Premium altyapı, şeffaf operasyon.
Veri Mersin'de, şifreli, yedekli. Olay olduğunda kurucu erişilebilir, post-mortem yayınlanır. Bu sayfa neyi nasıl yaptığımızın somut özetidir.
Barındırma — Türkiye, Mersin
Tüm üretim sunucuları Mersin Turhost colocation tesisinde, fiziksel erişim kontrollü kabin içinde çalışır. Veri yurt dışına aktarılmaz. AI işleme (OpenAI Whisper transkripsiyon) yalnızca o anki ses verisini geçici bellekte işler, kalıcı saklama yapmaz, eğitim verisi olarak kullanmaz.
Lokasyon: Mersin · Sunucu: Bare-metal, KVM hypervisor · Ağ: 1 Gbit symmetric · BGP redundancyŞifreleme — At-rest + In-transit
Çağrı kayıtları, transkriptler, müşteri verileri AES-256 şifreli disk üzerinde saklanır. İletişim TLS 1.3 zorunlu (HTTP otomatik HTTPS'e yönlendirilir). Veritabanı şifre alanları bcrypt cost 12, kart bilgisi sistemde tutulmaz.
Disk: LUKS2 · Transit: TLS 1.3 (HSTS preload) · Şifreler: bcrypt cost 12Yedek & Felaket Kurtarma
Günlük otomatik PostgreSQL yedeği, 5 gün rolling retention. Ayda 1 otomatik DR drill — yedekten geri yükleme test edilir, kurtarma süresi ölçülür. Olağan durumda hedef RPO ≤ 24 saat, RTO ≤ 4 saat.
Yedek frekansı: günlük · Retention: 5 gün rolling · DR drill: aylık otomatik · RPO: ≤24h · RTO: ≤4hÖdeme — iyzico PCI-DSS Level 1
Kart bilgisi GalagoAI sistemine girmez. Tüm ödeme akışı iyzico (PCI-DSS Level 1 sertifikalı) üzerinden 3D Secure ile yürür. Faturalandırma, abonelik kayıtları, ödeme denemeleri yalnızca tutar/tarih/durum bilgisi olarak tenant veritabanında tutulur.
PCI-DSS: Level 1 (iyzico) · 3D Secure: zorunlu · Saklanan: yalnızca tutar/tarih/durumErişim Kontrolü & Audit Log
Her admin işlemi (kayıt dinleme, kullanıcı oluşturma, plan değişikliği) audit_log tablosunda kim/ne/ne zaman/IP olarak kaydedilir. Rol bazlı yetkilendirme (owner/admin/agent/viewer). Kurucu erişimi kişisel SSH anahtarı + sunucu fail2ban + IP whitelist.
Audit: kalıcı log · Rol: 4 seviye · SSH: anahtar zorunlu · fail2ban: aktifGüvenlik Başlıkları
HSTS preload (Chrome/Firefox/Safari listesi), Content-Security-Policy strict, X-Frame-Options DENY (clickjacking önleme), Permissions-Policy (mikrofon/kamera/geolocation kısıtlı), Referrer-Policy strict-origin-when-cross-origin. Tüm başlıklar securityheaders.com A+ skor seviyesinde.
HSTS: preload · CSP: strict · X-Frame: DENY · securityheaders.com: A+İzleme & Kullanılabilirlik
Uygulama hata izleme (Sentry) ve dış uptime takibi (UptimeRobot) ile 5 dakika çözünürlüklü kontrol yapılır. Kamuya açık durum sayfası: status.galagoai.com (planlı bakımlar + olay geçmişi şeffaf yayınlanır).
Hata izleme: Sentry · Uptime: UptimeRobot · Çözünürlük: 5 dk · Status: status.galagoai.comOlay Müdahale
Güvenlik olayı şüphesi durumunda [email protected] adresine doğrudan veri koruma görevlisine ulaşılabilir. Olay teyit edilirse KVKK m.12/5 gereği 72 saat içinde Kurul'a, etkilenen ilgili kişilere makul süre içinde yazılı bildirim yapılır. Çözüm sonrası post-mortem dokümanı yayınlanır.
Bildirim: [email protected] · KVKK m.12/5: 72 saat · Post-mortem: kamuya açıkVeri Sahibi Hakları (KVKK m.11)
Müşteri ve son kullanıcı verilerinizin tek tıkla dışa aktarımı (JSON+ZIP) ve kalıcı silinmesi panel üzerinden mümkündür. Yasal süre 30 gün, biz tipik olarak 24-72 saat içinde tamamlarız. Aydınlatma metni 8 sektör için hazır şablon — sektörünüzü seçtiğinizde otomatik üretilir.
Export: tek tıkla · Silme: tek tıkla · SLA: 24-72 saat (yasal: 30 gün)Uyum & Sertifika
KVKK m.10/m.11/m.12 tam uyum, 324 Ajans Bilgi Teknolojileri veri sorumlusu sıfatıyla VERBİS Yönetmeliği'ne uygun süreç yürütür (50 çalışan / 100M TL eşik dışında olduğumuz için sicil kaydı opsiyoneldir; başvuru evrakları hazırlanmıştır, ölçek artışında aktive edilir). Mesafeli Satış Sözleşmesi, Kullanım Koşulları, Çerez Politikası hazırlanmıştır. ISO 27001 dokümante süreç işletilmektedir; sertifika hedefi 2026 Q3.
VERBİS: eşik dışı (başvuru hazır) · KVKK: m.10/11/12 · ISO 27001: dokümante süreç (Q3 2026 sertifika)Kanıt isteyin, paylaşalım.
Kurumsal alımlarda iç güvenlik ekibinizin sorabileceği teknik soruları dokümante ediyoruz: ağ topolojisi, loglama politikası, anahtar yönetimi, DR drill raporları, KVKK iç prosedürler. Talep edin, NDA altında güvenlik dosyasını paylaşalım.