Vorden'da güven bir niyet beyanı değil, doğrudan bir mühendislik çıktısıdır. Bu sayfada okuduğunuz her iddia, doğrudan kod tabanımızdaki (codebase) bir kontrol mekanizmasına veya konfigürasyon dosyasına eşlenir. Soyut pazarlama vaatleri veya boş sözler yok; sadece somut ve doğrulanabilir teknik kanıtlar var.
"Üzerinde çalışıyoruz" gibi belirsiz ve ucu açık ifadelere burada yer yok. Vorden için her uyumluluk çerçevesinin net bir durumu, teknik kapsamı ve devam eden süreçler için belirlenmiş somut bir hedef tarihi vardır. Şeffaflık, güvenliğin ilk adımıdır.
Tüm kişisel veriler Avrupa Birliği sınırları içinde (Frankfurt, Almanya) izole bir şekilde işlenir ve saklanır. Platformumuz veri sahibi haklarını (erişim, düzeltme, silme) uçtan uca sunar, güncel bir işleme faaliyetleri kaydı tutar ve şifreleme, detaylı erişim kontrolleri ve denetim günlükleri dahil olmak üzere teknik ve organizasyonel önlemler uygular. Tüm müşteriler için özel bir Veri İşleme Anlaşması (DPA) mevcuttur.
Vorden, AB Yapay Zeka Yasası kapsamında "sınırlı riskli bir yapay zeka sistemi" olarak sınıflandırılır. Son kullanıcıların otonom agent'larla etkileşime girdiğinin açıkça bildirilmesi ve model sağlayıcı belgeleri dahil olmak üzere tüm şeffaflık yükümlülüklerini eksiksiz uyguluyoruz. Uyumun sürekliliğini güvence altına almak için AB AI Ofisi'nden gelen düzenleyici rehberliği (regulatory guidance) anlık takip ediyoruz.
SOC 2 Type II için gereken tüm teknik kontrolleri çekirdek mimarimize uyguladık: Granüler erişim kontrolleri, değiştirilemez denetim günlükleri, gizli anahtar (secret) yönetimi ve anlık olay izleme altyapısı. Bu altyapıyı birden çok iç gözden geçirme turundan başarıyla geçirdik. Bağımsız bir denetim firmasıyla resmi anlaşma ve denetim süreci 2026 yılı için planlanmaktadır.
ISO 27001 sertifikasyon sürecini SOC 2 Type II ile paralel yürütüyoruz — gereken teknik ve organizasyonel kontrollerin büyük çoğunluğu bu iki çerçeve arasında örtüşmektedir. Bilgi Güvenliği Yönetim Sistemimiz (ISMS) aynı izole temel üzerine inşa edildi. ISO 27001 sertifikasyonuyla özellikle ağırlık taşıdığı Avrupa Birliği pazarını hedefliyoruz.
Birleşik Devletler'deki sağlık sektörü (Healthcare) müşterilerini güvenle desteklemek amacıyla, HIPAA uyumluluğunun mimari gereksinimlerini değerlendiriyoruz. Bu kapsamda, yasal süreci kapsayacak bir İş Ortaklığı Sözleşmesi (BAA - Business Associate Agreement) çerçevesi geliştirilmektedir.
Vorden altyapısı, Avrupa Birliği sınırları içerisinde Google Cloud Platform (GCP) üzerinde barındırılır. Veri egemenliği (data sovereignty) standartlarını sağlamak ve iş sürekliliğini garanti altına almak amacıyla birincil ve yedekleme (failover) bölgelerimiz tam şeffaflıkla aşağıda belgelenmiştir.
Güvenlik kontrollerimizin tümünü burada halka açık (public) olarak listelemiyoruz; çünkü bu, olası bir saldırgan için sistem mimarisinin haritasını çıkarmak anlamına gelir. Temel savunma kategorilerimizi ve mimari prensiplerimizi aşağıda özetliyoruz. Ağ topolojimiz ve derinlemesine savunma (Defense in Depth) mekanizmalarımız hakkındaki tüm teknik ayrıntılar, imzalanmış bir DPA (Veri İşleme Anlaşması) ve NDA (Gizlilik Sözleşmesi) kapsamında kurumsal müşterilerimizle şeffafça paylaşılır.
Kontrollerin detaylı teknik açıklamaları, mimari diyagramlar ve denetim çıktıları; yalnızca DPA ve NDA imzalayan kurumsal müşterilerimizle şeffafça paylaşılır. Resmi güvenlik incelemeleri (Security Review) kapsamında, talep üzerine bu kontrollerin canlı üretim (production) ortamındaki işleyişi bizzat sunulur.
Bir güvenlik kontrol listesi, gerçek dünyadaki sızma girişimlerine karşı tek başına bir anlam ifade etmez. Kodumuzu ve altyapımızı sadece kağıt üzerinde değil, acımasız stres testleri altında nasıl savunduğumuzun metodolojisi aşağıdadır:
Üretim (production) sistemlerimizi kırmak üzere düzenli olarak bağımsız siber güvenlik uzmanlarını görevlendiriyoruz. Tespit edilen tüm bulgular anında önceliklendirilir, yamalanır ve doğrulanması için yeniden test edilir. En güncel sızma testi yönetici özeti (Executive Summary), NDA/DPA imzalayan müşterilerimize açıktır.
Kod depomuza atılan her commit ve derlenen her konteyner imajı; bilinen zafiyetler (CVE), sızdırılmış gizli anahtarlar (secrets) ve statik kod analizi (SAST) bulguları için otomatik olarak taranır. Kritik seviyedeki bağımlılık zafiyetleri aynı gün içinde acil yama (hotfix) sürecini tetikler.
Güvenlik duvarlarını birlikte güçlendirmeye inanıyoruz. Bağımsız güvenlik araştırmacıları, olası zafiyetleri doğrudan security@vorden.ai adresine bildirebilir. Gelen raporları en geç bir iş günü içinde teyit ediyor ve çözüm sağlanana kadar süreci bizzat takip ediyoruz.
Veri işleme zincirimizde yer alan ve güvendiğimiz temel altyapı partnerlerinin tam şeffaf dökümü aşağıdadır. Operasyonel gereksinimler doğrultusunda sistemle entegre olan ek işleyiciler (sub-processors), yalnızca imzalı bir Veri İşleme Anlaşması (DPA) kapsamında kurumsal müşterilerimizle detaylı olarak paylaşılır.
Bulut barındırma (cloud hosting), yönetilen veritabanı, nesne depolama, sunucusuz (serverless) işlem ve donanımsal gizli anahtar (KMS) yönetimi.
Genel HTTP trafiğinin önünde yer alan küresel uç ağ. İstekler origin altyapımıza ulaşmadan önce DDoS koruması, Web Application Firewall (WAF), gelişmiş bot yönetimi, hız sınırlama ve DNS/CDN katmanı sağlar.
Otonom agent'ların görüşmelerine güç veren, düşük gecikmeli (low-latency) gerçek zamanlı ses ve video motorumuz. WebRTC medya taşımasını ve yapay zeka orkestrasyonunu yönetir.
Vorden tarafından tahsis edilen numaralar için gelen/giden çağrı yönlendirmesi, SIP trunking ve SMS iletim altyapısı. Kurumsal müşteriler "Custom SIP Bridge" üzerinden doğrudan kendi trunk'larını sisteme bağlayabilir.
WhatsApp Business Platform entegrasyonu. Kurumsal kiracılar (tenants), WhatsApp Business hesaplarını doğrudan Meta Cloud API'sine bağlar — Vorden, kiracının yetkilendirmesi üzerinden agent'ların yanıtlarını otonom olarak orkestre eder.
Kurumsal ödeme işleme ve abonelik (billing) yönetimi. Güvenli ödeme oturumları, tekrarlayan faturalandırma süreçleri ve tokenize edilmiş ödeme yöntemi depolama altyapısı.
Gerçek zamanlı uygulama hata izleme ve performans takibi. Kişisel tanımlayıcı veriler (PII) kaynağında otomatik olarak maskelenir; sistem sadece arındırılmış (sanitized) telemetri ve hata raporlarını alır.
Veri saklama (retention) sürelerimiz; esnekliğin operasyonel anlam taşıdığı yerlerde kiracı (tenant) tarafından yapılandırılabilir, yasal uyumluluğun ve güvenliğin gerektirdiği durumlarda ise sabittir. Kontrolün sınırları aşağıda şeffafça belirlenmiştir.
| Kategori | Varsayılan Süre | Kiracı Kontrolü | Açıklamalar |
|---|---|---|---|
Çağrı Kayıtları 90 Gün · yapılandırılabilir | 90 Gün | Yapılandırılabilir | Ses kayıtları, imzalı URL (signed URL) erişimiyle izole GCS paketlerinde saklanır. Kiracılar daha kısa saklama süreleri belirleyebilir veya kayıtları anında kalıcı olarak silebilir. |
Çağrı Transkriptleri 90 Gün · yapılandırılabilir | 90 Gün | Yapılandırılabilir | Metin transkriptleri, ilişkili olduğu ses kaydıyla tam olarak aynı yaşam döngüsünü izler. Veriler kalıcı olarak silinmeden önce uyumluluk için dışa aktarılabilir (export). |
Sohbet Geçmişi Süresiz (Hesap aktifken) · yapılandırılabilir | Süresiz (Hesap aktifken) | Yapılandırılabilir | Web sohbet, SMS, WhatsApp ve Telegram logları; kiracı/proje silinene veya bir veri sahibi GDPR kapsamındaki "unutulma hakkını" kullanana kadar tutulur. |
Hesap Verileri Sözleşme Süresi + 30 Gün · sabit | Sözleşme Süresi + 30 Gün | Sabit | Kullanıcı profilleri, faturalandırma ve konfigürasyon verileri; aktif sözleşme boyunca ve olası yeniden etkinleştirme (reactivation) için ek 30 gün boyunca saklanır. |
Denetim Günlükleri 2 Yıl · sabit | 2 Yıl | Sabit | Yasal uyumluluk gerektiren kritik eylemlerin (veri erişimi, yetki değişimleri, yönetimsel ayarlar) denetim izleri (audit logs), düzenleyici standartları karşılamak için değiştirilemez biçimde en az 2 yıl saklanır. |
Hata ve Performans 90 Gün · sabit | 90 Gün | Sabit | Sentry hata raporları ve performans izleri (traces), kişisel tanımlayıcı verilerden (PII) arındırılmış (sanitized) şekilde maksimum 90 gün tutulur. Bu günlüklerde hiçbir PII bulunamaz. |
Kurumsal tedarik (procurement) süreçlerinde basmakalıp "standart doküman setleri" arkasına saklanmıyoruz. Vorden'da, güvenlik değerlendirme sürecini doğrudan platformun altyapısını inşa eden mimarla yürütürsünüz. Şirketinize özel güvenlik anketini (vendor assessment) veya spesifik uyumluluk taleplerinizi bize iletin; net altyapı kanıtlarımızı ve gerekli yasal çerçeveleri (DPA/NDA) doğrudan masaya koyalım.
