🛣️TitanNav
← Tüm yasal mevzuat

TitanNav — Alt-İşleyen (Subprocessor) Listesi

Metin kodu: LEGAL-24 Versiyon: 1.0 Yürürlük tarihi: [[LANSMAN TARİHİ]] Son güncelleme: 22 Nisan 2026 Uygulanabilir mevzuat: 6698 KVKK Madde 9 (yurt dışı aktarım), Madde 12 (güvenlik), GDPR Article 28 (subprocessor — referans)

Bu belge runtime'da company_info tablosundan render edilir. {{company.xxx}} ifadeleri admin panelden doldurulur.

Veri Sorumlusu: {{company.ticaret_unvani}}

Giriş

Bu belge, TitanNav hizmetinin ifa edilmesinde kullanılan tüm üçüncü taraf hizmet sağlayıcıların (alt-işleyenlerin) listesini sunar. Bu liste KVKK Madde 9 kapsamında yurt dışı aktarım şeffaflığı için ve DPA ekinde (LEGAL-19 Ek-D) referans olarak kullanılır.

Her alt-işleyen değişimi (ekleme/çıkarma) için Fleet/Enterprise müşterilere 30 gün önceden e-posta bildirimi yapılır.

🔴 İMZA/LANSMAN ÖNCESİ BLOKAJ (Dahili not — kullanıcıya gösterilmeden silinecek)

Bu metin bir TASLAKtır ve aşağıdaki ön koşullar karşılanmadan resmi olarak yürürlüğe girmemeli/imzalanmamalıdır:

  1. ToffeSoft Ltd. Şti. kimlik bilgileri (MERSİS, Vergi No, açık adres) MERSİS sorgusu ile doğrulanıp tüm [[XXXX]] / [[Kastamonu adresi]] alanlarına yerleştirilmeli — bkz. 29-MARKA-VE-DEVELOPER-ACCOUNT-YAPISI.md
  2. Avukat denetimi: En az 1 tam hukuk bürosu gözden geçirmesi tamamlanmalı — 00-INDEX.md üst uyarısı
  3. Fatih'in rol yapısı (contractor / danışman / ortak) netleşmeli — LEGAL-29 §4

Bu kutu uygulamaya gömülmeden önce tamamen silinmeli. Dahili sürüm kontrolü içindir.

1. Altyapı ve Hosting

1.1. Hetzner Online GmbH

  • Hizmet: Dedicated sunucu (VPS & dedicated)
  • Amaç: Tüm backend (API, veritabanı, worker)
  • Veri: Tüm kullanıcı verisi (şifrelenmiş at-rest)
  • Lokasyon: Almanya (Nuremberg/Falkenstein)
  • Yurt dışı: Evet — AB (yeterlilik kararı ✅)
  • Güvence: AB GDPR, ISO 27001 sertifikalı
  • Web: https://www.hetzner.com/
  • DPA: İmzalı (standart Hetzner DPA)

1.2. Cloudflare Inc.

  • Hizmet: CDN, DDoS koruma, DNS, WAF
  • Amaç: Statik varlıklar, edge cache, saldırı koruması
  • Veri: IP, user-agent, istek URL'leri (kaba log)
  • Lokasyon: Global edge, AB bölgesi öncelikli
  • Yurt dışı: Evet — çok bölgeli
  • Güvence: Data Localization Suite ile AB bölgesi zorunlu; ABD için SCC
  • Web: https://www.cloudflare.com/
  • DPA: İmzalı (Cloudflare DPA)

1.3. Backblaze B2 (off-site yedek)

  • Hizmet: Off-site yedek depolama
  • Amaç: DB yedek, uzun vadeli arşiv
  • Veri: Şifreli DB snapshot'ları (AES-256)
  • Lokasyon: Hollanda (EU) — AB bölgesi zorunlu seçilir
  • Yurt dışı: Hayır (AB içi yeterli koruma)
  • Güvence: SCC (alternatif ABD bölgesine geçildiği durumda)
  • Web: https://www.backblaze.com/
  • Not: Lansman itibarıyla haftalık pg_dump cron'u bu bucket'a yüklenir (RPO 24 saat). Hetzner Storage Box da eşdeğer alternatif olarak kullanılabilir.

2. Harita ve Navigasyon

2.1. HERE Technologies GmbH

  • Hizmet: Harita rendering, routing, geocoding, traffic, truck attributes
  • Amaç: Tüm navigasyon ve harita işlevi
  • Veri: Rota istekleri (kaynak-hedef koordinatları), kaba konum, araç sınıfı, truck profili
  • Lokasyon: Almanya (ana), AB + ABD mirror
  • Yurt dışı: Evet — AB (yeterlilik kararı ✅)
  • Güvence: AB GDPR, ISO 27001, SOC 2
  • Web: https://www.here.com/
  • DPA: HERE Platform Services Master Agreement

2.2. OpenStreetMap Foundation (mock/fallback)

  • Hizmet: Raster tile (OSM standard)
  • Amaç: SADECE development/mock ortamı
  • Veri: IP (her tile isteğinde)
  • Lokasyon: AB (UK + DE)
  • Yurt dışı: Evet — İngiltere + AB
  • Güvence: Açık veri (ODbL)
  • Web: https://www.openstreetmap.org/
  • Not: Production'da KULLANILMAZ (ops.prod_requires_real_providers=true ile garanti altında)

3. Ödeme ve Faturalama

3.1. iyzico Ödeme Hizmetleri A.Ş.

  • Hizmet: Kredi kartı + banka transferi ödeme gateway
  • Amaç: Türkiye içi premium abonelik
  • Veri: Kart tokenize, tutar, fatura bilgisi
  • Lokasyon: Türkiye
  • Yurt dışı: Hayır
  • Güvence: PCI DSS Level 1
  • Web: https://www.iyzico.com/
  • Not: Varsayılan Türkiye ödeme sağlayıcısı

3.2. Stripe Inc.

  • Hizmet: Uluslararası ödeme (USD/EUR)
  • Amaç: Türkiye dışı müşteri ödemeleri
  • Veri: Kart tokenize, tutar, fatura bilgisi
  • Lokasyon: ABD (İrlanda AB subsidiary)
  • Yurt dışı: Evet — ABD
  • Güvence: SCC + Stripe GDPR DPA
  • Web: https://stripe.com/
  • Not: v1.0'da sadece uluslararası; TR müşteriler iyzico

3.3. Apple Inc. (App Store IAP)

  • Hizmet: In-app purchase (iOS)
  • Amaç: iOS aylık/yıllık abonelik
  • Veri: Apple ID, satın alma kaydı
  • Lokasyon: İrlanda + ABD
  • Yurt dışı: Evet — SCC
  • Güvence: Apple DPA
  • Web: https://apple.com/

3.4. Google LLC (Play Billing)

  • Hizmet: In-app purchase (Android)
  • Amaç: Android aylık/yıllık abonelik
  • Veri: Google hesap, satın alma kaydı
  • Lokasyon: ABD
  • Yurt dışı: Evet — SCC
  • Güvence: Google DPA
  • Web: https://play.google.com/

4. İletişim ve Bildirim

4.1. Google LLC (Firebase Cloud Messaging)

  • Hizmet: Push bildirim (iOS + Android)
  • Amaç: Navigasyon bildirimleri, filo uyarıları, OTP
  • Veri: FCM device token, payload (içerik şifrelenmiş)
  • Lokasyon: ABD
  • Yurt dışı: Evet — SCC
  • Güvence: Firebase DPA
  • Web: https://firebase.google.com/

4.2. SendGrid (Twilio) — opsiyonel

  • Hizmet: Transactional e-posta (OTP, fatura, hoşgeldin)
  • Amaç: E-posta gönderimi
  • Veri: E-posta adresi, içerik
  • Lokasyon: ABD
  • Yurt dışı: Evet — SCC
  • Web: https://sendgrid.com/
  • Not: AWS SES alternatif

4.3. AWS SES (Amazon Simple Email Service) — default

  • Hizmet: Transactional e-posta
  • Amaç: Aynı
  • Veri: Aynı
  • Lokasyon: AB (Frankfurt/Dublin seçildi)
  • Yurt dışı: AB içi
  • Güvence: AWS GDPR DPA
  • Web: https://aws.amazon.com/ses/

4.4. Netgsm A.Ş.

  • Hizmet: SMS (OTP, acil durum bildirim)
  • Amaç: Telefon doğrulama, acil durum kişisi SMS
  • Veri: Telefon numarası, SMS içeriği
  • Lokasyon: Türkiye
  • Yurt dışı: Hayır
  • Web: https://www.netgsm.com.tr/

4.5. İYS (İleti Yönetim Sistemi) — TOBB

  • Hizmet: Ticari elektronik ileti izin yönetimi
  • Amaç: 6563 e-Ticaret K. Madde 6-7 uyumu
  • Veri: Alıcı (telefon/e-posta), rıza tarihi
  • Lokasyon: Türkiye
  • Yurt dışı: Hayır
  • Web: https://iys.org.tr/
  • Not: v1.0'da entegre edilmiştir; ilk kurulumda ticari e-posta/SMS kampanyası aktive edilmediği için IYS sorgu/yükleme akışı build-now-activate-later flag ile kapalı başlar (marketing.iys_enabled=false). İlk pazarlama kampanyası gönderimi öncesinde flag açılır ve her yeni rıza İYS'ye yüklenir; rıza geri çekimi İYS'ye eş zamanlı bildirilir.

5. Yapay Zeka ve Ses

5.1. Google LLC (Gemini API) — default

  • Hizmet: Voice assistant doğal dil anlama
  • Amaç: "Beni Ankara'ya götür" gibi sesli komut
  • Veri: Anonim ses metin transkripti
  • Lokasyon: ABD
  • Yurt dışı: Evet — SCC + açık rıza
  • Güvence: Gemini Data Usage Policy
  • Web: https://ai.google.dev/

5.2. Google Speech-to-Text (STT)

  • Hizmet: Ses → metin dönüşümü
  • Amaç: Voice assistant önişleme
  • Veri: Ham ses verisi (1 saate kadar)
  • Lokasyon: AB-Almanya (region seçimi zorunlu)
  • Yurt dışı: AB içi
  • Güvence: Google Cloud DPA, data residency EU
  • Web: https://cloud.google.com/speech-to-text

6. Reklam (Free plan)

6.1. Google LLC (AdMob)

  • Hizmet: Reklam gösterimi (Free plan)
  • Amaç: Gelir + Free tier ödemesi
  • Veri: Reklam ID (IDFA/AAID), kaba konum, cihaz bilgisi
  • Lokasyon: ABD
  • Yurt dışı: Evet — SCC + kullanıcı açık rıza (UMP)
  • Güvence: AdMob Publisher Terms + UMP
  • Web: https://admob.google.com/
  • Not: Detay: LEGAL-22

7. Analytics ve Hata İzleme

7.1. Google Firebase Analytics

  • Hizmet: Uygulama kullanım analitiği
  • Amaç: Özellik kullanım analiz, ürün iyileştirme
  • Veri: Olay adı, parametreler (PII yok), pseudo user_id
  • Lokasyon: ABD
  • Yurt dışı: Evet — SCC
  • Web: https://firebase.google.com/products/analytics

7.2. Sentry GmbH

  • Hizmet: Hata/crash izleme
  • Amaç: Backend ve mobil uygulama hatalarını yakalama
  • Veri: Stack trace, device info, user_id (pseudo)
  • Lokasyon: AB (Almanya bölgesi — region seçimi zorunlu)
  • Yurt dışı: AB içi
  • Güvence: Sentry GDPR DPA, EU data residency
  • Web: https://sentry.io/
  • Not: v1.0 lansmanından itibaren default ON (crash/hata izlenmesi olmadan production monitoring mümkün değil). Kullanıcı tarafında "Hata raporlama" flag'i Ayarlar > Gizlilik altında kapatılabilir.

8. Güvenlik ve Compliance

8.1. Let's Encrypt (ISRG)

  • Hizmet: SSL sertifikası
  • Amaç: HTTPS altyapısı
  • Veri: Domain adı
  • Lokasyon: ABD (ISRG)
  • Yurt dışı: Evet
  • Güvence: Açık CA
  • Web: https://letsencrypt.org/
  • Not: Sadece domain-validated, kişisel veri yok

9. Destek ve CRM

9.1. Intercom Inc. — Henüz entegre edilmedi

  • Hizmet: Canlı destek chat + e-posta ticket
  • Amaç: Kullanıcı destek iletişimi
  • Veri: Kullanıcı adı, e-posta, mesaj içerik
  • Lokasyon: ABD
  • Yurt dışı: Evet — SCC
  • Not: v1.0'da Intercom YOK; destek e-posta + issue tracker ile yürütülür

10. Değişiklikler

Bu liste canlı bir belgedir. Değişiklik olduğunda:

  • Ekleme: 30 gün önceden Fleet/Enterprise müşterilere e-posta bildirim + bu belgede versiyon artış
  • Çıkarma: Derhal güncellenir
  • Lokasyon değişikliği: 30 gün önceden bildirim

Müşteri itiraz yöntemi: kvkk@titannav.com adresine yazılı itiraz. Makul gerekçe ile sözleşme feshi hakkı (LEGAL-19 §4.3 & LEGAL-20 §11).

11. Kullanıcı hakları

KVKK Madde 9 kapsamında, her kullanıcı:

  • Verisinin hangi yurt dışı alıcılara gittiğini sorma hakkına sahiptir
  • Bu listedeki aktarımlara açık rıza vermiş olduğu hatırlatılır (kayıt sırasında onay)
  • Bu rızayı geri çekerse ilgili özellikler devre dışı bırakılır (örn. AdMob rızası geri çekilirse kişiselleştirilmiş reklam yerine bağlamsal reklam)

12. İletişim

Değişiklik tarihçesi

Sürüm Tarih Değişiklik
1.0 22 Nisan 2026 İlk sürüm