İçeriğe atla
VARDİO
Ücretsiz Deneyin
KVKK Politikası ve Güvenlik Mimarisi

Verileriniz Cihazda Kalır.
Geri Kalan Her Şey AES-256 ile Şifrelenir.

VARDIO PDKS; biyometrik verilerin işletmenin dışına çıkmadığı, ad-soyad ve log kayıtlarının firma bazlı özel anahtarlarla şifrelendiği, telefon ve e-posta gibi gereksiz kişisel verileri toplamayan bir KVKK uyumlu personel devam kontrol sistemidir. Bu sayfa, sistemin teknik ve hukuki güvenlik mimarisini tek yerde, şeffafça açıklar.

%100 KVKK Uyumlu AES-256 Şifreleme Biyometrik Veri Cihazda Kalır Fransa & Türkiye Veri Hattı Veri Minimizasyonu

1. Güvenlik Felsefemiz

VARDIO, Samsun Teknopark Ar-Ge bünyesinde bir "veri minimizasyonu ve uçtan uca şifreleme" ilkesiyle tasarlandı. PDKS yazılımları; mahiyeti gereği şirketlerin en hassas verilerine — yani çalışanların kim olduğuna, ne zaman geldiğine, nerede olduğuna ve biyometrik özelliklerine — temas eder. Bu nedenle güvenliği eklenti olarak değil, mimarinin temel taşı olarak gördük.

Felsefemiz üç madde üzerine kuruludur: (1) Topla­ma­dı­ğı­mız ve­ri sı­zın­tı­ya uğ­ra­ya­maz; bu yüzden gereksiz hiçbir kişisel veriyi (telefon, e-posta gibi) almıyoruz. (2) Bi­yo­met­rik ve­ri bu­lu­ta çık­maz; tüm yüz/parmak izi şablonları yerel donanım üzerinde, çıkarılamayacak şekilde tutulur. (3) Ka­lan ne var­sa AES-256 ile fir­ma ba­zın­da şif­re­le­nir; veritabanına bir şekilde erişen kötü niyetli bir aktör dahi okuyamaz.

Bu üçlü, KVKK'nın "veri sorumlusunun yükümlülükleri" başlığıyla yalnızca uyumlu değil; aynı zamanda otorite olabilecek düzeyde örnek bir uygulamadır.

2. Biyometrik Veriler Cihazda Kalır

VARDIO ile entegre çalışan yüz tanıma ve parmak izi cihazlarında hiçbir biyometrik şablon, hiçbir koşulda bulut sunucularımıza gönderilmez. Donanım, biyometrik veriyi yerel olarak şablona dönüştürür (template), bu şablon cihazın güvenli alanında saklanır ve dış dünyaya yalnızca "kimlik No: 124, eşleşti, saat 08:02:14" gibi anonim doğrulama olayı çıkar. Yüzünüzün, parmak izinizin orijinal görüntüsü veya matematiksel imzası asla sunuculara aktarılmaz.

Bu yaklaşım, KVKK m. 6'da özel nitelikli kişisel veri olarak tanımlanan biyometrik verilerin işlenmesinde en sıkı yorumla bile risk doğurmaz; çünkü VARDIO bu veriyi işlemiyor, sadece geçti/geçemedi sonucunu dinliyor. Şirketinizin bu konuda KVKK'ya açık rıza beyanı toplaması, çoğu senaryoda dahi zorunlu olmaktan çıkar; bu hem hukuki yükünüzü azaltır hem de çalışan güvenini artırır.

Donanımınız bozulduğunda ya da işlemden çıkarıldığında, biyometrik veri donanım fabrika ayarlarına döndüğü an silinir. Bulutta zaten olmadığı için ekstra silme talebi gönderilmesine gerek yoktur. Bu mimari, "varsayılan olarak unutulma" (privacy by default) ilkesinin canlı bir örneğidir.

3. AES-256 ve Firma Bazlı Anahtar Mimarisi

Bulut tarafına gelen tüm hassas alanlar — ad-soyad, kimlik No, log kayıtları, lokasyon damgaları — AES-256 simetrik şifrelemesi ile şifrelenir. AES-256, dünya genelinde devletlerin "TOP SECRET" sınıflı veriler için kullandığı endüstri standardıdır.

VARDIO'nun farkı tek bir ana anahtar (master key) kullanmamasıdır. Her müşteri firma için, hesap oluşturulduğu anda kriptografik açıdan güvenli bir "Tenant Encryption Key (TEK)" üretilir ve bu anahtar HSM benzeri korumalı bir alanda tutulur. Yani Firma A'nın verilerini çözmek için Firma A'nın anahtarı; Firma B'nin verilerini çözmek için Firma B'nin anahtarı gerekir. Anahtarlardan biri ele geçirilse bile diğer firmaların verilerine kesinlikle erişilemez.

Anahtarlar düzenli aralıklarla rotasyona tabi tutulur. Yeni bir anahtar üretildiğinde, eski anahtarla şifrelenmiş veriler arka planda yeniden şifrelenir; bu işlem hizmet kesintisine yol açmaz. Tüm anahtar erişimleri tek yönlü değişmez bir denetim kaydı (audit log) olarak saklanır.

Bu mimari sayesinde, veri tabanı dump'ı kötü niyetle dışarı çıksa dahi okunabilir hiçbir kişisel veri içermez. Saldırgan, KVKK'nın kişisel veri saldırısı tanımına girmeyecek anlamsız bir bit topluluğu görür.

4. Veri Minimizasyonu: Telefon ve E-Posta Almıyoruz

Sektördeki PDKS çözümlerinin çoğu, gereksiz şekilde personelin telefon numarasını, e-posta adresini, T.C. kimlik numarasını ve hatta sosyal güvenlik bilgilerini toplar. VARDIO ise bilinçli bir tasarım kararı olarak bu bilgileri talep etmez. Bir personeli sisteme tanıtmak için ad-soyad ve dahili kimlik No yeterlidir. Yüz tanıma/parmak izi varsa biyometrik şablon cihazda oluşur.

Bu yaklaşım, KVKK'nın temel ilkelerinden "belirli, açık ve meşru amaçlar için işleme" ile "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkelerine doğrudan hizmet eder. PDKS'in amacı kimlik doğrulamak ve giriş-çıkış kaydetmektir; bunun için telefon numarasına ihtiyaç yoktur. Sistem mimarimiz bunu hatırlatma metniyle değil, teknik kısıtlama ile garanti eder: ilgili alanlar veri modelinde bulunmaz.

Bu mimarinin yan etkisi şudur: VARDIO bir telefon numarasını sızdıramaz, çünkü hiç toplamamıştır. Bir e-posta listesini başkasına satamaz, çünkü öyle bir liste yoktur. Bu, sadece bir reklam söylemi değil; veri tabanınızı incelediğinizde göreceğiniz bir gerçektir.

5. Java/Kotlin, MongoDB NoSQL ve Redis Failover Mimarisi

VARDIO'nun çekirdek servisleri Java ve Kotlin ile yazılmıştır. JVM ekosistemi; uzun süreli kararlılık, olgun güvenlik kütüphaneleri ve agresif statik analiz araçları sayesinde, yıllar içinde "endüstri standardı güven" hâline gelmiştir.

Veri katmanında MongoDB NoSQL kullanırız. PDKS verisi yapısı gereği yarı yapılandırılmıştır: bir personel için ay içinde değişen vardiya kuralları, izinler, tatil günleri, manuel düzeltmeler bulunur. MongoDB'nin döküman modeli, bu esnekliği klasik ilişkisel veri tabanlarındaki "n adet ek tablo" karmaşası olmadan sağlar. Üretim ortamı replica set + sharding yapılandırması ile yatay olarak ölçeklenir.

Önbellek ve oturum katmanında Redis kullanılır. Tek Redis kullanmıyoruz; Redis Sentinel tabanlı failover mimarisi ile birincil düğüm düştüğünde ikincil düğüm milisaniyeler içinde yetkiyi alır. Bu sayede, Türkiye'de en yoğun puantaj girişlerinin yapıldığı 07:30 - 09:00 aralığında dahi sistem yavaşlamaz.

Tüm bu bileşenler Docker ve Kubernetes üzerinde, kimlik doğrulamalı iç ağda çalışır. Servisler arası iletişim mTLS ile imzalanır; harici trafik yalnızca HTTPS/TLS 1.3 üzerinden kabul edilir.

6. Fransa - Türkiye Veri Hattı ve Yedeklilik

VARDIO'nun bulut altyapısı, Türkiye'deki birincil veri merkezimiz ile Fransa'daki ikincil bölge arasında düşük gecikmeli özel bir hat üzerinden senkronize çalışır. Bu mimari iki açıdan kritiktir:

Felaket Kurtarma (DR): Türkiye lokasyonunda yaşanabilecek bir doğal afet, fiber kesintisi veya elektrik krizi durumunda Fransa bölgesi 15 dakikadan kısa sürede (RTO < 15 dk, RPO < 60 sn) hizmeti devralır. PDKS, ücret hesaplamasının ana girdisi olduğu için bu süre kritik bir SLA değeridir.

Yasal Konum Kontrolü: KVKK ve GDPR çerçevesinde, müşteri sözleşmesi gereği veri çoğunlukla Türkiye'de tutulur. Fransa lokasyonu, yalnızca şifreli yedek (encrypted snapshot) taşır. Yani Fransa'daki sistemleri elinde tutan herhangi bir taraf, AES-256 anahtarı olmadan içeriği göremez. KVKK m. 9 anlamında "yurt dışına aktarım", AES-256 ile şifrelenmiş ve okunamaz hâle getirilmiş bir veri için anonimleştirilmiş veri muamelesi görür; ancak biz bunu yine de açıkça sözleşmemize ekleriz.

7. KVKK Aydınlatma Metni

6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") uyarınca, veri sorumlusu sıfatıyla VARDIO Tech (Samsun Teknopark No:19, Atakum/Samsun) tarafından kişisel verilerinizin işlenme amaçlarını, yöntemlerini ve haklarınızı sizleri bilgilendirmek üzere bu aydınlatma metnini hazırladık.

İşlenen Veri Kategorileri: Ad-soyad, çalıştığınız firma içindeki dahili personel No, giriş-çıkış log kayıtları, isteğe bağlı konum bilgisi (yalnızca mobil PDKS modülü açıkken). VARDIO; T.C. kimlik No, telefon, e-posta, banka bilgisi gibi verileri toplamaz.

İşleme Amacı: İşveren ile çalışan arasındaki iş ilişkisinin yürütülmesi, mesai ve puantaj hesaplamasının yapılması, fazla mesai/izin yönetimi ve KVKK ile İş Kanunu kapsamındaki yükümlülüklerin yerine getirilmesi.

Hukuki Sebep: KVKK m.5/2-(c) sözleşmenin ifası; m.5/2-(ç) veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi; m.5/2-(f) ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla meşru menfaat.

Veri Aktarımı: Kişisel verileriniz, yalnızca işveren firmanın yetkili kullanıcılarına yönetim paneli üzerinden gösterilir. Hiçbir üçüncü tarafa, hiçbir reklam ağına, hiçbir veri brokerına satılmaz veya paylaşılmaz.

8. KVKK Kapsamında Veri Sahibi Haklarınız

KVKK m.11 uyarınca, veri sahibi olarak aşağıdaki haklara sahipsiniz:

  • Kişisel verilerinizin işlenip işlenmediğini öğrenme,
  • İşlenmişse buna ilişkin bilgi talep etme,
  • İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde / yurt dışında aktarıldığı üçüncü kişileri bilme,
  • Eksik veya yanlış işlenmişse düzeltilmesini isteme,
  • KVKK m.7'de öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme,
  • Yapılan düzeltme, silme veya yok etme işlemlerinin üçüncü kişilere bildirilmesini isteme,
  • Otomatik sistemlerce analiz edilmesi sonucu aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
  • Kanuna aykırı işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.

Bu haklarınızı kullanmak için işverenize başvurabilir veya doğrudan VARDIO'ya [email protected] üzerinden yazılı talepte bulunabilirsiniz. Başvurularınız en geç 30 gün içinde ücretsiz olarak sonuçlandırılır.

9. Çerez (Cookie) Politikası

vardio.com.tr alan adı yalnızca zorunlu çerezler kullanır. Bu çerezler oturum tutma, dil seçimi ve güvenlik amaçlıdır. Reklam, pazarlama veya üçüncü taraf takip çerezi kullanılmaz. Tarayıcınızdan çerezleri silmeniz hâlinde, oturumunuz kapanır ancak siteye erişiminiz devam eder.

Panel uygulaması (panel.vardio.com.tr) tarafında ise oturum çerezi HttpOnly, Secure ve SameSite=Strict bayrakları ile gönderilir. Bu, XSS ve CSRF saldırılarına karşı katmanlı bir koruma sağlar.

10. İletişim ve Veri Sorumlusu

Veri Sorumlusu: VARDIO Tech
Adres: Samsun Teknopark No:19, Atakum / Samsun
E-Posta: [email protected]
WhatsApp: +90 533 320 64 15

Bu metin, yürürlükteki mevzuat ve teknik gelişmelere paralel olarak güncellenir. Son güncelleme: 20 Mayıs 2026.

Hâlâ Sorunuz Var mı?

KVKK uyum sürecinizde VARDIO'nun nasıl yardımcı olabileceği veya kurumunuza özel veri işleme akışı hakkında bilgi almak için bizimle iletişime geçin.

WhatsApp'tan Görüş Ücretsiz Hesap Aç