Güvenlik ve Gizlilik

Veriler korunur Almanya'da.

Vatandaşlığa kabul, son derece hassas bir idari işlemdir. Bu süreçte ortaya çıkan verileri buna uygun şekilde işliyoruz — net bir GDPR mimarisi, tamamen Almanya’da barındırma ve şeffaf alt işleyicilerle.

Almanya'da web barındırmaTLS 1.3 · AES-256GDPR Madde 28

01Barındırma ve Mimari 02Şifreleme 03Alt işlemciler 04Sipariş işleme 05Mağdurların hakları 06Olay Müdahalesi 07Uyum

Kategori 01

Barındırma ve Mimari.

civitas platformunun tamamı Almanya'daki sunucularda çalışmaktadır. AB dışına veri aktarımı yapılmamakta, temel veriler için merkezi üçüncü ülkelerde bulunan alt hizmet sağlayıcılarla çalışılmamakta ve her kamu kurumu ile kurumsal ortağın kendine ait, izole edilmiş bir veri alanına sahip olması için çoklu kullanıcı desteğine uygun bir mimari kullanılmaktadır.

Sunucu konumu

Yalnızca Hetzner Online GmbH, Nürnberg. ISO/IEC 27001 sertifikalı veri merkezi, yedekli güç kaynağı, ikinci bir Alman Hetzner tesisinde (Falkenstein) coğrafi yedekleme.

Veri konumu

Almanya · Avrupa Birliği. Tüm kişisel veriler yalnızca Almanya'da işlenir ve saklanır. GDPR'nin 44. maddesi ve devamı uyarınca üçüncü ülkelere herhangi bir veri aktarımı yapılmamaktadır.

Müşteri ayrımı

Her kurumsal ortak (resmi kurum, hukuk bürosu, danışmanlık merkezi) kendine ait bir müşteri anahtarı ile mantıksal olarak izole edilmiş bir veri odasına sahip olur. Satır düzeyinde zorunlu müşteri kimliği içeren veritabanı kiracılığı; uygulama ve veritabanı düzeyinde çoklu müşteri desteği.

Yedekleme stratejisi

Günlük artımlı yedeklemeler, haftalık tam yedekleme, 30 günlük saklama süresi. Yedeklemeler şifrelenerek Almanya'daki ikinci bir Hetzner tesisinde depolanır. Geri yükleme prosedürleri düzenli olarak test edilir.

Üretim / Demo ayrımı

Üretim ve demo ortamları arasında kesin bir ayrım vardır. Demo verileri gerçek başvuru sahiplerine ait bilgileri içermez — tüm demo müşterileri açıkça bu şekilde işaretlenmiştir.

Kategori 02

Şifreleme.

Şifreleme hem aktarım sırasında hem de depolandığında gerçekleştirilir. Hassas başvuru verileri ayrıca uygulama düzeyinde şifrelenir; böylece, uygulama anahtarı olmadan veritabanına erişim sağlanmış olsa bile okunabilir kişisel veriler açığa çıkmaz.

Nakliye (transit)

Yalnızca TLS 1.3 kullanılır; TLS 1.2 veya daha eski sürümlerine geri dönüş yapılmaz. max-age=63072000 değerine sahip HSTS başlığı ve BSI asgari standartlarına uygun şifreleme takımları.

Bellek (bekleme durumunda)

Hetzner'in tamamen şifrelenmiş depolama birimleri üzerinden veri taşıyıcı düzeyinde AES-256-GCM. Anahtarlar, ayrı bir sunucuda barındırılan anahtar yönetim sistemi aracılığıyla sağlanır.

Uygulama Katmanı

Kritik alanlar (kızlık soyadı, ikamet izni, sosyal yardım verileri) uygulama düzeyinde ek olarak şifrelenir. Uygulama anahtarı olmadan, veritabanı yöneticileri bile yalnızca şifrelenmiş verileri görebilir.

Anahtar Yönetimi

Uygulama anahtarları için 90 günde bir anahtar rotasyonu, ana anahtarlar için yıllık rotasyon. Rotasyon, sürüm numaralı anahtarlar aracılığıyla kesintiye uğramadan gerçekleştirilir.

Kimlik doğrulama

Magic-Link üzerinden şifresiz oturum açma (HMAC-SHA256 ile imzalanmış jetonlar, 30 dakika geçerli) veya Google/Apple üzerinden OAuth. İsteğe bağlı: TOTP üzerinden iki faktörlü kimlik doğrulama. Kurumsal ortaklar için: SAML 2.0 / OIDC.

Kategori 03

Alt işlemciler.

civitas, belirli görevler için seçilmiş hizmet sağlayıcılarla çalışır. Tüm alt işleyiciler, GDPR’nin 28. maddesine uygun olarak hazırlanmış işleme sözleşmesi (AVV) ile sözleşme yoluyla GDPR’ye bağlıdır. Konum bilgileri şeffaf bir şekilde belgelenmiştir; mümkün olduğunca merkezi ve veri işleme faaliyetleri AB’de bulunan sağlayıcılar tercih edilmektedir.

Satıcı

Amaç

Konum

Bölge

Hetzner Online GmbH

Barındırma · Veritabanı · Yedekleme

Amaç: Sunucu altyapısı

Konum: Nürnberg ve Falkenstein

Almanya

Stripe Payments Europe Ltd.

Ödeme işlemleri

Amaç: Kart · SEPA · Sofort

Konum: Dublin (İrlanda)

Postmark (ActiveCampaign LLC)

İşlem e-postaları

Amaç: Magic-Link · Faturalar

Konum: AB Veri Merkezi (Frankfurt)

Sentry (Functional Software Inc.)

Hata telemetrisi

Amaç: Uygulama Hata Günlükleri

Konum: AB Bölgesi (Frankfurt)

Plausible Insights OÜ

Analitik

Amaç: Anonimleştirilmiş web istatistikleri

Konum: Tallinn (EE)

Cloudflare (CDN)

DDoS Koruması · CDN

Amaç: Statik Varlıklar · Koruma

Konum: AB Edge (Frankfurt)

AB-Edge / ABD-Merkez

Liste, değişiklikler yapıldığında güncellenir. Alt işleyiciler listesinde önemli değişiklikler olması durumunda, resmi makamlar ve kurumsal ortaklar bilgilendirilir. Tam bir alt işleyiciler kataloğu, AVV sözleşmesinin bir parçasıdır.

Kategori 04

Sipariş işleme.

civitas., kurumsal ortaklar (resmi kurumlar, hukuk büroları, danışmanlık merkezleri) için veri işlediğinde, bu işlemler yalnızca GDPR’nin 28. maddesine uygun bir veri işleme sözleşmesi temelinde gerçekleştirilir. Veri işleme sözleşmesi, lisans sözleşmesinin otomatik olarak bir parçası haline gelir ve standart bir şekilde sunulur.

Standart AVV

GDPR'nin 28. maddesine uygun, tipik veri işleme senaryolarını kapsayan standart bir AVV sunuyoruz. Bu belge, özel görüşmelerde resmi gerekliliklere göre uyarlanabilir.

Denetim ve kontrol hakları

Veri sahipleri, GDPR'nin 28. maddesinin 3. fıkrasının h bendi uyarınca denetim ve kontrol haklarını her zaman kullanabilirler — bu belgeleri temel alarak kendi kendilerine denetim yapabilir veya önceden mutabık kalınarak yerinde denetim gerçekleştirebilirler.

Talimatlara bağlılık

İşleme, yalnızca sorumlu kişinin yazılı talimatına göre gerçekleştirilir. Civitas tarafından yapılan işleme, yalnızca sözleşmede kararlaştırılan sınırlar dahilinde, örneğin hizmetin teknik olarak sağlanması amacıyla gerçekleştirilir.

Silme ve İade

Sözleşmenin sona ermesinden sonra kişisel veriler, veri sorumlusunun tercihine bağlı olarak tamamen silinir veya iade edilir. Standart süre: Sözleşmenin sona ermesinden 30 gün sonra; silme tutanağı ile belgelenir.

Alt işlemci değişimi

Alt işleyicilerin değiştirilmesi planlandığında, bu durum dört hafta önceden bildirilir. Müşteriler itiraz hakkına sahiptir; itirazın haklı bulunması halinde alternatif bir çözüm aranır veya sözleşme feshedilir.

AVV'yi indirin

Standart İş İşleme Sözleşmesi (PDF).

GDPR'nin 28. maddesine uygun standart Gizlilik Politikamız, veri koruma görevlileri ve hukuk departmanları tarafından ön inceleme amacıyla kamuya açıktır. Bu politika, özel görüşmelerde şirketinizin özel gereksinimlerine göre uyarlanabilir.

Durum: Nisan 2026Biçim: PDF · yaklaşık 12 sayfaKapsam: Standart müşteriler

AVV'yi indir Kişiye özel uyarlama

AVV, kurumsal müşteriler (resmi kurumlar, hukuk büroları, danışmanlık merkezleri) için tasarlanmıştır. Civitas. hizmetini bireysel olarak kullanan müşteriler için, Civitas. GDPR’nin 4. maddesinin 7. fıkrası uyarınca veri sorumlusudur — bu durumda Gizlilik Politikası geçerlidir, AVV geçerli değildir.

Kategori 05

Mağdurların hakları.

Başvuru sahipleri ve diğer tüm ilgili kişiler, GDPR'den doğan haklarını her zaman civitas. nezdinde kullanabilirler. Talepleri, GDPR'nin 12. maddesinin 3. fıkrası uyarınca bir aylık yasal süre içinde değerlendiririz.

Bilgi edinme hakkı

GDPR Madde 15

Hangi kişisel verileri işlediğimiz, hangi amaçlarla işlediğimiz ve bu verilerin hangi alıcılara aktarıldığına dair bilgiler.

Düzeltme hakkı

GDPR Madde 16

Yanlış veya eksik verilerin düzeltilmesi — hesap üzerinden kendiniz gerçekleştirebilir veya alternatif olarak veri koruma görevlimize talepte bulunabilirsiniz.

Silme hakkı

GDPR Madde 17

Verilerinizin tamamen silinmesi — yasal saklama süreleri (ör. muhasebe) buna engel olmadığı sürece. Hesapta "Ayarlar → Hesabı sil" seçeneğinden gerçekleştirilebilir.

Kısıtlama hakkı

GDPR Madde 18

Belirli durumlarda verilerinizin işlenmesini kısıtlamak — örneğin, verilerin doğruluğu konusunda bir ihtilaf olması durumunda veya bir hukuki ihtilaf süresince.

Veri taşınabilirliği

GDPR Madde 20

Başvuru ve hesap verilerinizi yapılandırılmış, yaygın ve makine tarafından okunabilir bir formatta dışa aktarın. Varsayılan olarak JSON veya PDF.

İtiraz hakkı

GDPR Madde 21

Verilerinizin işlenmesine itiraz — özellikle profil oluşturma veya doğrudan pazarlama faaliyetlerine. Hemen yürürlüğe girer.

Sorularınızı nereye iletebilirsiniz: datenschutz@einbuergerungsservice.de adresine e-posta yoluyla. İşlem süresi genellikle beş iş günüdür; GDPR uyarınca en uzun süre bir aydır. Şikayetleriniz için ayrıca yetkili denetim makamına başvurabilirsiniz — Civitas UG için bu makam, Kuzey Ren-Vestfalya Eyaleti Veri Koruma ve Bilgi Özgürlüğü Sorumlusu'dur.

Kategori 06

Olay Müdahalesi.

Güvenlik olayları, açıkça belgelenmiş bir süreç uyarınca ele alınır; bu süreçte tanımlanmış eskalasyon aşamaları, bildirim süreleri ve olay sonrası neden analizi yer alır. Kişisel verilerin korunmasına ilişkin bir ihlal durumunda, GDPR’nin 33. maddesi uyarınca denetim makamına 72 saat içinde bildirimde bulunulur.

Güvenlik olaylarında izlenecek prosedür.

Bir olayın tespitinden normal işleyişin yeniden sağlanmasına kadar standart bir süreç izliyoruz. İlgili taraflar ve etkilenen kişiler mümkün olan en kısa sürede, şeffaf ve anlaşılır bir şekilde bilgilendirilir.

≤ 1 saat

Tespit ve ilk sınıflandırma. Ciddiyet derecesini belirleme, sorumlulukları tahsis etme.

≤ 4 saat

Kontrol altına alma. Olayı izole etmek, daha fazla yayılmasını önlemek, etkilenen sistemleri güvence altına almak.

≤ 24 saat

Müşterilere bilgi verilmesi. İlgili resmi makamlar, hukuk büroları ve danışma merkezleri bilgilendirilir — henüz tam bilgi mevcut olmasa bile.

≤ 72 saat

GDPR'nin 33. maddesi uyarınca bildirim zorunluluğu bulunan olayların denetim makamına bildirilmesi.

≤ 7 gün

Olay Sonrası Değerlendirme ve Çıkarılan Dersler. Kapsamlı neden analizi, eylem planı ve işveren için şeffaf dokümantasyon.

Kategori 07

Uyum.

Dürüst bir durum değerlendirmesi: Bugün hangi standartlara uyuluyor, hangi sertifikasyon süreçleri devam ediyor ve 2026/2027 için hangileri planlanıyor. Bunu, "uyum gösterisi" yapmak yerine şeffaf bir şekilde aktarıyoruz.

Uyuldu

GDPR / BDSG

GDPR ve BDSG'nin tam olarak uygulanması — kendi veri işleme faaliyetlerinde veri sorumlusu olarak, kurumsal ortaklar için ise veri işleyen olarak.

Uyuldu

TLS / BSI Asgari Standartları

BSI TR-02102-2 standardına göre TLS yapılandırması. Tüm şifreleme takımları, "yüksek" güvenlik gereksinimi seviyeleri için federal tavsiyelere uygundur.

Uyuldu

RDG uyumluluğu

§ 2 RDG’nin sınırlarına sıkı sıkıya uyulmaktadır. civitas, yalnızca teknik usul yardımı sunmakta olup, münferit vakalarda hukuki danışmanlık hizmeti vermemektedir.

2026'nın 3. çeyreği planlanıyor

ISO/IEC 27001

Bilgi Güvenliği Yönetimi. 2026 yılının 3. çeyreği için sertifika hazırlığı — belirli kamu kurumlarının ihale duyuruları için geçerlidir.

2026'nın 4. çeyreği planlanıyor

BSI C5 Sertifikası

BSI'nin Bulut Bilişim Uyumluluk Kriterleri Kataloğu. Kamu yönetimi standardı — Hazırlık çalışmaları devam ediyor.

2027'de planlanıyor

EVB-IT Bulut Uyumluluğu

Kamu sektöründe BT alımlarına ilişkin sözleşme koşulları. Büyük ölçekli kamu ihalelerinde önem kazanır.

Sorumlu

Güvenlik ve Gizlilik.

Güvenlik bildirimleri, veri koruma talepleri, denetim talepleri veya mimarimizle ilgili özel sorularınız için. Güvenlik açıklarından şüphelenmeniz durumunda lütfen bize gizli bir şekilde bildirin — bildiriminizi 24 saat içinde aldığımızı teyit edeceğiz.

Gizlilik ve Güvenlik

civitas. · Gizlilik ve Güvenlik Ekibi

Gizlilik

datenschutz@einbuergerungsservice.de

Güvenlik bildirimleri

security@einbuergerungsservice.de

Tepki süresi

Hafta içi 24 saat içinde

Denetim Kurumu

LDI Kuzey Ren-Vestfalya