Son güncelleme: 21 Nisan 2026 (v2.1 — Çerez politikası ve üçüncü taraf araçları beyanı güçlendirildi)
Corsecure ("biz", "bize", "bizim"), kullanıcıların kendi Google Cloud Platform hesaplarında özel ağ altyapısı kurmasına ve yönetmesine yardımcı olan bir bulut güvenlik platformudur. Gizliliğinizi korumaya ve verilerinizi tam şeffaflıkla yönetmeye kararlıyız. Bu Gizlilik Politikası, hangi verilere eriştiğimizi, nasıl kullandığımızı, nasıl sakladığımızı (veya bilinçli olarak saklamadığımızı) ve bu veriler üzerindeki haklarınızı açıklar.
1. Genel Bakış
Corsecure, BYOC (Bring Your Own Cloud — Kendi Bulutunu Getir) modeliyle çalışan bir SaaS güvenlik platformudur. Güvenlik sunucuları tamamen müşterinin kendi Google Cloud hesabında oluşturulur ve çalıştırılır. Corsecure ise orkestrasyon, yönetim paneli ve koordinasyon hizmetleri sağlar.
Mimari: Corsecure, güvenli ağ altyapınızı sizin Google Cloud hesabınızda kurar. Ağ trafiği hiçbir koşulda Corsecure sunucularından geçmez — trafik şifreli tüneller (WireGuard / Outline) aracılığıyla doğrudan sizin GCP VM'inizden akar. Corsecure yönetim paneli aracılığıyla sunucu oluşturma, durdurma, başlatma ve izleme işlemlerini gerçekleştirir, ancak trafik içeriğine erişim teknik olarak mümkün değildir.
2. Google Cloud API Kapsamları ve Veri Erişimi
Corsecure, GCP hesabınıza bağlanırken aşağıdaki beş OAuth kapsamıyla erişim talep eder. Her kapsam, uygulamanın çalışması için zorunludur:
a) Google Compute Engine
- Kapsam: googleapis.com/auth/compute
- Erişilen veriler: Compute Engine instance verileri (isimler, bölgeler, durum, IP adresleri)
- Amaç: Güvenlik sunucusu olarak kullanılacak VM instance'larını oluşturma, listeleme, başlatma, durdurma, silme ve firewall kuralları yapılandırma
b) Google Cloud Billing
- Kapsam: googleapis.com/auth/cloud-billing
- Erişilen veriler: Fatura hesap adları, durumu, proje-fatura bağlantısı
- Amaç: VM oluşturmak için aktif fatura hesabı gerekliliğini kontrol etme ve projeye bağlama
c) Google Cloud Projects
- Kapsam: googleapis.com/auth/cloudplatformprojects
- Erişilen veriler: GCP proje adları, ID'leri ve durumları
- Amaç: Kullanıcının projelerini listeleme, yeni proje oluşturma ve sunucu kurulumu için proje seçimi sağlama
d) Google API Service Management
- Kapsam: googleapis.com/auth/service.management
- Erişilen veriler: Seçilen projede API etkinleştirme durumu
- Amaç: Compute Engine, Cloud Monitoring, Cloud Billing ve Cloud Resource Manager API'lerini otomatik olarak etkinleştirme
e) Google Cloud Monitoring
- Kapsam: googleapis.com/auth/monitoring
- Erişilen veriler: VM performans metrikleri (CPU kullanımı, bellek kullanımı, ağ trafiği istatistikleri, disk kullanımı) ve uyarı politikaları
- Amaç: Dashboard'da sunucu sağlık durumu ve performans grafiklerini göstermek için metrik verisi okuma ve sunucunuz çöktüğünde sizi ve Corsecure'u bilgilendirmek için uyarı politikaları oluşturma
Corsecure, geniş cloud-platform kapsamını KESİNLİKLE talep ETMEZ. Bunun yerine, yalnızca gerekli beş dar kapsam kullanır. Bu, Corsecure'un BigQuery, Cloud Storage, IAM, Pub/Sub veya yukarıda listelenen hizmetler dışındaki hiçbir GCP kaynağına erişemeyeceği anlamına gelir. Monitoring kapsamı, performans metriklerini okumak ve çalışma süresi uyarı politikaları oluşturmak için kullanılır — metrik verilerini değiştirme veya silme yetkisi yoktur.
3. Verilerinizi Nasıl Kullanırız
Google API'leri ve platform kullanımı aracılığıyla elde edilen verileri yalnızca aşağıdaki amaçlarla kullanırız:
| Veri Kategorisi | Kullanım |
|---|
| E-posta adresi | Hesap tanımlama, kimlik doğrulama ve bildirimler |
| Compute Engine verileri | Güvenlik sunucusu olarak VM oluşturma, yönetme ve durum izleme |
| Fatura verileri | VM kurulumu için fatura hesabı doğrulama ve bağlama |
| Proje verileri | GCP projelerini listeleme, oluşturma ve seçme |
| API durum verileri | Gerekli API'lerin etkinleştirme durumunu kontrol etme |
| Monitoring metrikleri | Dashboard'da CPU, RAM, ağ ve disk kullanım grafiklerini gösterme |
| Sunucu bilgileri | IP adresi, bölge ve durum bilgilerini yönetim panelinde gösterme |
| Cihaz bilgileri | Güvenli mesh ağına bağlı cihazların platform ve durum bilgilerini yönetme |
Verilerinizi şu amaçlarla KULLANMAYIZ:
- Reklam, pazarlama veya yeniden hedefleme
- Üçüncü taraflara satış veya aktarım
- Yapay zeka / makine öğrenmesi modeli eğitimi
- Kredi değerlendirmesi veya borç verme kararları
- Uygulamanın temel işlevselliğiyle ilgisi olmayan herhangi bir amaç
4. Veri Saklama ve Muhafaza
a) OAuth Token'ları
Corsecure, iki farklı bağlamda Google OAuth kullanır ve her biri farklı saklama modeline sahiptir:
| Token Türü | Açıklama |
|---|
| Kimlik doğrulama token'ları | Google ile giriş yapıldığında ("Google ile Giriş Yap") oluşturulan token'lar. Bunlar AES-256-GCM ile şifrelenerek kalıcı oturum yönetimi için veritabanımızda saklanır. |
| GCP API token'ları | Bulut altyapısı işlemleri (sunucu oluşturma, izleme vb.) için kullanılan kısa ömürlü erişim token'ları. Bu token'lar veritabanımızda HİÇBİR ZAMAN saklanmaz — yalnızca tarayıcınızın oturum belleğinde aktif işlem süresince bulunur ve sonrasında otomatik olarak silinir. |
- Kimlik doğrulama token'ları AES-256-GCM ile şifrelenerek veritabanında saklanır
- GCP API token'ları hiçbir veritabanına, diske veya log dosyasına yazılmaz — yalnızca tarayıcı belleğinde (sessionStorage) bulunur
- GCP token'ları güvenli bir OAuth akışıyla tek seferlik talep mekanizması (60 saniyelik süre) üzerinden alınır ve yalnızca tarayıcı oturumu süresince kullanılır
- GCP işlemleri için yenileme token'ı (refresh token) talep edilmez veya saklanmaz — Corsecure yalnızca çevrimiçi erişim kullanır (access_type: online)
- Şifreleme anahtarları ayrı ortam değişkenlerinde tutulur, token verisiyle birlikte saklanmaz
- Google hesabınızın üçüncü taraf erişimler bölümünden Corsecure erişimini istediğiniz zaman iptal edebilirsiniz
GCP token'larını neden saklamıyoruz? Model C mimarimiz kapsamında, GCP API token'ları sunucularımızın kalıcı depolamasına hiçbir zaman temas etmez. GCP hesabınızı bağladığınızda token tarayıcı belleğinizde kalır ve API çağrıları doğrudan oradan yapılır. Sekmeyi kapattığınızda veya oturum sona erdiğinde token kaybolur. Bu, bir veritabanı ihlali durumunda token çalınma riskini tamamen ortadan kaldırır. Kimlik doğrulama token'ları (giriş için) ise kalıcı oturum gerektirdiğinden şifreli olarak saklanmaya devam eder.
b) Kişisel Hesap Verileri
| Alan | Saklama Süresi |
|---|
| E-posta adresi | Hesap silinene kadar |
| Organizasyon adı | Hesap silinene kadar |
| Hesap durumu (ücretsiz/pro) | Hesap silinene kadar |
| Hesap oluşturma tarihi | Hesap silinene kadar |
| Parola hash'i (bcrypt) | Hesap silinene kadar (düz metin saklanmaz) |
| MFA secret (TOTP) | MFA devre dışı bırakılana veya hesap silinene kadar |
| Son giriş zamanı | Hesap silinene kadar |
| Denetim günlükleri | Organizasyon politikasına göre (varsayılan 90 gün) |
| Destek talepleri ve mesajları | Talep kapatıldıktan sonra 1 yıl |
| KVKK onay kayıtları | Yasal saklama süresince |
c) Sunucu ve Altyapı Verileri
Yönetim panelinin çalışması için aşağıdaki sunucu bilgileri veritabanımızda saklanır:
| Veri | Açıklama |
|---|
| GCP Proje ID | Hangi projede sunucu kurulduğunu takip etmek için |
| VM instance adı ve bölgesi | Sunucu yönetimi ve GCP API çağrıları için |
| Dış IP adresi | Güvenli bağlantı bilgisini göstermek için |
| Sunucu durumu | Çalışıyor/durdurulmuş/hata durumunu takip etmek için |
| Protokol ve port bilgileri | WireGuard/Outline yapılandırması için |
| Performans metrikleri | Dashboard grafiklerinde CPU, RAM, ağ kullanımını göstermek için |
| Cihaz bilgileri | Platform, işletim sistemi sürümü, istemci sürümü, son görülme zamanı, mesh ağ IP adresi |
d) Denetim Günlükleri
KVKK Madde 12 gereği, tüm önemli işlemler denetim günlüklerine kaydedilir. Her kayıt aşağıdaki bilgileri içerir:
- İşlem türü (giriş, sunucu oluşturma, cihaz ekleme, ayar değişikliği vb.)
- İşlemi yapan kullanıcı
- IP adresi ve tarayıcı bilgisi (User Agent)
- İşlem tarihi ve saati
e) Veri Saklama Süreleri
| Veri Türü | Varsayılan Saklama Süresi |
|---|
| Denetim günlükleri | 90 gün (organizasyon tarafından yapılandırılabilir) |
| Performans metrikleri | 30 gün |
| Oturum verileri | 30 gün |
Organizasyon yöneticileri, veri saklama sürelerini Dashboard üzerinden yapılandırabilir. Otomatik temizleme özelliği etkinleştirilebilir.
Yukarıdaki veriler sunucu yönetim verileridir — ağ trafiğinin içeriği değildir. Corsecure, şifreli tünellerden geçen veri paketlerini hiçbir koşulda göremez, kaydedemez veya izleyemez. Trafik doğrudan sizin GCP VM'inizden şifreli olarak akar.
5. Veri Paylaşımı ve Üçüncü Taraf Hizmetler
Kişisel verilerinizi veya Google API verilerinizi hiçbir üçüncü tarafa SATMAYIZ, kiralamayız veya pazarlama amacıyla aktarmayız. Hizmetimizin çalışması için aşağıdaki altyapı sağlayıcılarını kullanırız:
| Hizmet | Kullanım | İşlenen Veriler |
|---|
| Google Cloud Platform | Müşterinin güvenli ağ altyapısı | Müşterinin kendi GCP hesabında |
| Neon PostgreSQL | Veritabanı (Frankfurt) | Hesap, sunucu ve yapılandırma verileri |
| Vercel | Barındırma, Analytics, Speed Insights | HTTP logları, anonim sayfa görüntülenmeleri, web performans verileri |
| Lemon Squeezy | Ödeme işleme (MoR) | Fatura bilgileri, ödeme geçmişi |
| Resend | İşlemsel e-posta | E-posta adresi |
| Mailchimp | Pazarlama e-posta | E-posta (yalnızca onay verenler) |
| Upstash Redis | Hız sınırlama | Anonim istek sayaçları |
| Sentry | Hata izleme (AB) | Hata logları (kişisel veri içermez) |
| Cloudflare | DNS yönetimi | DNS sorguları |
Corsecure, güvenli mesh ağ koordinasyonu için kendi barındırdığı bir Headscale sunucusu (GCP europe-west1 bölgesinde) kullanır. Bu sunucu cihazların şifreli ağa katılımını koordine eder. Headscale sunucusu ağ meta verilerini (cihaz kimlikleri, IP atamaları) işler ancak ağ trafiğinin içeriğine erişemez.
Verileri reklam platformlarına, veri simsarlarına veya bilgi satıcılarına aktarMAYIZ. Verileri reklam sunmak için kullanMAYIZ. Verileri kredi değerliliği belirleme veya borç verme amaçlarıyla aktarMAYIZ.
6. Google API Sınırlı Kullanım Açıklaması
Corsecure'un Google API'lerinden aldığı bilgilerin kullanımı ve başka herhangi bir uygulamaya aktarımı, sınırlı kullanım gereksinimleri de dahil olmak üzere Google API Services User Data Policy'ye uygundur.
Corsecure, Google kullanıcı verilerini yalnızca uygulamanın birincil işlevselliğini sağlamak veya iyileştirmek için kullanır. Veriler hiçbir koşulda reklam sunma, veri simsarlığı, kredi değerlendirmesi veya gözetleme amacıyla kullanılmaz veya aktarılmaz.
- Google API verilerini yalnızca kullanıcı arayüzünde görüntülenen veya uygulamanın temel işlevselliği için gerekli olan amaçlarla kullanırız
- Google API verilerini üçüncü taraf uygulamalara, hizmetlere veya kişilere aktarmayız (kullanıcının açık onayı veya yasal zorunluluk hariç)
- Google API verilerine insanlar tarafından okunmasına veya erişilmesine izin vermeyiz (kullanıcının açık onayı, güvenlik amaçları veya yasal zorunluluk hariç)
- Google API verilerini bağımsız yapay zeka veya makine öğrenmesi modelleri oluşturmak, geliştirmek veya eğitmek için kullanmayız
7. Güvenlik Mimarisi
Uygulamamız dört temel güvenlik ilkesi üzerine tasarlanmıştır:
- En Az Ayrıcalık: Yalnızca dar, amaca özel beş OAuth kapsamı talep ediyoruz. Geniş cloud-platform kapsamını kesinlikle istemiyoruz.
- BYOC Modeli: Güvenlik sunucuları müşterinin kendi Google Cloud hesabında çalışır. Ağ trafiği Corsecure sunucularından geçmez.
- Token Saklamama (Model C): GCP API token'ları veritabanımızda hiçbir zaman saklanmaz. Yalnızca tarayıcınızın oturum belleğinde bulunur ve oturum sona erdiğinde silinir. Kimlik doğrulama token'ları ve ön-yetkilendirme anahtarları AES-256-GCM ile şifrelenir. Parolalar bcrypt ile hashlenir. Tüm iletişim TLS 1.3 üzerinden gerçekleşir.
- Trafik Ayrımı: Corsecure yönetim paneli, sunucu yönetim verilerine (durum, metrikler, IP) erişir ancak şifreli tünellerden geçen veri paketlerini teknik olarak göremez. Trafik WireGuard/Outline şifrelemesiyle doğrudan müşterinin VM'i üzerinden akar.
8. Haklarınız
| Hak | Açıklama |
|---|
| Erişim | Hakkınızdaki tüm kişisel verilerin bir kopyasını talep etme |
| Düzeltme | Yanlış verilerin düzeltilmesini talep etme |
| Silme | Hesabınızın ve tüm ilişkili verilerin silinmesini talep etme (30 gün içinde işlenir) |
| İşlemeyi Kısıtlama | Verilerinizin işlenmesini istediğiniz zaman kısıtlama |
| Veri Taşınabilirliği | Verilerinizi makine tarafından okunabilir formatta talep etme |
| Onayı Geri Çekme | Dashboard üzerinden veri dışa aktarma veya silme talebi oluşturma |
| GCP Erişimini İptal | Google hesabınızın güvenlik ayarlarından Corsecure erişimini kaldırma |
KVKK kapsamındaki ek haklarınız için KVKK Aydınlatma Metni sayfamızı ziyaret edin. Bu haklarınızdan herhangi birini kullanmak için info@corsecure.net adresine başvurabilirsiniz. KVKK
9. Veri Güvenliği
- Aktarım halindeki tüm veriler TLS 1.3 (HTTPS) ile şifrelenir
- GCP API token'ları hiçbir zaman saklanmaz — yalnızca tarayıcı oturum belleğinde bulunur
- Kimlik doğrulama token'ları ve ön-yetkilendirme anahtarları veritabanında AES-256-GCM ile şifreli saklanır
- Parolalar bcrypt ile hashlenir (salt factor 12)
- Çok faktörlü doğrulama (TOTP/MFA) desteği
- Rol bazlı erişim kontrolü (Owner, Admin, Member)
- Organizasyon düzeyinde izolasyon — her organizasyon yalnızca kendi ad alanı ve cihazlarına erişebilir
- Ağ trafiği WireGuard / Outline ile uçtan uca şifrelenir
- API hız sınırlama (rate limiting) ile kaba kuvvet koruması
- Denetim günlükleri ile tüm kritik işlemler loglanır
- Uygulama yalnızca HTTPS üzerinden sunulur
10. Ağ Trafiği ve Sıfır Kayıt Politikası
Corsecure, kullanıcılar tarafından kurulan güvenlik altyapısının sahibi değildir ve işletmez. Tüm sunucular kullanıcının kendi Google Cloud hesabında, kullanıcının tam sahipliği ve kontrolü altında çalışır.
Sıfır kayıt politikamız tüm ağ trafiği için geçerlidir: Şifreli tünellerden geçen ağ trafiğini, ziyaret edilen web sitelerini, DNS sorgularını veya veri paketlerini kaydetmez, takip etmez veya saklamayız. Bu verilere teknik olarak erişim imkânımız yoktur.
Sakladığımız yönetim verileri: Sunucu durumu, performans metrikleri (CPU/RAM/ağ kullanımı) ve cihaz bağlantı bilgileri gibi yönetim verileri, hizmetin sunulması için veritabanımızda saklanır. Bu veriler ağ trafiğinin içeriğini içermez.
11. Uluslararası Veri Transferi
Corsecure hizmetinin sunulmasında farklı coğrafyalardaki altyapı sağlayıcıları kullanılmaktadır:
| Hizmet | Veri Konumu | İşlenen Veriler |
|---|
| Neon PostgreSQL | Frankfurt, Almanya (AB) | Hesap ve yapılandırma verileri |
| Headscale VPS | GCP europe-west1 (AB) | Güvenli mesh ağ koordinasyonu |
| Vercel | Küresel (Edge) | Uygulama sunumu |
| Güvenlik Sunucuları | Kullanıcının seçtiği GCP bölgesi | Şifreli trafik (Corsecure erişemez) |
| Lemon Squeezy | ABD | Ödeme bilgileri |
| Resend | ABD | E-posta gönderimi |
| Sentry | AB | Hata logları |
Uluslararası veri transferleri, geçerli veri koruma yasalarına uygun şekilde ve uygun güvenlik önlemleri alınarak gerçekleştirilir. KVKK kapsamında yurt dışına veri aktarımı için gerekli açık rıza mekanizmaları sağlanmaktadır.
12. Veri İhlali Bildirimi
Kişisel verilerinizi etkileyen bir güvenlik ihlali tespit etmemiz durumunda:
- İhlali tespit ettiğimiz andan itibaren 72 saat içinde etkilenen kullanıcıları e-posta yoluyla bilgilendiririz
- KVKK kapsamında Kişisel Verileri Koruma Kurulu'na gerekli bildirimi yaparız
- İhlalin kapsamı, etkilenen veri türleri ve alınan önlemler hakkında şeffaf bilgi veririz
- İhlalden kaynaklanan riskleri azaltmak için derhal teknik ve idari tedbirler alırız
13. Hesap Silme Prosedürü
Hesabınızı ve tüm ilişkili verilerinizi istediğiniz zaman silme hakkına sahipsiniz. Hesap silme işlemi aşağıdaki yollarla başlatılabilir:
- Dashboard üzerinden: Hesap Ayarları > Hesabı Sil seçeneğini kullanarak
- E-posta ile: info@corsecure.net adresine hesap silme talebi göndererek
Hesap silme sürecinde:
- Talebiniz 30 gün içinde işleme alınır ve tamamlanır
- Tüm kişisel verileriniz (e-posta, organizasyon bilgileri, denetim günlükleri) kalıcı olarak silinir
- Tüm şifreli veriler (kimlik doğrulama token'ları, ön-yetkilendirme anahtarları) kalıcı olarak silinir
- Google OAuth bağlantınız iptal edilir
- Silme işlemi geri alınamaz — lütfen önemli verilerinizi önceden dışa aktarın
- Güvenlik altyapınız sizin GCP hesabınızda kalmaya devam eder (Corsecure tarafından silinmez)
Hesap silme işlemi yalnızca Corsecure platformundaki verilerinizi siler. Google Cloud hesabınızdaki güvenlik sunucuları ve kaynakları size ait olmaya devam eder ve GCP konsolunuzdan ayrıca yönetilmelidir.
14. Çocukların Gizliliği
Corsecure, 18 yaşının altındaki bireylerin kullanımına yönelik değildir. Çocuklardan bilerek kişisel veri toplamayız. 18 yaşının altındaki bir çocuktan veri topladığımızı fark edersek, bu verileri derhal sileriz.
15. Çerezler ve Yerel Depolama
Yalnızca oturum yönetimi ve kimlik doğrulama için zorunlu çerezler kullanırız. Google Analytics, Facebook Pixel, Microsoft Clarity, Hotjar, Mixpanel gibi üçüncü taraf takip veya analiz araçlarını KULLANMAYIZ. Sitemizdeki tek ölçüm Vercel Analytics'tir ve Vercel Analytics çerez kullanmaz, yalnızca anonim sayfa görüntülenme verileri toplar.
16. Bu Politikadaki Değişiklikler
Bu Gizlilik Politikasını zaman zaman güncelleyebiliriz. Önemli değişiklikler, bu sayfadaki güncellenmiş revizyon tarihi ve uygulama içi bildirimler aracılığıyla iletilecektir. Değişikliklerden sonra hizmeti kullanmaya devam etmeniz, revize edilmiş politikayı kabul ettiğiniz anlamına gelir.
17. İletişim
- Gizlilik soruları: info@corsecure.net
- Teknik destek: info@corsecure.net
- Web sitesi: corsecure.net
