Avukatın verisi avukatın elinde kalır.

Veriler hem aktarımda hem disk üstünde şifreli.

Database (Neon Postgres, Frankfurt) AES-256 at-rest şifreleme kullanır. Tüm bağlantılar TLS 1.3 üzerinden. Yedekler şifreli object storage'da, sadece bizim service account erişimi var.

Kanıt: Postgres encryption-at-rest + Vercel/Neon SOC 2 Type II rapor

Verileriniz AI eğitiminde kullanılmaz. Hiçbir 3. tarafa açılmaz.

Dilekçe taslakları, müvekkil verileri, sözleşme metinleri AI sağlayıcılarımıza fine-tune veriseti olarak gönderilmez. Anlık API çağrılarında prompt+response zincirinin işlenmesi DPA sözleşmesiyle düzenlenir; provider'lar veriyi model eğitiminde kullanamaz.

Kanıt: Provider DPA + 'no training' bayrak ile gönderilen istekler

Google OAuth veya e-posta (parola/magic-link) ile giriş; TOTP 2FA desteği.

Hesaba Google OAuth ile tek tıkla veya e-posta adresiyle (bcrypt-hash'li parola ya da tek-kullanımlık magic-link) giriş yapılır. Oturum HMAC-SHA256 imzalı çerezde tutulur, parola düz metin saklanmaz. Ayarlar → Güvenlik'ten TOTP tabanlı iki faktörlü doğrulama (Google Authenticator/Authy) açılabilir.

Kanıt: Google OAuth 2.0 + bcrypt parola hash + HMAC-SHA256 oturum çerezi + TOTP (RFC 6238)

Her veri okuma/yazma kayıt altında, sahteciliğe kapalı.

Tüm tenant aksiyonları (dilekçe oluştur, sözleşme indir, müvekkil ekle, giriş, 2FA/parola değişimi) audit log'a SHA-256 zincir hash'iyle yazılır. Geriye dönük değişiklik tespit edilir. KVKK m.12 + Avukatlık Kanunu m.55 uyumlu.

Kanıt: AuditLog tablosu + chained prevHash

Verileriniz AB sınırları içinde kalır (Frankfurt) — KVKK uyumu için kritik.

Neon Postgres Frankfurt bölgesinde host edilir. Vercel deployments fra1 (Frankfurt) bölgesinde. Yedekler aynı bölgede şifreli kalır. KVKK m.9 yurtdışı aktarım kuralları kapsamında AB Yeterli Karar listesi içerisindeyiz.

Kanıt: Neon project region: aws-eu-central-1 + Vercel edge fra1

Aydınlatma metni + DSAR talep akışı + 72 saat ihlal bildirimi.

Tüm kayıt akışında KVKK m.10 aydınlatma onayı. m.11 veri sahibi hakları için DSAR talep formu /aydinlatma-metni sayfasında. VERBİS (tüzel kişilik tescili sonrası) ve 72 saat veri ihlali bildirimi prosedürü hazır.

Kanıt: Aydınlatma metni canlı, DSAR formu mevcut

Hiçbir pazarlamada 'sonuç vaadi' yok — denetlenebilir karşılaştırma.

Reklam yasağı + sonuç vaadi yasağı (Av.K m.55) yönünden tüm iletişim materyallerimiz denetimden geçer. Karşılaştırmalı iddialar (rakip fiyatlar, içtihat sayısı) kaynaklarıyla birlikte açıklanır.

Kanıt: Brand-leak + sonuç-vaadi otomatik denetim pipeline'ı

72 saat içinde size + Kişisel Verileri Koruma Kurulu'na bildirim.

Bir veri ihlali tespit ederse müşteriye + KVKK Kurul'a 72 saat içinde KVKK m.12/5 uyarınca bildirim yapılır. İhlal kapsamı, etkilenen veri tipi, alınan önlemler şeffafça açıklanır.