Alt İşverenler Listesi
1. Giriş
1.1. Amaç
Bu belge, Evaste'nin hizmetlerini sunmak için kullandığı üçüncü taraf alt işverenlerin (sub-processors) güncel listesini içermektedir.
GDPR Madde 28 ve KVKK kapsamında, veri işleyenin kullandığı alt işverenler hakkında müşterilerimizi bilgilendirmekle yükümlüyüz.
1.2. Alt İşveren Tanımı
Alt işveren, Evaste adına kişisel veri işleme faaliyetlerinin bir kısmını yürüten üçüncü taraf hizmet sağlayıcılarıdır.
1.3. Kapsam
Bu listede yer alan alt işverenler:
- Evaste platformunun altyapısını sağlar
- Veri depolama ve işleme hizmetleri sunar
- Müşteri desteği ve iletişim araçları sağlar
- Ödeme işleme hizmetleri sunar
- Analitik ve izleme hizmetleri sağlar
2. Alt İşveren Politikası
2.1. Seçim Kriterleri
Alt işverenler seçilirken aşağıdaki kriterler değerlendirilir:
(a) Güvenlik Sertifikasyonları
- ISO 27001
- SOC 2 Type II
- PCI DSS (ödeme sağlayıcıları için)
(b) Veri Koruma Uyumu
- GDPR uyumu
- KVKK uyumu
- Gizlilik politikaları
(c) Teknik Yetkinlik
- Hizmet güvenilirliği
- Performans standartları
- Ölçeklenebilirlik
2.2. Sözleşmesel Gereksinimler
Tüm alt işverenlerle:
- Veri İşleme Sözleşmesi (DPA) akdedilmiştir
- AB Standart Sözleşme Maddeleri (SCC) imzalanmıştır (gerekli durumlarda)
- Gizlilik ve güvenlik taahhütleri alınmıştır
2.3. Sürekli İzleme
Alt işverenler düzenli olarak:
- Güvenlik sertifikasyonları kontrol edilir
- Uyumluluk durumları değerlendirilir
- Performansları izlenir
3. Mevcut Alt İşverenler
Aşağıda Evaste'nin kullandığı alt işverenlerin özet tablosu yer almaktadır.
| Alt İşveren | Kategori | Lokasyon | Güvence |
|---|---|---|---|
| AWS | Bulut Altyapı | ABD, AB | DPF, SCC |
| Google Cloud | Bulut Altyapı | ABD, AB | DPF, SCC |
| Cloudflare | CDN, Güvenlik | ABD, Global | DPF, SCC |
| Stripe | Ödeme İşleme | ABD, İrlanda | DPF, SCC |
| Intercom | Müşteri Desteği | ABD, İrlanda | SCC |
| SendGrid | E-posta | ABD | DPF, SCC |
| Google Analytics | Analitik | ABD, AB | DPF, SCC |
| Sentry | Hata İzleme | ABD | SCC |
Güvence Açıklamaları:
- DPF: AB-ABD Veri Gizliliği Çerçevesi (Data Privacy Framework)
- SCC: AB Standart Sözleşme Maddeleri (Standard Contractual Clauses)
BULUT ALTYAPI HIZMETLERI
Amazon Web Services (AWS): Bulut altyapı, sunucu hosting, veri depolama. Tüm platform verileri sifreli olarak saklanır. ISO 27001, SOC 2 Type II, PCI DSS sertifikalı.
Google Cloud Platform (GCP): Yedek bulut altyapısı, veri işleme. ISO 27001, SOC 2 Type II sertifikalı.
CDN VE GÜVENLİK HİZMETLERİ
Cloudflare: CDN, DDoS koruması, SSL/TLS, güvenlik. IP adresleri, HTTP başlıkları, trafik verileri işlenir. ISO 27001, SOC 2 Type II sertifikalı.
ÖDEME İŞLEME HİZMETLERİ
Stripe: Ödeme işleme, faturalandırma. PCI DSS Level 1, SOC 2 Type II sertifikalı. Not: Kredi kartı numaraları Stripe tarafından işlenir ve Evaste sistemlerinde saklanmaz.
MÜŞTERİ DESTEĞİ VE İLETİŞİM
Intercom: Canlı destek, müşteri iletişimi, bilgi tabanı. Ad, e-posta, destek konuşmaları işlenir. SOC 2 Type II sertifikalı.
E-POSTA HIZMETLERI
SendGrid (Twilio): Transaksiyonel e-posta gönderimi. E-posta adresleri, e-posta içerikleri, teslim logları işlenir. SOC 2 Type II, ISO 27001 sertifikalı.
ANALİTİK VE İZLEME HİZMETLERİ
Google Analytics (Opsiyonel): Web analitik, kullanım istatistikleri. IP adresleri anonimleştirilir. ISO 27001, SOC 2 Type II sertifikalı.
HATA İZLEME VE MONITORING
Sentry: Hata izleme, uygulama performans izleme. Hata logları, stack trace'ler işlenir (kişisel veri minimal). SOC 2 Type II sertifikalı.
4. Veri Aktarım Güvenceleri
4.1. Avrupa Ekonomik Alanı (AEA) Dışına Aktarım
ABD'deki alt işverenlere veri aktarımı için aşağıdaki güvenceler uygulanmaktadır:
- AB-ABD Veri Gizliliği Çerçevesi (DPF): Birçok alt işverenimiz DPF sertifikasına sahiptir.
- Standart Sözleşme Maddeleri (SCC): AB Komisyonu tarafından onaylanan 2021 SCC'ler tüm alt işverenlerle imzalanmıştır.
- Ek Teknik Tedbirler: Veri şifreleme (aktarım ve depolama), Pseudonimleştirme (mümkün olduğunda), Erişim kontrolü ve izleme
4.2. Transfer Etki Değerlendirmesi (TIA)
Her alt işveren için transfer etki değerlendirmesi yapılmıştır:
- Hedef ülke mevzuatının değerlendirilmesi
- Hükümet erişim risklerinin analizi
- Ek güvencelerin yeterliliğinin değerlendirilmesi
TIA sonuçları talep üzerine paylaşılabilir.
4.3. Veri Lokalizasyonu Seçeneği
Kurumsal müşterilerimiz için:
- AB bölgesinde veri depolama seçeneği
- Türkiye'de veri depolama seçeneği (talep üzerine)
5. Değişiklik Bildirimi
5.1. Yeni Alt İşveren Ekleme
Yeni alt işveren eklenmeden önce:
- En az 30 (otuz) gün öncesinden e-posta bildirimi yapılır
- Güncel liste web sitesinde yayınlanır
- Veri İşleme Sözleşmesi (DPA) müşterilerine ayrıca bildirilir
5.2. Bildirim İçeriği
Yeni alt işveren bildirimi şunları içerir:
- Alt işveren adı ve lokasyonu
- İşleme amacı
- Islenecek veri türleri
- Uygulanan güvenceler
5.3. Liste Güncellemeleri
Bu liste düzenli olarak güncellenir. Güncellemeleri takip etmek için:
- E-posta aboneliği: subprocessors@evaste.co
- Web sayfasi: https://evaste.co/legal-center/sub-processors
- RSS feed: https://evaste.co/legal-center/sub-processors/feed
6. İtiraz Proseduru
6.1. İtiraz Hakkı
Veri İşleme Sözleşmesi (DPA) imzalamiş müşterilerimiz, yeni alt işveren kullanımına itiraz edebilir.
6.2. İtiraz Süreci
- İtiraz, bildirimden itibaren 15 (on beş) gün içinde yazılı olarak yapılmalıdır.
- İtiraz, makul ve somut gerekçeler içermelidir.
- İtiraz: dpa@evaste.co adresine gönderilmelidir.
6.3. İtiraz Değerlendirmesi
- Evaste, itirazı 10 (on) iş günü içinde değerlendirecektir.
- Müşteri ile iyi niyetli müzakereler yürütülecektir.
- Alternatif çözümler araştırılacaktır.
6.4. Çözüme Ulaşılamaması
Tarafların mutabık kalamaması halinde:
- Müşteri, DPA'yi feshetme hakkına sahiptir.
- Mevcut abonelik döneminin sonuna kadar hizmet devam eder.
- Veri iade/imha prosedurleri uygulanır.
7. İletişim Bilgileri
Alt işverenler hakkında sorularınız için:
Evaste (Group Taiga) Adres: Levent, Istanbul, Turkey
Genel Sorular: info@evaste.co Alt İşveren Bildirimleri: subprocessors@evaste.co Veri Koruma: dpa@evaste.co
Web: https://evaste.co/legal-center/sub-processors Telefon: +90 532 494 42 64
İşbu Alt İşverenler Listesi 12 Ocak 2026 tarihinde güncellenmiştir.
Bu liste, GDPR Madde 28/2 ve Veri İşleme Sözleşmemiz kapsamında müşterilerimize bildirim yükümlülüğünü yerine getirmek amacıyla yayınlanmaktadır.
Alt İşverenler Listesi
1. Giriş
1.1. Amaç
Bu belge, Evaste'nin hizmetlerini sunmak için kullandığı üçüncü taraf alt işverenlerin (sub-processors) güncel listesini içermektedir.
GDPR Madde 28 ve KVKK kapsamında, veri işleyenin kullandığı alt işverenler hakkında müşterilerimizi bilgilendirmekle yükümlüyüz.
1.2. Alt İşveren Tanımı
Alt işveren, Evaste adına kişisel veri işleme faaliyetlerinin bir kısmını yürüten üçüncü taraf hizmet sağlayıcılarıdır.
1.3. Kapsam
Bu listede yer alan alt işverenler:
- Evaste platformunun altyapısını sağlar
- Veri depolama ve işleme hizmetleri sunar
- Müşteri desteği ve iletişim araçları sağlar
- Ödeme işleme hizmetleri sunar
- Analitik ve izleme hizmetleri sağlar
2. Alt İşveren Politikası
2.1. Seçim Kriterleri
Alt işverenler seçilirken aşağıdaki kriterler değerlendirilir:
(a) Güvenlik Sertifikasyonları
- ISO 27001
- SOC 2 Type II
- PCI DSS (ödeme sağlayıcıları için)
(b) Veri Koruma Uyumu
- GDPR uyumu
- KVKK uyumu
- Gizlilik politikaları
(c) Teknik Yetkinlik
- Hizmet güvenilirliği
- Performans standartları
- Ölçeklenebilirlik
2.2. Sözleşmesel Gereksinimler
Tüm alt işverenlerle:
- Veri İşleme Sözleşmesi (DPA) akdedilmiştir
- AB Standart Sözleşme Maddeleri (SCC) imzalanmıştır (gerekli durumlarda)
- Gizlilik ve güvenlik taahhütleri alınmıştır
2.3. Sürekli İzleme
Alt işverenler düzenli olarak:
- Güvenlik sertifikasyonları kontrol edilir
- Uyumluluk durumları değerlendirilir
- Performansları izlenir
3. Mevcut Alt İşverenler
Aşağıda Evaste'nin kullandığı alt işverenlerin özet tablosu yer almaktadır.
| Alt İşveren | Kategori | Lokasyon | Güvence |
|---|---|---|---|
| AWS | Bulut Altyapı | ABD, AB | DPF, SCC |
| Google Cloud | Bulut Altyapı | ABD, AB | DPF, SCC |
| Cloudflare | CDN, Güvenlik | ABD, Global | DPF, SCC |
| Stripe | Ödeme İşleme | ABD, İrlanda | DPF, SCC |
| Intercom | Müşteri Desteği | ABD, İrlanda | SCC |
| SendGrid | E-posta | ABD | DPF, SCC |
| Google Analytics | Analitik | ABD, AB | DPF, SCC |
| Sentry | Hata İzleme | ABD | SCC |
Güvence Açıklamaları:
- DPF: AB-ABD Veri Gizliliği Çerçevesi (Data Privacy Framework)
- SCC: AB Standart Sözleşme Maddeleri (Standard Contractual Clauses)
BULUT ALTYAPI HIZMETLERI
Amazon Web Services (AWS): Bulut altyapı, sunucu hosting, veri depolama. Tüm platform verileri sifreli olarak saklanır. ISO 27001, SOC 2 Type II, PCI DSS sertifikalı.
Google Cloud Platform (GCP): Yedek bulut altyapısı, veri işleme. ISO 27001, SOC 2 Type II sertifikalı.
CDN VE GÜVENLİK HİZMETLERİ
Cloudflare: CDN, DDoS koruması, SSL/TLS, güvenlik. IP adresleri, HTTP başlıkları, trafik verileri işlenir. ISO 27001, SOC 2 Type II sertifikalı.
ÖDEME İŞLEME HİZMETLERİ
Stripe: Ödeme işleme, faturalandırma. PCI DSS Level 1, SOC 2 Type II sertifikalı. Not: Kredi kartı numaraları Stripe tarafından işlenir ve Evaste sistemlerinde saklanmaz.
MÜŞTERİ DESTEĞİ VE İLETİŞİM
Intercom: Canlı destek, müşteri iletişimi, bilgi tabanı. Ad, e-posta, destek konuşmaları işlenir. SOC 2 Type II sertifikalı.
E-POSTA HIZMETLERI
SendGrid (Twilio): Transaksiyonel e-posta gönderimi. E-posta adresleri, e-posta içerikleri, teslim logları işlenir. SOC 2 Type II, ISO 27001 sertifikalı.
ANALİTİK VE İZLEME HİZMETLERİ
Google Analytics (Opsiyonel): Web analitik, kullanım istatistikleri. IP adresleri anonimleştirilir. ISO 27001, SOC 2 Type II sertifikalı.
HATA İZLEME VE MONITORING
Sentry: Hata izleme, uygulama performans izleme. Hata logları, stack trace'ler işlenir (kişisel veri minimal). SOC 2 Type II sertifikalı.
4. Veri Aktarım Güvenceleri
4.1. Avrupa Ekonomik Alanı (AEA) Dışına Aktarım
ABD'deki alt işverenlere veri aktarımı için aşağıdaki güvenceler uygulanmaktadır:
- AB-ABD Veri Gizliliği Çerçevesi (DPF): Birçok alt işverenimiz DPF sertifikasına sahiptir.
- Standart Sözleşme Maddeleri (SCC): AB Komisyonu tarafından onaylanan 2021 SCC'ler tüm alt işverenlerle imzalanmıştır.
- Ek Teknik Tedbirler: Veri şifreleme (aktarım ve depolama), Pseudonimleştirme (mümkün olduğunda), Erişim kontrolü ve izleme
4.2. Transfer Etki Değerlendirmesi (TIA)
Her alt işveren için transfer etki değerlendirmesi yapılmıştır:
- Hedef ülke mevzuatının değerlendirilmesi
- Hükümet erişim risklerinin analizi
- Ek güvencelerin yeterliliğinin değerlendirilmesi
TIA sonuçları talep üzerine paylaşılabilir.
4.3. Veri Lokalizasyonu Seçeneği
Kurumsal müşterilerimiz için:
- AB bölgesinde veri depolama seçeneği
- Türkiye'de veri depolama seçeneği (talep üzerine)
5. Değişiklik Bildirimi
5.1. Yeni Alt İşveren Ekleme
Yeni alt işveren eklenmeden önce:
- En az 30 (otuz) gün öncesinden e-posta bildirimi yapılır
- Güncel liste web sitesinde yayınlanır
- Veri İşleme Sözleşmesi (DPA) müşterilerine ayrıca bildirilir
5.2. Bildirim İçeriği
Yeni alt işveren bildirimi şunları içerir:
- Alt işveren adı ve lokasyonu
- İşleme amacı
- Islenecek veri türleri
- Uygulanan güvenceler
5.3. Liste Güncellemeleri
Bu liste düzenli olarak güncellenir. Güncellemeleri takip etmek için:
- E-posta aboneliği: subprocessors@evaste.co
- Web sayfasi: https://evaste.co/legal-center/sub-processors
- RSS feed: https://evaste.co/legal-center/sub-processors/feed
6. İtiraz Proseduru
6.1. İtiraz Hakkı
Veri İşleme Sözleşmesi (DPA) imzalamiş müşterilerimiz, yeni alt işveren kullanımına itiraz edebilir.
6.2. İtiraz Süreci
- İtiraz, bildirimden itibaren 15 (on beş) gün içinde yazılı olarak yapılmalıdır.
- İtiraz, makul ve somut gerekçeler içermelidir.
- İtiraz: dpa@evaste.co adresine gönderilmelidir.
6.3. İtiraz Değerlendirmesi
- Evaste, itirazı 10 (on) iş günü içinde değerlendirecektir.
- Müşteri ile iyi niyetli müzakereler yürütülecektir.
- Alternatif çözümler araştırılacaktır.
6.4. Çözüme Ulaşılamaması
Tarafların mutabık kalamaması halinde:
- Müşteri, DPA'yi feshetme hakkına sahiptir.
- Mevcut abonelik döneminin sonuna kadar hizmet devam eder.
- Veri iade/imha prosedurleri uygulanır.
7. İletişim Bilgileri
Alt işverenler hakkında sorularınız için:
Evaste (Group Taiga) Adres: Levent, Istanbul, Turkey
Genel Sorular: info@evaste.co Alt İşveren Bildirimleri: subprocessors@evaste.co Veri Koruma: dpa@evaste.co
Web: https://evaste.co/legal-center/sub-processors Telefon: +90 532 494 42 64
İşbu Alt İşverenler Listesi 12 Ocak 2026 tarihinde güncellenmiştir.
Bu liste, GDPR Madde 28/2 ve Veri İşleme Sözleşmemiz kapsamında müşterilerimize bildirim yükümlülüğünü yerine getirmek amacıyla yayınlanmaktadır.