CarbonEmit, kurumsal müşterilerinin sürdürülebilirlik verilerini emanetle saklayan bir bulut platformudur. Bilgi güvenliği için **ISO/IEC 27001:2022** sertifikalı bir yönetim sistemi kullanırız; veri işleme süreçlerimiz **KVKK** ve **GDPR**'a uyumludur. Bu sayfa CarbonEmit'in güvenlik politikalarına genel bir görünüm sunar — ek belge ve denetim raporları talep üzerine paylaşılır.

CarbonEmit, üçüncü taraf akredite kuruluşlar tarafından düzenli denetlenen sertifikalar taşır.

CarbonEmit müşteri verilerini Avrupa Birliği bölgesindeki veri merkezlerinde (Microsoft Azure — EU West Hollanda ve EU North İrlanda bölgeleri) saklar. Türkiye merkezli kullanıcı verileri **KVKK Madde 9** uyarınca yurt dışına aktarımda gerekli açık rıza ve aktarım taahhütnamesi süreçleriyle yönetilir. AB veri kontrolcüsü müşteriler için tüm veri AB sınırları içinde tutulur.

Müşteri verileri hem aktarımda hem depolamada şifrelenir.

Asgari ayrıcalık (least privilege) prensibiyle çalışırız.

• Tüm yönetimsel erişim için zorunlu çok faktörlü kimlik doğrulama (MFA)
• Rol-bazlı erişim kontrolü (RBAC) — geliştirici, operasyon, destek ekipleri ayrı yetki seviyelerinde
• Üretim verisine geliştirici erişimi sadece olay müdahale (incident response) durumlarında, denetim kaydı tutularak
• Müşteri panelinde SSO (SAML 2.0 / OIDC) Profesyonel ve Kurumsal planlarda mevcut
• Tüm kimlik doğrulama olayları en az 1 yıl loglanır

Bir veri ihlali veya güvenlik olayı tespit edildiğinde **24 saat içinde** etkilenen müşterilere ve **72 saat içinde** ilgili otoritelere (KVKK için Kişisel Verileri Koruma Kurulu, GDPR için ilgili AB yetkili otoritesi) bildirim yaparız. Olay müdahale ekibimiz 7/24 nöbettedir.

CarbonEmit ürün veya altyapısında bir güvenlik açığı tespit ettiyseniz, lütfen aşağıdaki kanaldan bize ulaşın. Bildiriminizi 1 iş günü içinde yanıtlar, 90 gün içinde düzeltir ve onayınızla araştırmacılar listemizde size yer veririz.

CarbonEmit'in hizmet sağlamak için kullandığı üçüncü taraf hizmet sağlayıcıların güncel listesi. Yeni bir alt-işleyici eklendiğinde **30 gün önceden** Kurumsal plan müşterilerine bildirim yaparız.

Müşterilerimiz CarbonEmit ile veri işleme ilişkisini Standart Sözleşme Hükümleri (SCC) ve KVKK Veri İşleme Sözleşmesi şablonu üzerinden formal hâle getirebilir. DPA imzasız müşteri panelimiz **kullanıma açık değildir** — ancak DPA örnek metni talep üzerine sözleşme imzasından önce paylaşılır.

Müşteri panelinizden veya yazılı başvuruyla aşağıdaki haklarınızı kullanabilirsiniz:

• Verilerinize erişim ve indirme (data portability — JSON / CSV)
• Düzeltme, silme ve unutulma hakkı
• İşleme itirazı veya işlemenin kısıtlanması
• Otomatik karar verme süreçlerine itiraz
• Şikayet hakkı — KVKK için Kişisel Verileri Koruma Kurulu, GDPR için ilgili AB otoritesi

• Yıllık ISO/IEC 27001:2022 dış denetimi (akredite belgelendirme kuruluşu)
• Çeyreklik iç güvenlik denetimi ve yönetim gözden geçirme
• Yılda en az 1 kere bağımsız penetrasyon testi (web + API + bulut altyapı)
• Üretim ortamı için sürekli zafiyet taraması ve yamalama prosedürü
• Çalışan eğitimi: İşe başlangıçta + yılda 1 kez güncelleme; phishing simülasyonu çeyreklik

• Hedef Kurtarma Süresi (RTO): 4 saat
• Hedef Kurtarma Noktası (RPO): 1 saat (PITR ile dakika-bazlı yedek)
• Coğrafi olarak dağıtık yedekleme (AB içi 2 ayrı bölge)
• Yıllık iş sürekliliği tatbikatı + sonuçlarının yönetim raporu

CarbonEmit, müşteri verilerini hiçbir koşulda **kendi yapay zekâ modellerimizi eğitmek** için kullanmaz. Platform içinde kullanılan yapay zekâ asistanı (örn. emisyon kategorisi öneri motoru) müşterinin oturum verisi dışına taşmadan çalışır ve girdiler üçüncü taraf LLM sağlayıcılarıyla paylaşılırsa bu **anonim ve toplu (aggregated)** olur.