Alt İşleyici Tanımı
GDPR m.4/8 ve KVKK uyarınca alt işleyici (sub-processor), veri sorumlusu adına kişisel veri işleyen üçüncü taraf işleyicinin, görevinin bir bölümünü yerine getirmesi için devrettiği diğer bir işleyicidir. Alvest, veri sorumlusu olarak aşağıdaki alt işleyicilerle sözleşme imzalamış olup her biri ile Veri İşleme Sözleşmesi (DPA) ve gerektiğinde Standart Sözleşme Maddeleri (SCC) uygulanmaktadır.
Kişisel verilerinizi yalnızca hizmetin sunulabilmesi için gerekli minimum kapsamda bu alt işleyicilere aktarırız. Reklam, satış veya pazarlama amaçlı aktarım yapılmaz.
Güncel Alt İşleyici Listesi
Aşağıdaki tablo Alvest'in 24 Nisan 2026 itibarıyla aktif alt işleyicilerini gösterir. Tablo bu tarih itibarıyla ürün ihtiyacına göre güncellenir.
| Alt İşleyici | Amaç | Veri Kategorisi | Lokasyon | Güvenceler | Bağlantılar |
|---|---|---|---|---|---|
Supabase Inc. | Veritabanı ve kimlik doğrulama | Hesap bilgileri, portföy verileri, oturum | AB (Frankfurt) / ABD | DPA + SCC (2021/914) + SOC 2 Type 2 + ISO 27001 | siteDPA |
Paddle.com Market Ltd. | Ödeme işleme ve Merchant of Record | Ödeme bilgileri, fatura, VAT/KDV, müşteri e-postası | İrlanda / Birleşik Krallık | DPA + SCC + UK IDTA + PCI-DSS Level 1 | siteDPA |
Resend Inc. | İşlemsel e-posta teslimatı | E-posta adresi, alarm ve rapor içerikleri | ABD | DPA + SCC + TLS 1.2+ | siteDPA |
Vercel Inc. | Uygulama barındırma ve CDN | IP adresi (kısa süreli), istek logları | Küresel edge (Frankfurt / Dublin / ABD bölgeleri) | DPA + SCC + SOC 2 Type 2 + ISO 27001 | siteDPA |
Anthropic PBC | Alvest AI portföy analizi (isteğe bağlı özellik) | Anonim portföy özeti (kimlik bilgisi yok). Zero-retention. | ABD | DPA + SCC + Zero-data-retention endpoint | siteDPA |
Plausible Insights OÜ | Çerezsiz, anonim analitik | Sayfa görüntüleme, olaylar (kişisel veri içermez) | Estonya (AB) | AB içi işleme, kişisel veri toplanmaz | siteDPA |
Binance / BTCTurk / Paribu (vb.) | Kullanıcı isteği ile bakiye okuma (API üzerinden, istemci taraflı) | API anahtarı (yalnızca istemcide), bakiye verisi | Borsa bazlı | Salt okunur izin, TLS 1.2+, sunucuya aktarım yok |
Uluslararası Veri Aktarımı
AB / AEA dışı alt işleyicilere aktarım, GDPR Bölüm V kapsamında aşağıdaki güvencelerden biri ile gerçekleştirilir:
- AB Komisyonu yeterlilik kararı: Birleşik Krallık, Japonya, Yeni Zelanda, Kanada (ticari kuruluşlar) ve diğer yeterlilik verilmiş ülkeler için.
- Standart Sözleşme Maddeleri (SCC): AB Komisyonu Karar 2021/914 uyarınca yeterlilik kararı olmayan ülkeler (örn. ABD'ye aktarımlar) için.
- UK International Data Transfer Addendum (IDTA): UK GDPR kapsamında Birleşik Krallık'tan yapılan aktarımlar için.
- Teknik ve idari ek güvenceler: End-to-end şifreleme, erişim kontrolü, log denetimi, veri minimizasyonu.
Türkiye'den yurt dışı aktarımda KVKK Madde 9 çerçevesinde yukarıdaki güvenceler ek olarak KVKK Kurulunun yayımladığı yeterli koruma sağlayan ülke listesi ile uyumlu hale getirilir.
Yeni Alt İşleyici Bildirimi
Alvest yeni bir alt işleyici eklemeyi veya mevcut bir alt işleyicinin kapsamını önemli ölçüde değiştirmeyi planladığında:
- En az 30 gün önceden bu sayfa ve e-posta ile bildirim yapılır
- Kurumsal müşteriler değişikliğe 30 gün içinde yazılı olarak itiraz edebilir
- İtiraz halinde Alvest, alternatif bir alt işleyici veya sözleşmenin fesih koşullarını makul sürede değerlendirir
Bireysel kullanıcılar için bildirim yapılır; itiraz hakkı yoktur ancak hesabı kapatarak hizmetten çıkabilir.
Alt İşleyici Güvenliği ve Denetim
Alvest'in alt işleyici seçme ve denetleme süreci:
- Sözleşme imzalanmadan önce veri koruma değerlendirmesi (DPIA benzeri)
- Zorunlu DPA imzası (GDPR m.28/3 tüm unsurları kapsayan)
- SOC 2 / ISO 27001 gibi bağımsız sertifikaların incelenmesi
- Coğrafi lokasyon ve yasal rejim değerlendirmesi
- Veri minimizasyonu (alt işleyiciye yalnızca gerekli alanlar aktarılır)
- Yıllık denetim / belge yenileme
- Olay bildirim yükümlülüğü (24 saat içinde)
Alt İşleyicilere İlişkin Sorularınız
Alt işleyiciler hakkında sorularınız veya kurumsal itirazlarınız için privacy@alvest.app adresine yazınız. Yanıt süresi 5 iş günüdür.