Kişisel Verilerin Korunması ve Bilgi Güvenliği Politikası

DOKÜMAN KODU: SEC-KVKK-401 | REVİZYON: V4.0.0 | UYUMLULUK: KVKK, GDPR, HIPAA, ISO 27001:2022

Madde 1 Veri İşleme Politikası ve Kapsam

İşbu aydınlatma metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK"), Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ve Uluslararası Sağlık Verisi Koruma Standartları (HIPAA) uyarınca, Volaresoft Media ("Clinos HQ" veya "Veri İşleyen") tarafından işletilen bulut tabanlı klinik yönetim sistemindeki veri işleme faaliyetlerini kapsar. Clinos HQ, "Privacy by Design (Tasarım Yoluyla Gizlilik)" ve "Zero-Trust (Sıfır Güven)" mimarisi üzerine inşa edilmiştir.

Madde 2 İşlenen Veri Kategorileri ve Teknik Koruma Altyapısı

Sistemimizde işlenen veriler aşağıdaki kategorilere ayrılmıştır ve her bir kategori için farklı güvenlik protokolleri uygulanır:

• 2.1. Kimlik ve Demografik Veriler: Hasta ve Kullanıcılara ait Ad-Soyad, TCKN, Doğum Tarihi. Bu veriler veritabanı seviyesinde anonimleştirme tekniklerine tabi tutulur.
• 2.2. İletişim ve CRM Verileri: Telefon, E-Posta adresleri. "Lead Hunter" modülü ve iletişim defterleri, PBKDF2-HMAC-SHA256 algoritmaları ile şifrelenir.
• 2.3. Özel Nitelikli Sağlık Verileri: Muayene notları, E-Reçete (ICD-10 Tanı Kodları), Dijital Onam Formları (Visio Sign) ve Tele-Tıp görüşme dökümleri. Bu veriler doğrudan hekim sorumluluğunda olup, Clinos HQ bu verileri "Zero-Knowledge (Sıfır Bilgi)" politikası gereği içerik analizi yapmaksızın barındırır.
• 2.4. Görsel ve Biyometrik Veriler: "Visio Gallery" modülüne yüklenen hasta öncesi/sonrası fotoğrafları. Tüm görseller sunucuya yüklenmeden önce konum (GPS) ve cihaz EXIF verilerinden arındırılır (Sanitization). Diskte AES-256 simetrik şifreleme ile durur.
• 2.5. Finansal İşlem Verileri: Kredi kartı tahsilatları, fatura bilgileri. Sistem PCI-DSS (Ödeme Kartı Sektörü Veri Güvenliği Standardı) seviyesinde şifreleme kullanır.

Madde 3 Siber Güvenlik Mimarisi ve İstihbarat

Kullanıcı ve hasta verilerinin güvenliği, askeri düzeydeki (Military-Grade) teknik tedbirler ile sağlanır:

• > Ağ Güvenliği (TLS 1.3 & HSTS): İstemci ile sunucu arasındaki tüm paket trafiği, MITM (Ortadaki Adam) saldırılarına karşı en güncel protokollerle kilitlenmiştir.
• > WebRTC (End-to-End Encryption): "Tele-Connect" modülünde gerçekleşen tüm canlı video ve ses görüşmeleri uçtan uca şifrelidir. Volaresoft personeli dahi bu yayınlara erişemez ve izleyemez.
• > SIEM ve Tehdit Algılama: Sistemde meydana gelen olağandışı trafik, SQL Injection veya Cross-Site Scripting (XSS) denemeleri, Web Application Firewall (WAF) tarafından saniyeler içinde engellenir ve saldırganın IP adresi süresiz yasaklanır.
• > Audit Logging (Denetim İzi): Sisteme kimin giriş yaptığı, hangi dosyayı indirdiği veya değiştirdiği, değiştirilemez (Immutable) log dosyalarına saniye saniye kaydedilir.

Madde 4 Veri Aktarımı ve Alt İşleyiciler (Sub-Processors)

Clinos HQ, verilerinizi Türkiye Cumhuriyeti sınırları içerisindeki (veya talep halinde Avrupa bölgesindeki) TIER-III sertifikalı veri merkezlerinde saklar. Verileriniz yurt dışına veya üçüncü taraf reklam/analiz firmalarına kesinlikle aktarılmaz. Sadece yedekleme (Disaster Recovery) amacıyla veriler şifreli paketler halinde coğrafi olarak farklı bölgelerdeki güvenli kasalara aktarılabilir.

Madde 5 Veri İmha Politikası ve Unutulma Hakkı

Bir klinik sözleşmesini sonlandırdığında veya hasta "Unutulma Hakkı"nı talep ettiğinde, sistemdeki veriler "Güvenli Silme (Crypto-Shredding)" metodu ile anahtarları yok edilerek fiziksel olarak geri getirilemez hale getirilir.