Procurement enablement page. For DPA, security questionnaire pack, or formal vendor assessment, contact support@controlsiq.com with the subject “Vendor Assessment Pack”.
How ControlsIQ Handles Your Data, Your Contracts, and Your AI Use
This page answers the questions procurement teams, commercial directors, and AI-aware professionals ask before approving ControlsIQ for organisational use. It is shorter and more direct than most vendor trust pages because we are a single-founder operation and we have made that work to our advantage. Every claim on this page corresponds to a control we actually operate. We update this page when sub-processors change, when material controls change, or when certifications change.
1.1ControlsIQ is operated by Kozarda İnşaat Teknolojileri ve Danışmanlık Ltd. Şti, a limited liability company incorporated in Türkiye and registered with the Istanbul Trade Registry. We are a single-founder construction-controls software business serving quantity surveyors, planners, and claims consultants in the UK, GCC, and Türkiye.
1.2Being a single-founder operation is a fact we disclose openly because procurement teams need it to assess us correctly. It means we move faster than enterprise vendors on bugs and feature requests, but it also means we do not yet have a dedicated security operations team, a 24/7 support rota, or the resources to maintain a SOC 2 / ISO 27001 audit programme. What we do have are platform-level controls inherited from SOC 2 Type II and ISO 27001 certified infrastructure partners, code-level controls applied uniformly, and the personal accountability of a single technical owner who answers all security correspondence within one business day.
1.3If your procurement process requires SOC 2 Type II or ISO 27001 evidence and cannot accept our posture as set out below, please tell us at the start. We will not pretend to certifications we do not hold.
2.1This is the question that matters most to most procurement teams. The full position is in our Privacy Policy Article 5 and Aydınlatma Metni Article 6, summarised here:
2.2Your prompts, your uploaded documents (contracts, programmes, correspondence), and your conversation context are transmitted to Anthropic's Claude API for the sole purpose of generating responses to you. Under Anthropic's Commercial Terms of Service, which govern ControlsIQ's use of Claude:
(a) Anthropic CANNOT use your data to train Anthropic's AI models. This is a contractual prohibition, not a configurable setting. It applies to all API traffic from ControlsIQ by default.
(b) Anthropic retains API inputs and outputs for a maximum of seven (7) days for safety and abuse-detection purposes. After 7 days the data is automatically deleted from Anthropic's systems.
(c) Anthropic disclaims its rights in outputs. Outputs belong to you and to ControlsIQ.
2.3ControlsIQ itself does not train any AI model on your data without your explicit, separate, opt-in consent. The default consent state for model training is OFF. We do not currently operate any model training pipeline; if we ever do, your data is excluded unless you have specifically opted in through the consent flow described in our Açık Rıza Esasları (Consent Principles).
2.4ControlsIQ engineers do not browse your project content. Access to User Content in our database is restricted to operational need (you opened a support ticket, an incident is in progress, a security investigation is running) and every access is logged. There is no "customer success" or "product analytics" role that has standing access to your contracts.
2.5AI outputs are probabilistic predictions, not verified facts. We disclose this honestly in our Terms of Service Article 5. The Service is decision-support tooling, not autonomous decision-making. We do not market it otherwise and our procurement-friendly framing is consistent with this.
3.1Where your data lives operationally:
(a) Account information and User Content — stored in a managed PostgreSQL database operated by our database service sub-processor in the European Union region, with encrypted backups.
(b) Application files and static assets — served from a global edge network operated by our cloud-hosting sub-processor; backend functions execute primarily in EU and US regions, configured to prefer EU for EEA/UK customers.
(c) AI prompts and outputs — processed transiently through Anthropic's infrastructure in the United States; retained for at most 7 days then auto-deleted (see §2.2).
(d) Backups — encrypted, retained for a rolling 30-day window for disaster recovery. Backups cannot be selectively deleted; individual records are purged from backup storage within 30 days of live deletion.
3.2Encryption:
(a) In transit — TLS 1.2 or higher for all traffic between users and the platform, and between the platform and all sub-processors. HSTS is enabled with a 1-year max-age.
(b) At rest — AES-256 encryption for the managed PostgreSQL database and for all backups.
3.3Cross-border transfer mechanics differ by user jurisdiction. EEA and UK users rely on Standard Contractual Clauses (SCCs) and the EU–US Data Privacy Framework where applicable. Turkish users rely on explicit consent under KVKK Article 9. The Privacy Policy Article 7 covers this in full.
3.4Retention summary: account data persists for the life of your account plus a 30-day post-closure window. Payment records are retained 10 years under Turkish tax law. Security logs are retained 12 months. Consent records are retained for the duration of your account plus 3 years. See Privacy Policy Article 9 and Aydınlatma Metni Article 9 for the full table.
4.1Authentication:
(a) Password authentication via NextAuth with bcrypt-hashed passwords (cost factor 12). We never store plain-text passwords. Engineers cannot read your password.
(b) Sessions are encrypted JWTs with 30-day rolling expiry. CSRF tokens protect all state-changing endpoints. Strong password requirements (12+ characters, mixed case, digit, special) are enforced at signup.
(c) Two-factor authentication (2FA) is available on all user accounts via authenticator apps that implement the TOTP standard (Google Authenticator, Authy, 1Password, Microsoft Authenticator and similar). 2FA can be enabled from Account Settings → Security and, when enabled, is required at every sign-in — including sign-ins via Google OAuth. Ten single-use recovery codes are issued at enrollment for self-service account recovery if the authenticator device is lost.
(d) Procurement teams requiring additional authentication factors (e.g., SSO, hardware-key MFA) should engage with us early — these are available as part of enterprise contracting.
4.2Application security:
(a) Defense-in-depth response headers are set on every response: Content Security Policy, HSTS (max-age two years, includeSubDomains, preload), X-Content-Type-Options, X-Frame-Options (DENY), X-XSS-Protection, Referrer-Policy, and Permissions-Policy (configured in next.config).
(b) Rate limiting on authentication, signup, and AI inference endpoints.
(c) Security-sensitive user input is validated through Zod schemas before reaching the database or the AI provider.
(d) SQL injection is structurally prevented by Prisma ORM parameterised queries.
(e) XSS is prevented by React's default escaping and by Content Security Policy.
(f) Dependencies are monitored against critical-vulnerability advisories; critical advisories are evaluated within one business day of disclosure.
4.3Infrastructure security inherited from our platform partners:
(a) Application runtime and global edge delivery — SOC 2 Type II and ISO 27001 certified, with DDoS protection and automatic WAF.
(b) Managed database — SOC 2 Type II certified, encrypted backups, point-in-time recovery.
(c) Anthropic (AI model provider) — SOC 2 Type II certified, audited safety practices, governed by the Anthropic Commercial Terms summarised in §2.
(d) Transactional email — SOC 2 Type II certified, DKIM/SPF/DMARC configured on our sending domain.
(e) Sub-processor names, locations, and SOC 2 / ISO 27001 documentation are disclosed to procurement teams via the vendor assessment pack (§8); request from support@controlsiq.com with the subject "Vendor Assessment Pack".
4.4Operational security:
(a) Production database access is restricted to the founder. Access is logged at the database platform layer.
(b) Environment secrets are stored in the hosting platform's encrypted environment-variable store; never in code, never in repositories.
(c) Source-code repositories are private with two-factor authentication enforced on the developer account.
(d) Production logging is operated at the platform layer (application runtime + database query logs).
(e) Backups are operated by the managed database service with point-in-time recovery over a rolling retention window; restore procedures are documented in the internal incident-response runbook.
4.5Incident response:
(a) We commit to notify affected users and the Personal Data Protection Authority of Türkiye (KVKK Kurumu) in accordance with KVKK Kurul guidance — i.e. as soon as possible after becoming aware of a personal data breach.
(b) Security disclosures should be sent to support@controlsiq.com with the subject "Security Disclosure". We acknowledge within one business day.
(c) We recognise and credit responsible disclosures publicly with the discoverer's consent.
5.1We do not invent custom infrastructure. The Service runs on managed platforms operated by established providers. Each category is summarised below by role, location, and contractual posture. The standalone, procurement-discoverable Sub-Processor List is published at controlsiq.com/sub-processors.
5.2Current sub-processor categories (as at the date of this page):
Anthropic, PBC — AI model provider (Claude API). United States. Receives prompts and uploads, per-request basis. Retention 7 days. Training prohibited contractually. SOC 2 Type II. Named explicitly because the Anthropic Commercial Terms are central to our AI data position (§2).
Cloud hosting and application runtime infrastructure — SOC 2 Type II and ISO 27001 certified provider operating from European Union and United States regions. Receives application traffic and server logs.
Managed database service — SOC 2 Type II certified provider operating from a European Union region. Receives and stores account data and User Content with encrypted backups and point-in-time recovery.
Transactional email service — SOC 2 Type II certified provider operating from a United States region. Receives email address and transactional message content (verification emails, billing notifications, password resets). Not used for marketing.
Payment service provider — not currently engaged. ControlsIQ does not yet process card payments. When a payment service provider is appointed for paid-plan billing it will be named here and disclosed before any payment (as Mesafeli Sözleşmeler Yönetmeliği requires payment-method disclosure to Turkish Consumers). ControlsIQ will never receive card details; these are processed directly by the provider under PCI DSS.
5.3Specific vendor names, contract numbers, sub-processor SOC 2 reports, and DPA copies are disclosed to procurement teams via the vendor assessment pack (§8). Request from support@controlsiq.com with the subject "Vendor Assessment Pack" — five-business-day response.
5.4Adding a new sub-processor that materially affects User Content processing triggers a Privacy Policy update with at least 30 days' notice to active users via in-Service notification and email. We do not silently add sub-processors. Procurement teams subscribed to our security mailing list also receive direct notification — contact support@controlsiq.com with the subject "Subscribe to Security Updates" to be added.
6.1KVKK (Türkiye, Law No. 6698) — We are a Turkish-incorporated data controller under KVKK. The full Aydınlatma Metni is at controlsiq.com/aydinlatma-metni. Cross-border transfer relies on explicit consent under KVKK Article 9 (Açık Rıza Esasları Kart 2 — controlsiq.com/acik-riza-esaslari). We follow KVKK Kurul guidance, including the 24 March 2026 principle decision requiring separation of açık rıza (explicit consent) and aydınlatma yükümlülüğü (information obligation). VERBİS (Veri Sorumluları Sicili) registration is monitored against the threshold; we will register when required by our turnover / employee headcount.
6.2Governing law and foreign-regime accommodations — The Service is operated under Turkish law (KVKK). We do not undertake to comply with foreign data-protection regimes in respect of users accessing the Service from outside Türkiye; we accept that those users use the Service under Turkish law. As a commercial accommodation for procurement teams from organisations subject to GDPR / UK GDPR, we offer a Data Processing Agreement template that includes Standard Contractual Clauses for non-EEA recipients — available on request from support@controlsiq.com with the subject "DPA Request". Where you require an EEA/UK Article 27 representative or other regime-specific contracting positions, please tell us early in the procurement process so we can scope the appointment.
6.3Consumer protection (Türkiye, Law No. 6502) — Turkish Consumer Users receive the Distance Sales Pre-Information Form and Distance Sales Contract before payment, and three separate confirmation ticks are required (read, accept, cayma waiver). All Consumer contracts are retained and accessible at /account/contracts; the public template preview is at controlsiq.com/mesafeli-satis-sozlesmesi-ornek. Trader Users contract under standard B2B terms without the Distance Sales overlay.
6.4Anthropic Usage Policy — As a Claude API customer we are bound by Anthropic's Usage Policy. We pass down the relevant restrictions to our users through Terms of Service Article 11.2 (no using outputs to train competing AI, no reverse engineering, compliance with high-risk use case requirements, AI disclosure to end users, export controls). These flow-downs apply regardless of the user's own jurisdiction.
6.5RICS AI Standard — Where users are members of the Royal Institution of Chartered Surveyors, the RICS Standard on the Responsible Use of Artificial Intelligence in Surveying Practice (effective 9 March 2026) imposes verification, governance, and disclosure obligations on the practitioner. Terms of Service Article 5.5–5.6 reflect this. We can confirm in writing that our AI position is compatible with the RICS Standard — contact support@controlsiq.com with the subject "RICS AI Standard Confirmation" for a written confirmation suitable for submission to your RICS firm risk committee.
7.1Procurement teams have seen many vendor pages that imply certifications the vendor does not hold. We do not do this. Here is the candid posture:
7.2What we have:
(a) Platform-level SOC 2 Type II and ISO 27001 inherited through our infrastructure partners (§4.3)
(b) Encryption in transit (TLS 1.2+) and at rest (AES-256) across the stack
(c) KVKK compliance with bilingual public documents (Terms, Privacy, Aydınlatma Metni, Açık Rıza Esasları, Cookie Policy, Distance Sales template) and a registered Turkish controller entity
(d) A formal Data Processing Agreement template with SCCs, available on request as a commercial accommodation for EEA/UK procurement processes
(e) An append-only consent audit trail (ConsentLog table) with regulatory-grade retention
(f) The Anthropic Commercial Terms governing AI data handling, including the 7-day retention cap and training prohibition
(g) Defense-in-depth security headers (CSP, HSTS, X-Frame-Options DENY, Permissions-Policy) enforced at the platform edge; Zod input validation on security-sensitive endpoints; Prisma parameterised queries; bcrypt cost factor 12 on passwords; rate limiting on authentication, signup, and AI endpoints
(h) Vendor security questionnaire responses available within five business days
7.3What we have NOT (and may add when justified):
(a) No SOC 2 Type II audit of ControlsIQ itself. We rely on platform-level SOC 2 from our infrastructure partners. Direct ControlsIQ SOC 2 audit is on the roadmap when our customer base supports the audit cost.
(b) No ISO 27001 audit of ControlsIQ itself, same rationale.
(c) No 24/7 incident response team. The founder is the on-call. Critical incidents during business hours are acknowledged within minutes; off-hours, within several hours. Major breaches are handled regardless of hour.
(d) No dedicated Data Protection Officer role. The founder operates as the contact point for KVKK matters.
(e) No on-premise deployment option. Enterprise customers requiring on-premise infrastructure should engage with us early — we can discuss a dedicated single-tenant deployment but cannot offer on-premise within the standard product.
(f) No paid bug bounty programme. Responsible disclosures are still welcomed and acknowledged.
(g) No Article 27 GDPR representative in the EEA or UK. Available on request when justified by procurement.
(h) No formal VERBİS registration under KVKK yet (we are below the threshold). This will change as we cross the registration threshold.
7.4We commit to keeping this posture honest. If a control is added, this page updates within one week. If we lose a control (a sub-processor's SOC 2 lapses, for example), this page updates within one week.
8.1Most large procurement organisations require a security questionnaire (SIG, CAIQ, SIG Lite, custom). We provide a standard response pack covering the typical 200–400 questions, mapped to our current control posture. The pack includes:
(a) Completed CAIQ Lite v4.0 (Cloud Security Alliance)
(b) ControlsIQ Trust Statement (an extended version of this page)
(c) Sub-processor list with locations, certifications, and DPA status
(d) Data flow diagram showing User → ControlsIQ → Anthropic + managed database service → User
(e) Incident response runbook (sanitised)
(f) Sample DPA with SCCs
(g) Inspection log access reference
8.2To request the pack, send an email to support@controlsiq.com with the subject "Vendor Assessment Pack", your organisation name, the use case, and the questionnaire you need answered. We respond with the pack within five business days. There is no fee. We do not require an NDA for the standard pack; for organisation-specific custom questionnaires we may request a mutual NDA.
8.3We do not offer in-person on-site security assessments at this scale. Remote evidence review via video call is available.
9.1Security correspondence: support@controlsiq.com with the subject "Security Disclosure". Acknowledged within one business day.
9.2Privacy / KVKK correspondence: support@controlsiq.com with a clear subject line (e.g., "Data Subject Request", "DPA Request", "KVKK Question").
9.3Procurement and vendor assessment: support@controlsiq.com with the subject "Vendor Assessment Pack". Five-business-day SLA on standard packs.
9.4General support: support@controlsiq.com.
9.5Formal correspondence: registered company email info@kozarda.com or the registered address listed in Privacy Policy Article 2.1.
ControlsIQ Verilerinizi, Sözleşmelerinizi ve Yapay Zeka Kullanımınızı Nasıl Ele Alır
Bu sayfa; tedarik ekiplerinin, ticari yöneticilerin ve yapay zeka konusunda bilinçli profesyonellerin ControlsIQ'yu kurumsal kullanım için onaylamadan önce sorduğu sorulara cevap verir. Çoğu vendor güven sayfasından daha kısa ve doğrudan; çünkü tek kurucu işletmeyiz ve bu durumu avantaja çevirdik. Bu sayfadaki her iddia gerçekten uyguladığımız bir kontrole karşılık gelir. Alt veri işleyenler, esaslı kontroller veya sertifikalar değiştiğinde bu sayfayı güncelleriz.
1.1ControlsIQ; Türkiye'de kurulmuş, İstanbul Ticaret Sicili'ne kayıtlı bir limited şirket olan Kozarda İnşaat Teknolojileri ve Danışmanlık Ltd. Şti tarafından işletilmektedir. Birleşik Krallık, Körfez ülkeleri ve Türkiye'deki miktar sürveyörlerine, plancılara ve hak talebi danışmanlarına hizmet veren tek kurucu inşaat-kontrol yazılım işletmesiyiz.
1.2Tek kurucu işletme olduğumuzu açıkça beyan ederiz; çünkü tedarik ekiplerinin bizi doğru değerlendirmesi için bu bilgiye ihtiyacı vardır. Bu durum; bug ve özellik taleplerinde kurumsal vendor'lardan daha hızlı hareket ettiğimiz anlamına gelir; ancak henüz adanmış güvenlik operasyon ekibimizin, 7/24 destek nöbetimizin veya SOC 2 / ISO 27001 denetim programı yürütecek kaynaklarımızın olmadığı anlamına da gelir. Sahip olduğumuz; SOC 2 Type II ve ISO 27001 sertifikalı altyapı ortaklarımızdan miras kalan platform düzeyindeki kontroller, tutarlı uygulanan kod düzeyindeki kontroller ve tüm güvenlik yazışmalarını bir iş günü içinde yanıtlayan tek teknik sahibin kişisel sorumluluğudur.
1.3Tedarik süreciniz SOC 2 Type II veya ISO 27001 kanıtı gerektirip aşağıda açıklanan duruşumuzu kabul edemiyorsa, lütfen başlangıçta bize bildirin. Sahip olmadığımız sertifikalara sahipmiş gibi davranmayız.
2.1Çoğu tedarik ekibi için en önemli sorudur. Tam pozisyon Gizlilik Politikası Madde 5 ve Aydınlatma Metni Madde 6'dadır; burada özetlenmiştir:
2.2Prompt'larınız, yüklediğiniz belgeler (sözleşmeler, programalar, yazışmalar) ve sohbet bağlamınız; size yanıt üretmek tek amacıyla Anthropic'in Claude API'sine iletilir. ControlsIQ'nun Claude kullanımını düzenleyen Anthropic Ticari Hizmet Şartları çerçevesinde:
(a) Anthropic; verilerinizi Anthropic'in yapay zeka modellerini eğitmek için KULLANAMAZ. Bu, yapılandırılabilir bir ayar değil, sözleşmesel bir yasaktır. ControlsIQ'dan gelen tüm API trafiğine varsayılan olarak uygulanır.
(b) Anthropic; API giriş ve çıktılarını güvenlik ve istismar tespiti amacıyla en fazla yedi (7) gün saklar. 7 günün ardından veri Anthropic sistemlerinden otomatik olarak silinir.
(c) Anthropic; ürettiği çıktılar üzerindeki haklarından feragat eder. Çıktılar size ve ControlsIQ'ya aittir.
2.3ControlsIQ; verilerinizi açık, ayrı, opt-in rıza olmaksızın hiçbir yapay zeka modelinin eğitiminde kullanmaz. Model eğitimi için varsayılan rıza durumu KAPALI'dır. Şu an aktif bir model eğitim sürecimiz yoktur; ileride aktif edilirse, Açık Rıza Esasları'nda tanımlanan rıza akışı üzerinden özel olarak opt-in yapmadığınız sürece veriniz hariç tutulur.
2.4ControlsIQ mühendisleri proje içeriğinizi rastgele incelemez. Veritabanımızdaki Kullanıcı İçeriği'ne erişim; operasyonel zorunlulukla sınırlıdır (bir destek talebi açtınız, devam eden bir olay var, bir güvenlik soruşturması yürütülüyor) ve her erişim log'lanır. Sözleşmelerinize standart erişimi olan "customer success" veya "ürün analitiği" rolü bulunmaz.
2.5Yapay zeka çıktıları; olasılıksal tahminlerdir, doğrulanmış gerçek değildir. Bunu Kullanıcı Sözleşmesi Madde 5'te dürüstçe açıklarız. Hizmet karar-destek aracıdır, otonom karar verici değildir. Bunu farklı şekilde pazarlamayız ve tedarik dostu konumlandırmamız da bu gerçeklikle tutarlıdır.
3.1Verileriniz operasyonel olarak nerede tutulur:
(a) Hesap bilgileri ve Kullanıcı İçeriği — veritabanı servis alt-işleyenimiz tarafından Avrupa Birliği bölgesinde işletilen yönetilen PostgreSQL veritabanında, şifrelenmiş yedeklerle birlikte saklanır.
(b) Uygulama dosyaları ve statik varlıklar — bulut barındırma alt-işleyenimiz tarafından işletilen küresel edge ağından servis edilir; backend fonksiyonları başlıca AB ve ABD bölgelerinde çalışır, AEA/BK müşterileri için AB tercih edilecek şekilde yapılandırılmıştır.
(c) Yapay zeka prompt'ları ve çıktılar — Anthropic'in ABD altyapısı üzerinden geçici olarak işlenir; en fazla 7 gün saklanır, sonra otomatik silinir (bkz. §2.2).
(d) Yedeklemeler — şifrelenmiş, felaket kurtarma için rolling 30 günlük pencere boyunca tutulur. Yedeklemelerden seçici silme yapılamaz; bireysel kayıtlar canlı silmenin ardından 30 gün içinde yedek depolamadan temizlenir.
3.2Şifreleme:
(a) İletimde — kullanıcılar ile platform arasındaki ve platform ile tüm alt veri işleyenler arasındaki tüm trafik için TLS 1.2 veya üzeri. HSTS 1 yıllık max-age ile etkindir.
(b) Saklamada — yönetilen PostgreSQL veritabanı ve tüm yedeklemeler için AES-256 şifreleme.
3.3Sınır ötesi aktarım mekanizması kullanıcı ülkesine göre değişir. AEA ve BK kullanıcıları için Standart Sözleşmesel Hükümler (SCC) ve uygulanabilirse AB–ABD Veri Gizliliği Çerçevesi'ne dayanırız. Türk kullanıcılar için KVKK Madde 9 kapsamında açık rızaya dayanırız. Gizlilik Politikası Madde 7 bu konuyu detaylı ele alır.
3.4Saklama özeti: hesap verisi, hesabınızın süresi boyunca ve kapatma sonrası 30 günlük pencere boyunca tutulur. Ödeme kayıtları, Türk vergi mevzuatı uyarınca 10 yıl saklanır. Güvenlik log'ları 12 ay tutulur. Rıza kayıtları hesabınızın süresi boyunca ve 3 yıl sonrasında tutulur. Tam tablo için Gizlilik Politikası Madde 9 ve Aydınlatma Metni Madde 9'a bakınız.
4.1Kimlik doğrulama:
(a) NextAuth ile şifre kimlik doğrulaması, bcrypt-hash'lenmiş şifreler (cost factor 12). Şifreleri hiçbir zaman düz metin olarak saklamayız. Mühendisler şifrenizi okuyamaz.
(b) Oturumlar; 30 günlük rolling süresi olan şifrelenmiş JWT'lerdir. Tüm state-değiştiren uç noktalar CSRF token ile korunur. Hesap oluşturmada güçlü şifre gereklilikleri (12+ karakter, büyük/küçük harf, rakam, özel karakter) zorlanır.
(c) İki faktörlü kimlik doğrulama (2FA); TOTP standardını uygulayan kimlik doğrulayıcı uygulamalar (Google Authenticator, Authy, 1Password, Microsoft Authenticator ve benzerleri) aracılığıyla tüm kullanıcı hesaplarında kullanılabilir. 2FA, Hesap Ayarları → Güvenlik üzerinden etkinleştirilebilir ve etkinleştirildiğinde her oturum açma sırasında — Google OAuth ile oturum açmalar dahil — zorunludur. Kimlik doğrulayıcı cihazın kaybedilmesi durumunda self-servis hesap kurtarma için kayıt sırasında on adet tek kullanımlık kurtarma kodu sağlanır.
(d) Ek kimlik doğrulama faktörleri (örn. SSO, donanım anahtarı tabanlı MFA) gerektiren tedarik ekipleri erken iletişime geçmelidir — bunlar kurumsal sözleşme akdetme sürecinin parçası olarak sağlanır.
4.2Uygulama güvenliği:
(a) Defense-in-depth yanıt başlıkları her yanıtta ayarlanır: Content Security Policy, HSTS (max-age iki yıl, includeSubDomains, preload), X-Content-Type-Options, X-Frame-Options (DENY), X-XSS-Protection, Referrer-Policy ve Permissions-Policy (next.config içinde yapılandırılmıştır).
(b) Kimlik doğrulama, hesap oluşturma ve yapay zeka çıkarım uç noktalarında hız sınırlaması uygulanır.
(c) Güvenliğe duyarlı kullanıcı girdileri veritabanına veya yapay zeka sağlayıcısına ulaşmadan önce Zod şemaları aracılığıyla doğrulanır.
(d) SQL injection; Prisma ORM parametrik sorguları ile yapısal olarak önlenir.
(e) XSS; React'in varsayılan kaçış mekanizması ve Content Security Policy ile önlenir.
(f) Bağımlılıklar kritik açıklık bildirimlerine karşı izlenir; kritik bildirimler açıklamadan sonra bir iş günü içinde değerlendirilir.
4.3Platform ortaklarımızdan miras kalan altyapı güvenliği:
(a) Uygulama runtime ve küresel edge dağıtımı — SOC 2 Type II ve ISO 27001 sertifikalı, DDoS koruması ve otomatik WAF ile birlikte.
(b) Yönetilen veritabanı — SOC 2 Type II sertifikalı, şifrelenmiş yedeklemeler, point-in-time recovery.
(c) Anthropic (yapay zeka model sağlayıcısı) — SOC 2 Type II sertifikalı, denetlenmiş güvenlik uygulamaları; §2'de özetlenen Anthropic Ticari Şartları'na tabidir.
(d) İşlemsel e-posta — SOC 2 Type II sertifikalı, gönderim domainimizde DKIM/SPF/DMARC yapılandırılmış.
(e) Alt veri işleyen adları, konumları ve SOC 2 / ISO 27001 dokümantasyonu; tedarik ekiplerine vendor değerlendirme paketi (§8) aracılığıyla açıklanır. "Vendor Assessment Pack" konusu ile support@controlsiq.com adresinden talep edin.
4.4Operasyonel güvenlik:
(a) Production veritabanı erişimi kurucu ile sınırlıdır. Erişim, veritabanı platform katmanında log'lanır.
(b) Environment secret'lar barındırma platformunun şifrelenmiş environment-variable saklayıcısında tutulur; asla kodda, asla repository'lerde değil.
(c) Kaynak kodu repository'leri private'dır ve geliştirici hesabında iki faktörlü kimlik doğrulama zorunludur.
(d) Production log'lama platform katmanında yürütülür (uygulama runtime + veritabanı sorgu log'ları).
(e) Yedeklemeler; yönetilen veritabanı hizmeti tarafından rolling saklama penceresi ile point-in-time recovery üzerinden işletilir; restore prosedürleri iç olay müdahale runbook'unda dokümante edilmiştir.
4.5Olay müdahalesi:
(a) Kişisel veri ihlalinden haberdar olduktan sonra KVKK Kurul rehberi kapsamında "en kısa sürede" — etkilenen kullanıcılara ve Kişisel Verileri Koruma Kurumu'na (KVKK Kurumu) bildirimde bulunmayı taahhüt ederiz.
(b) Güvenlik açıklamaları "Security Disclosure" konusu ile support@controlsiq.com adresine gönderilmelidir. Bir iş günü içinde teyit edilir.
(c) Sorumlu açıklamaları tanır ve keşfedenin onayıyla kamuoyuna teşekkür ederiz.
5.1Özel altyapı icat etmeyiz. Hizmet; yerleşik sağlayıcılar tarafından işletilen yönetilen platformlar üzerinde çalışır. Her kategori rolü, konumu ve sözleşmesel duruşu ile aşağıda özetlenmiştir. Tedarik ekiplerince erişilebilen müstakil Alt Veri İşleyenler Listesi controlsiq.com/sub-processors adresinde yayımlanmıştır.
5.2Mevcut alt veri işleyen kategorileri (bu sayfa tarihi itibarıyla):
Anthropic, PBC — Yapay zeka model sağlayıcısı (Claude API). Amerika Birleşik Devletleri. İstek bazında prompt ve yüklemeleri alır. 7 gün saklama. Eğitim sözleşmesel olarak yasak. SOC 2 Type II. Açıkça isimlendirilmiştir; çünkü Anthropic Ticari Şartları yapay zeka veri pozisyonumuzun (§2) merkezindedir.
Bulut barındırma ve uygulama runtime altyapısı — Avrupa Birliği ve Amerika Birleşik Devletleri bölgelerinden faaliyet gösteren SOC 2 Type II ve ISO 27001 sertifikalı sağlayıcı. Uygulama trafiği ve sunucu log'larını alır.
Yönetilen veritabanı hizmeti — Avrupa Birliği bölgesinden faaliyet gösteren SOC 2 Type II sertifikalı sağlayıcı. Hesap verisi ve Kullanıcı İçeriği'ni şifrelenmiş yedeklemeler ve point-in-time recovery ile alır ve saklar.
İşlemsel e-posta hizmeti — Amerika Birleşik Devletleri bölgesinden faaliyet gösteren SOC 2 Type II sertifikalı sağlayıcı. E-posta adresi ve işlemsel mesaj içeriğini (doğrulama e-postaları, fatura bildirimleri, şifre sıfırlama) alır. Pazarlama amaçlı kullanılmaz.
Ödeme hizmeti sağlayıcısı — şu an görevlendirilmemiştir. ControlsIQ henüz kart ödemesi işlemiyor. Ücretli Plan faturalandırması için bir ödeme hizmeti sağlayıcısı görevlendirildiğinde burada isimlendirilecek ve — Mesafeli Sözleşmeler Yönetmeliği, Türk Tüketicilere ödeme yöntemi açıklamasını gerektirdiği için — ödemeden önce açıklanacaktır. ControlsIQ kart bilgilerini hiçbir zaman almaz; bunlar doğrudan sağlayıcı tarafından PCI DSS standartları çerçevesinde işlenir.
5.3Belirli sağlayıcı adları, sözleşme numaraları, alt veri işleyen SOC 2 raporları ve DPA kopyaları tedarik ekiplerine vendor değerlendirme paketi (§8) aracılığıyla açıklanır. "Vendor Assessment Pack" konusu ile support@controlsiq.com adresinden talep edin — beş iş günü içinde yanıt.
5.4Kullanıcı İçeriği işlemesini esaslı biçimde etkileyen yeni bir alt veri işleyen eklenmesi; Hizmet içi bildirim ve e-posta ile aktif kullanıcılara en az 30 gün önceden duyuru ile birlikte Gizlilik Politikası güncellemesini tetikler. Sessizce alt veri işleyen eklemeyiz. Güvenlik posta listemize abone olan tedarik ekipleri de doğrudan bildirim alır — eklenmek için "Subscribe to Security Updates" konusu ile support@controlsiq.com adresine yazınız.
6.1KVKK (Türkiye, 6698 sayılı Kanun) — KVKK kapsamında Türkiye yerleşik veri sorumlusuyuz. Tam Aydınlatma Metni controlsiq.com/aydinlatma-metni adresindedir. Sınır ötesi aktarım KVKK Madde 9 kapsamında açık rızaya dayanır (Açık Rıza Esasları Kart 2 — controlsiq.com/acik-riza-esaslari). KVKK Kurul rehberliğini, özellikle açık rıza ile aydınlatma yükümlülüğünün ayrılmasını gerektiren 24 Mart 2026 ilke kararını izleriz. VERBİS (Veri Sorumluları Sicili) kaydı eşik açısından izlenmektedir; ciromuz / çalışan sayımız eşiği aştığında kayıt yapılacaktır.
6.2Uygulanacak hukuk ve yabancı rejim akomodasyonları — Hizmet, Türk hukuku (KVKK) altında işletilir. Hizmet'e Türkiye dışından erişen kullanıcılar bakımından yabancı veri koruma rejimlerine uyum taahhüt etmemekteyiz; söz konusu kullanıcıların Hizmet'i Türk hukuku altında kullandığını kabul ederiz. GDPR / UK GDPR'ye tabi kuruluşların tedarik ekipleri için ticari bir akomodasyon olarak, AEA dışı alıcılar için Standart Sözleşmesel Hükümler içeren bir Veri İşleme Anlaşması şablonu sağlarız — "DPA Request" konusu ile support@controlsiq.com adresinden talep edilebilir. AEA/BK Madde 27 temsilcisi veya rejime özgü diğer sözleşme konumları gerekiyorsa, lütfen tedarik sürecinin başında bize bildirin; atamayı kapsamlandırabiliriz.
6.3Tüketici koruma (Türkiye, 6502 sayılı Kanun) — Türk Tüketici Kullanıcılar; ödeme öncesi Ön Bilgilendirme Formu ve Mesafeli Satış Sözleşmesi alır ve üç ayrı onay (okuma, kabul, cayma feragati) gereklidir. Tüm Tüketici sözleşmeleri /account/contracts adresinden erişilebilir biçimde saklanır; kamu şablon önizlemesi controlsiq.com/mesafeli-satis-sozlesmesi-ornek adresindedir. Tacir Kullanıcılar; Mesafeli Sözleşmeler Yönetmeliği katmanı olmaksızın standart B2B koşulları altında sözleşme yapar.
6.4Anthropic Kullanım Politikası — Claude API müşterisi olarak Anthropic'in Kullanım Politikası'na tabiyiz. İlgili kısıtlamaları Kullanıcı Sözleşmesi Madde 11.2 aracılığıyla kullanıcılarımıza yansıtırız (çıktıları rakip yapay zeka eğitmek için kullanmama, tersine mühendislik yapmama, yüksek riskli kullanım hâlleri gereklilikleri ile uyum, son kullanıcıya yapay zeka açıklaması, ihracat kontrolleri). Bu yansıtmalar; kullanıcının kendi ülkesi ne olursa olsun uygulanır.
6.5RICS Yapay Zeka Standardı — Kullanıcılar Royal Institution of Chartered Surveyors üyeleri olduğunda, RICS Sürveyörlükte Yapay Zeka'nın Sorumlu Kullanımı Standardı (9 Mart 2026 yürürlük tarihli) meslek mensubuna doğrulama, yönetişim ve açıklama yükümlülükleri yükler. Kullanıcı Sözleşmesi Madde 5.5–5.6 bunu yansıtır. Yapay zeka duruşumuzun RICS Standardı ile uyumlu olduğunu yazılı olarak teyit edebiliriz — RICS şirket risk komitenize sunmak üzere yazılı teyit için "RICS AI Standard Confirmation" konusu ile support@controlsiq.com adresine yazınız.
7.1Tedarik ekipleri; vendor'un sahip olmadığı sertifikaları ima eden pek çok vendor sayfası görmüştür. Biz bunu yapmıyoruz. Açık duruş aşağıdadır:
7.2Sahip olduklarımız:
(a) Altyapı ortaklarımız aracılığıyla miras kalan platform düzeyinde SOC 2 Type II ve ISO 27001 (§4.3)
(b) Tüm stack genelinde iletimde (TLS 1.2+) ve saklamada (AES-256) şifreleme
(c) İki dilde kamuya açık belgeler (Kullanıcı Sözleşmesi, Gizlilik Politikası, Aydınlatma Metni, Açık Rıza Esasları, Çerez Politikası, Mesafeli Satış Sözleşmesi şablonu) ve Türk tescilli veri sorumlusu tüzel kişiliği ile KVKK uyumu
(d) AEA/BK tedarik süreçleri için ticari akomodasyon olarak talep üzerine sağlanan, SCC içeren resmi Veri İşleme Anlaşması şablonu
(e) Düzenleyici-kalitede saklama ile append-only rıza denetim izi (ConsentLog tablosu)
(f) Yapay zeka veri işlemesini yöneten Anthropic Ticari Şartları — 7 günlük saklama tavanı ve eğitim yasağı dahil
(g) Defense-in-depth güvenlik başlıkları (CSP, HSTS, X-Frame-Options DENY, Permissions-Policy) platform edge'inde uygulanır; güvenliğe duyarlı uç noktalarda Zod giriş doğrulaması; Prisma parametrik sorguları; şifrelerde bcrypt cost factor 12; kimlik doğrulama, hesap oluşturma ve yapay zeka uç noktalarında hız sınırlaması
(h) Beş iş günü içinde sağlanan vendor güvenlik anketi yanıtları
7.3Sahip OLMADIKLARIMIZ (justify edildiğinde eklenebilir):
(a) ControlsIQ'nun kendisinin SOC 2 Type II denetimi yok. Altyapı ortaklarımızın platform düzeyindeki SOC 2'sine güveniriz. Doğrudan ControlsIQ SOC 2 denetimi; müşteri tabanımız denetim maliyetini destekleyebildiğinde yol haritasındadır.
(b) ControlsIQ'nun kendisinin ISO 27001 denetimi yok; aynı gerekçe.
(c) 7/24 olay müdahale ekibimiz yok. Nöbetçi kurucudur. Mesai saatlerindeki kritik olaylar dakikalar içinde teyit edilir; mesai dışında birkaç saat içinde. Büyük ihlaller saat fark etmeksizin ele alınır.
(d) Adanmış Veri Koruma Sorumlusu (DPO) rolümüz yok. KVKK konularında kurucu temas noktasıdır.
(e) On-premise deployment seçeneği yok. On-premise altyapı gerektiren kurumsal müşteriler erken iletişime geçmelidir — adanmış tek kiracılı bir deployment görüşebiliriz; ancak standart ürün dahilinde on-premise sunamayız.
(f) Ücretli bug bounty programı yok. Sorumlu açıklamalar yine de hoş karşılanır ve teyit edilir.
(g) AEA veya BK'de GDPR Madde 27 temsilcisi yok. Tedarik tarafından justify edildiğinde, talep üzerine mevcut.
(h) Henüz resmi VERBİS kaydı yok (eşiğin altındayız). Kayıt eşiğini geçtikçe değişecektir.
7.4Bu duruşu dürüst tutmayı taahhüt ediyoruz. Bir kontrol eklenirse, bu sayfa bir hafta içinde güncellenir. Bir kontrolü kaybedersek (örneğin bir alt veri işleyenin SOC 2'si sona ererse), bu sayfa bir hafta içinde güncellenir.
8.1Büyük tedarik kurumlarının çoğu güvenlik anketi gerektirir (SIG, CAIQ, SIG Lite, özel). Mevcut kontrol duruşumuza eşlenmiş, tipik 200-400 soruyu kapsayan standart bir yanıt paketi sunarız. Paket şunları içerir:
(a) Tamamlanmış CAIQ Lite v4.0 (Cloud Security Alliance)
(b) ControlsIQ Güven Beyanı (bu sayfanın genişletilmiş versiyonu)
(c) Konumlar, sertifikalar ve DPA durumu ile alt veri işleyen listesi
(d) Kullanıcı → ControlsIQ → Anthropic + yönetilen veritabanı servisi → Kullanıcı veri akış diyagramı
(e) Olay müdahale runbook'u (sansürlenmiş)
(f) SCC ile örnek DPA
(g) Denetim log'u erişim referansı
8.2Paketi talep etmek için support@controlsiq.com adresine "Vendor Assessment Pack" konusu, kuruluş adınız, kullanım amacınız ve yanıtlanmasını istediğiniz anketle e-posta gönderin. Beş iş günü içinde paketle yanıt veririz. Ücret yoktur. Standart paket için NDA gerekmez; kuruluşa özel anketler için karşılıklı NDA talep edebiliriz.
8.3Bu ölçekte yüz yüze yerinde güvenlik değerlendirmesi sunmuyoruz. Video aramayla uzaktan kanıt incelemesi mevcuttur.
9.1Güvenlik yazışmaları: "Security Disclosure" konusu ile support@controlsiq.com. Bir iş günü içinde teyit edilir.
9.2Gizlilik / KVKK yazışmaları: net konu satırı ile support@controlsiq.com (örneğin "Veri Sahibi Başvurusu", "DPA Talebi", "KVKK Sorusu").
9.3Tedarik ve vendor değerlendirmesi: "Vendor Assessment Pack" konusu ile support@controlsiq.com. Standart paketlerde beş iş günü SLA.
9.4Genel destek: support@controlsiq.com.
9.5Resmi yazışmalar: Şirket'in tescilli e-posta adresi info@kozarda.com veya Gizlilik Politikası Madde 2.1'de belirtilen tebligata esas adresi.