIMI
6.1 Yurtdışı Aktarım Beyanı
estorepark'ın bazı alt işleyenleri Türkiye dışında veri merkezleri kullanır (özellikle DigitalOcean, AWS, SendGrid, Cloudflare, Tawk.to, Google — ABD ve AB).
6.2 KVKK m.9 Uyumu — Hukuki Çerçeve
Yurtdışı veri aktarımı, 6698 sayılı Kişisel Verilerin Korunması Kanunu m.9 ve KVKK Kurulu'nun 10.07.2024 tarihli 2024/1146 sayılı Kararı ile yayımlanan ilgili kategori Standart Sözleşmesi (kontrolör-işleyen veya işleyen-işleyen, sub-processor sıfatına göre) çerçevesinde gerçekleştirilir:
(a) İmzalanan Standart Sözleşme: estorepark, alt işleyenleriyle yürürlükteki uluslararası standartlarda DPA/SCC çerçevelerini imzalamış olup; KVKK Kurulu 2024/1146 sayılı kararı kapsamındaki ilgili kategori Standart Sözleşmesi'nin imzalanması ve Kurul'a bildirilmesi süreci yürütülmektedir. Söz konusu sözleşme imzalandığı tarihten itibaren 5 iş günü içinde KVKK Kurulu'na bildirilir. Güncel durum estorepark.com/yasal/sub-processors adresinde yayınlanır.
(b) Yeterli Koruma Kararı: KVKK Kurulu yeterli koruma kararı verilen ülkelere yapılan aktarımlar için Standart Sözleşme şartı aranmaz.
(c) Açık Rıza: İstisnai durumlar için kullanılır; sürekli iş modeli için tek dayanak değildir.
6.3 ABD Mevzuat Riski Bilgilendirmesi
ABD'de yerleşik alt işleyenler (DigitalOcean LLC, AWS Inc., Twilio Inc./SendGrid, Cloudflare Inc., Tawk.to Ltd., Google LLC), ABD ulusal güvenlik mevzuatı (CLOUD Act dahil) kapsamında ABD makamlarına veri açıklama yükümlülüğüne tabi olabilir. estorepark bu tür talepler hakkında, yasal olarak izin verildiği ölçüde, Müşteri'ye bildirim yapar.
6.4 Türkiye'de Barındırma Yol Haritası
estorepark, Türkiye'de yerleşik bulut altyapı sağlayıcılara geçiş ve sub-processor'ların TR iştiraki olan kuruluşları (örn. AWS Turkey Pazarlama Tek. Ltd. Şti.) tercih etme seçeneklerini düzenli olarak değerlendirir; güncel durum estorepark.com/yasal/sub-processors adresinde yayınlanır.
6.5 Müşteri'nin Bilgilendirilmesi
Müşteri, Hizmet'i kullanmaya başlamasıyla yurtdışı veri aktarımının gerçekleşeceği ve yukarıdaki çerçevenin geçerli olduğu konusunda bilgilendirilmiş sayılır. Ek "Açık Rıza" beyanı gerekli olan hallerde estorepark KVKK Açık Rıza Metni (estorepark.com/yasal/acik-riza) üzerinden alınır.
7. VERİ İHLALİ BİLDİRİMİ
7.1 İhlal Tanımı
"Veri İhlali", Müşteri Verisi'nin yetkisiz erişim, ifşa, değişiklik, kayıp veya imha edilmesine yol açan güvenlik olayı anlamına gelir (KVKK m.12/5; GDPR Art. 4/12).
7.2 estorepark'ın Bildirim Süresi
estorepark, bir ihlali "öğrendiği andan itibaren" en geç 72 saat içinde Müşteri'ye bildirim yapar. Bu süre KVKK m.12/5'te belirtilen, veri sorumlusunun KVKK Kurulu'na bildirim süresi ile aynı çerçevededir.
İhlalin "öğrenilmesi", estorepark personelinin veya otomatik izleme sistemlerinin (Sentry, custom monitoring, alt işleyen bildirimi vb.) ihlalin gerçekleştiğine dair makul ölçüde bilgiye ulaşması anlamına gelir; resmi soruşturma ya da forensic incelemenin tamamlanmasını beklemek gerekmez.
Bildirim kapsamı:
- İhlalin niteliği
- Etkilenen veri kategorileri ve yaklaşık ilgili kişi sayısı
- Tahmini sonuçlar
- Alınan ve alınması planlanan önlemler
- estorepark içinde sorumlu temas noktası bilgisi
Bilgi ilk bildirimde tam olmasa dahi, makul süre içinde güncellenerek tamamlanır.
7.3 Müşteri'nin Yükümlülükleri
İhlal bildirimini alan Müşteri:
- (a) KVKK Kurulu'na ve etkilenen ilgili kişilere bildirim yapma yükümlülüğünü değerlendirir (KVKK m.12/5).
- (b) estorepark'tan ek bilgi ve teknik destek talep edebilir; estorepark makul yardımı sağlar.
7.4 Bildirim Kanalı
İhlal bildirimleri, Müşteri'nin Hesabı'nda kayıtlı e-posta adresine ve mümkün olduğunda Müşteri'nin tercih ettiği ek kanaldan (KEP, telefon) gönderilir.
8. DENETİM HAKKI
8.1 Denetim Yöntemleri
Müşteri, estorepark'ın işbu DPA'ya uyumunu aşağıdaki yöntemlerle denetleme hakkına sahiptir:
- (a) Audit Raporları: estorepark'ın bağımsız üçüncü taraf auditörlerinden aldığı raporları (ISO 27001, SOC 2 vb. — varsa) inceleme
- (b) Self-Audit Raporları: estorepark'ın iç güvenlik denetim raporları
- (c) Onsite Denetim: Yıllık en fazla 1 (bir) kez, NDA altında, 30 gün önceden yazılı bildirim ile, makul mesai saatleri içinde ve estorepark'ın kontrolündeki tesislerde yapılacak denetim
8.2 Denetim Kapsamı
Denetim yalnızca:
- estorepark'ın Müşteri Verisi'ni işleme süreçleri
- İşbu DPA hükümlerine uyumu
konularıyla sınırlıdır. Diğer Müşterilerin verilerine veya estorepark'ın iç ticari sırlarına erişim verilmez.
8.3 Denetim Maliyetleri
(a) Audit raporları ve self-audit raporları paylaşımı estorepark tarafından ÜCRETSİZ sağlanır.
(b) Onsite denetim:
- Müşteri'nin kendi masrafıyla bağımsız denetçi getirmesi durumunda estorepark'ın personel + tesis maliyetleri Müşteri'ye yansıtılmaz (yıllık ilk denetim).
- Aynı yıl içinde 2. denetim yapılırsa estorepark makul personel ücreti talep edebilir.
(c) İhlal sonrası denetim: Veri ihlali sonrası yapılan denetim, ihlal estorepark altyapısı kaynaklıysa estorepark tarafından ÜCRETSİZ sağlanır.
8.4 Düzenleyici Denetim
KVKK Kurulu veya yetkili düzenleyici otorite tarafından zorunlu denetimlerde estorepark tam işbirliği yapar.
9. ENHANCED SERVICES — VERİ SORUMLUSU SIFATIYLA İŞLEME
estorepark, aşağıdaki sınırlı durumlarda Müşteri Verisi'ni Veri Sorumlusu sıfatıyla işler:
9.1 Anonim Analitik
Hizmet kalitesini ölçmek, ürün geliştirmek ve istatistiksel raporlama yapmak için kişisel veri içermeyen anonimleştirilmiş veriler üzerinde işleme.
9.2 Fraud Önleme
Ödeme dolandırıcılığı, sahte hesap, AUP ihlali gibi güvenlik tehditlerinin tespit ve önlenmesi için meşru menfaat kapsamında işleme.
9.3 Yasal Yükümlülük
Yetkili kamu makamlarının (mahkeme, savcılık, KVKK Kurulu, BTK, MASAK vb.) yasal taleplerine cevap için işleme.
Bu işlemeler için estorepark kendi Aydınlatma Metni kapsamında bilgilendirme yapar; kendi yasal sorumluluğu altındadır.
10. İLGİLİ KİŞİ HAKLARINA YARDIM
10.1 Yardım Yükümlülüğü
İlgili kişiler (Müşteri'nin son tüketicileri) KVKK m.11 hakları kapsamında Müşteri'ye veya estorepark'a başvurduğunda:
- Müşteri asli muhatap olarak başvuruları cevaplar.
- estorepark, Müşteri'nin yazılı talebi üzerine teknik destek sağlar (örneğin verinin sistemden çekilmesi, silinmesi, anonimleştirilmesi).
10.2 Doğrudan Başvuru
İlgili kişi estorepark'a doğrudan başvurursa, estorepark başvuruyu derhal Müşteri'ye yönlendirir ve Müşteri'nin yanıtlamasını bekler.
10.3 Süre
estorepark, Müşteri'nin teknik destek taleplerine 15 iş günü içinde yanıt vermeyi taahhüt eder.
11. SÖZLEŞMENİN SONA ERMESİ — VERİ İADE / İMHA
11.1 Müşteri'nin Seçimi
Ana Sözleşmenin sona ermesi (fesih, abonelik iptali vb.) halinde Müşteri, 30 günlük read-only erişim süresi içinde aşağıdaki seçeneklerden birini tercih eder:
- (a) Veri İadesi: XML, Excel (XLSX) veya CSV formatlarından birinde tüm Müşteri Verisi'nin export edilmesi.
- (b) Veri İmhası: Tüm Müşteri Verisi'nin estorepark sistemlerinden silinmesi.
- (c) Karma: Belirli verilerin iadesi + diğerlerinin imhası.
11.2 Otomatik İmha
Müşteri 30 günlük süre içinde tercih bildirmezse, bu süreden sonra Müşteri Verisi otomatik olarak silinir.
11.3 Yasal Saklama İstisnası
Yasal saklama yükümlülükleri kapsamında saklanması zorunlu olan kayıtlar belirtilen yasal süre boyunca estorepark sistemlerinde tutulur:
| Kayıt Tipi | Saklama Süresi | Dayanak |
|---|---|---|
| Fatura, irsaliye, ödeme | 10 yıl | 213 sayılı VUK m.253 |
| Sözleşme + ifa kayıtları | 5 yıl | 6098 sayılı TBK m.146 |
| İletişim/destek kayıtları | 3 yıl | Meşru menfaat |
| Sistem log kayıtları | 6 ay | 5651 sayılı Kanun |
| Onay logları (cayma feragati, açık rıza, otomatik yenileme) | 5 yıl | İspat yükü + meşru menfaat |
11.4 İmhanın Onayı
Veri imhası sonrası estorepark, Müşteri'ye yazılı imha onay belgesi gönderir.
11.5 Yedeklerin İmhası
Otomatik yedeklerdeki Müşteri Verisi, imha tarihinden itibaren 90 gün içinde rotasyonel imha sürecinde silinir.
12. SORUMLULUK
12.1 Genel Sorumluluk
İşbu DPA kapsamındaki sorumluluk, Ana Sözleşmenin Sorumluluk Sınırlaması (Madde 17) maddesi ile sınırlıdır. Bu kapsamda:
- Genel cap: son 12 ay paket bedeli (Ana Sözleşme Md.17.3(a))
- Veri sızıntısı sub-cap: son 24 ay paket bedeli (Ana Sözleşme Md.17.3(b))
- Ana Sözleşme Md.17.4'te tanımlı "ağır kusur olumsuz tanımı" ve Md.17.5'te tanımlı "ağır kusur olumlu tanımı" (yedekleme yapılmaması, şifreleme uygulanmaması, KVKK m.12 ihlal bildirim süresinin kasıtlı geciktirilmesi, personel gizlilik sözleşmesi yapılmamış olması vb.) DPA için de geçerlidir.
12.2 Alt İşleyen Sorumluluğu
estorepark, alt işleyenlerinin eylemlerinden Müşteri'ye karşı doğrudan sorumludur (kendi sorumluluk cap'i sınırına kadar).
12.3 İstisna
Sorumluluk sınırlamaları, kanıtlanmış kasıt veya ağır ihmalle yol açılan zararlarda uygulanmaz (TBK m.115). "Ağır kusur" tanımı için Ana Sözleşme Md.17.4 ve Md.17.5 esastır.
12.4 Müşteri Kusuru
Müşteri'nin işbu DPA veya KVKK ihlalinden estorepark'ın zarara uğraması halinde, Müşteri estorepark'ı tazmin etmekle yükümlüdür (Ana Sözleşmenin Indemnification maddesi).
13. SÜRE VE FESİH
13.1 İşbu DPA, Ana Sözleşmenin yürürlülüğü süresince ve Müşteri Verisi'nin estorepark sistemlerinde tutulduğu sürece geçerlidir.
13.2 İşbu DPA, Ana Sözleşme'den bağımsız olarak feshedilemez. Ana Sözleşmenin fesih usulleri DPA için de uygulanır.
13.3 Saklama, imha ve sorumluluk yükümlülükleri Sözleşme sona erdikten sonra da geçerliliğini korur.
14. YÜRÜRLÜK
İşbu DPA, Ana Sözleşmenin onaylanması ile yürürlüğe girer. Müşteri, Ana Sözleşmeyi onaylayarak işbu DPA'yı da kabul etmiş sayılır.
İşbu DPA, estorepark.com/yasal/dpa adresinde public olarak yayınlanır ve güncel versiyonu her zaman bu adreste erişilebilir tutulur. DPA'da yapılacak esaslı değişiklikler 30 gün önceden Müşteri'ye e-posta ile bildirilir.
EK-A — VERİ İŞLEME ÖZET TABLOSU
| Konu | Detay |
|---|---|
| Veri Sorumlusu | Müşteri |
| Veri İşleyen | Ege Bilgi Yazılım San. ve Tic. Ltd. Şti. (estorepark) |
| İşleme Amacı | Hizmet'in sunulması, mağaza yönetimi, Müşteri'nin yönergesi |
| Veri Kategorileri | Kimlik, iletişim, müşteri işlem, finansal (token), teknik, lokasyon |
| İlgili Kişi Kategorileri | Müşteri'nin son tüketicileri, mağaza ziyaretçileri |
| İşleme Süresi | Ana Sözleşme süresi + yasal saklama süresi |
| Yurtdışı Aktarım | Var (DigitalOcean/AWS/SendGrid/Cloudflare/Tawk/Google ABD-AB; KVKK m.9 + 2024/1146 çerçevesi) |
| Alt İşleyenler | Public liste: estorepark.com/yasal/sub-processors |
| İhlal Bildirim Süresi | "Öğrenmeden" itibaren 72 saat (KVKK m.12/5) |
| Veri İmha Süresi | Sözleşme sonu + 30 gün read-only + otomatik silme; yedeklerden 90 gün |
| Denetim Hakkı | Yıllık 1 onsite + audit raporları; raporlar ücretsiz |
EK-B — TEKNİK VE ORGANİZASYONEL GÜVENLİK ÖNLEMLERİ
B.1 Erişim Kontrolü
- Çok faktörlü kimlik doğrulama (2FA) tüm yönetici hesapları için zorunlu
- Rol tabanlı erişim kontrolü (RBAC); en az ayrıcalık ilkesi
- Erişim logları + periyodik gözden geçirme
B.2 Şifreleme
- Veri aktarımı sırasında TLS 1.2 veya üstü zorunlu
- Veri saklama (at-rest) AES-256 veya eşdeğer şifreleme
- Şifre saklama: bcrypt, scrypt veya Argon2
B.3 Ağ ve Altyapı Güvenliği
- WAF (Web Application Firewall) — Cloudflare
- DDoS koruma — Cloudflare
- Bot koruma — Cloudflare Turnstile
- IP whitelist (yönetici erişimi için)
B.4 Yazılım Güvenliği
- Düzenli güvenlik açığı tarama (vulnerability scanning) — haftalık otomatik
- Penetrasyon testi:
- Yıllık tam kapsamlı pen-test (en az 1 kez)
- Major sürüm güncellemeleri sonrası ek pen-test
- 6 ayda bir hafifletilmiş (web app focused) pen-test
- Bağımlılık güvenlik kontrolü (npm audit vb.) — CI/CD'de otomatik
- Kod güvenlik incelemesi (PR review) — major değişikliklerde zorunlu
B.5 İzleme ve Loglama
- Sentry ile hata izleme
- Erişim ve uygulama logları (5651 sayılı Kanun uyumlu, 6 ay saklama)
- Anomali tespiti
B.6 Yedekleme ve Felaket Kurtarma
- Haftalık tam yedek + 4 hafta retention (fix paket)
- Daha sık yedekleme (günlük, saatlik, anlık) ek hizmet kapsamında — estorepark.com/fiyatlandirma
- Coğrafi yedek dağılımı
- RPO (Recovery Point Objective): ≤ 7 gün (fix paket); daha kısa RPO ek hizmet
- RTO (Recovery Time Objective): ≤ 4 saat
- Yıllık disaster recovery testi
RPO/RTO ihlali halinde tazminat mekanizması, SLA Madde 4 (Hizmet Kredisi) çerçevesinde uygulanır; ek ayrı tazminat gerektirmez.
B.7 Personel Güvenliği
- Tüm personel için yazılı gizlilik sözleşmesi
- KVKK ve veri güvenliği eğitimi (yıllık)
- İşten ayrılan personelin erişiminin derhal iptali
B.8 İş Sürekliliği
- Olay yönetim prosedürü (incident response plan)
- 7/24 izleme + bildirim
- Eskalasyon prosedürü
B.9 Üçüncü Taraf Güvenliği
- Tüm alt işleyenler için yazılı veri işleme sözleşmesi
- Periyodik alt işleyen güvenlik değerlendirmesi
- ISO 27001 veya eşdeğer sertifikalı tedarikçi tercihi
B.10 Belge ve Politika
- Veri Güvenliği Politikası (iç doküman)
- Veri Saklama ve İmha Politikası
- Olay Yönetim Politikası
- Yıllık politika gözden geçirme
v1.0 — 9 Mayıs 2026 Public yayın: estorepark.com/yasal/dpa