Restoran veri güvenliği: KVKK ve GDPR
Bir otel F&B müdürü ya da çok şubeli bir kafe sahibi yazılım alırken üç soruyu kısa kısa sorar: veri nerede duruyor, kim görebiliyor, sızıntı olursa ne olur. Bu rehber, MobiTaste’in mimari yanıtlarını teknik olarak açıklar: Frankfurt’taki AB sunucuları, Postgres satır düzeyi güvenlik, AES-256 şifreleme, ve Kişisel Verilerin Korunması Kanunu (6698 sayılı) ile GDPR’a göre nelerin söz konusu olduğu. Yasal metin değil, mekanik açıklama; sahip ya da IT yetkilisi karara varabilsin diye yazıldı.
Veri nerede duruyor
MobiTaste’in tüm prodüksiyon verisi Frankfurt’taki AB sunucularında durur. Cloud sağlayıcımız bölgesel olarak EU West’i kullanır; ABD’ye veya başka bir bölgeye veri aktarımı yoktur. Türkiye’de bir veri merkezi yoktur ama AB Veri Koruma Kararı (adequacy decision) çerçevesinde KVKK uyumu sağlanır.
Veri tabanı katmanında her şey AES-256 ile şifreli olarak saklanır (encryption at rest). Yedekler de aynı şekilde şifrelidir; 30 gün boyunca yedek tutulur, sonra silinir. Bir yedeği biri çalsa bile şifre anahtarı olmadan okuyamaz.
Uygulama ile veri tabanı arasındaki iletişim TLS 1.3 üzerinden şifrelidir. Misafirden gelen istek (QR menü) Cloudflare CDN üzerinden HTTPS olarak gelir; sertifika otomatik yenilenir.
Kiracılar arası ayrım: Satır düzeyi güvenlik
Çok kiracılı bir SaaS olduğumuz için (bir tek yazılım, yüzlerce restoran), kiracılar arası ayrım kritik konudur. Yöntemimiz: Postgres satır düzeyi güvenlik (RLS). Çok kiracılı kavramı ve satır düzeyi güvenlik sözlükte açıklanır.
Pratikte: panelin yaptığı her sorgu, uygulama katmanında değil veri tabanı katmanında restoran kimliğinizle filtrelenir. Yani biri uygulama kodumuzda bir bug bulup yanlış restoran ID’si göndermeye çalışsa bile, veri tabanı sızıntıya izin vermez. Çapraz kiracı okuma, sistem düzeyinde mümkün değildir.
Bu, sadece yazılım katmanında izolasyon yapan sistemlerden bir adım daha güçlüdür. Uygulama hata yapsa bile veri tabanı yanıtsız kalır.
Kim görebilir
Verinize üç grup erişebilir: restoranınızın kendi personeli (rolüne göre), MobiTaste destek ekibinden gizlilik sözleşmesi (NDA) altında çalışan birkaç kişi (sadece yazılı talebiniz üzerine, denetim kaydı tutarak), ve veri işleyicilerimiz olan Paddle (faturalama) ve Cloudflare (CDN).
Üçüncü taraf reklam izleyicisi yok. Misafir menüsünde Google Analytics, Meta Pixel, ya da başka bir izleyici yüklenmez. Sahibi olmadığınız ya da rıza vermediğiniz hiçbir taraf sizin ya da misafirinizin verisini görmez.
Personel rolleri katı sınırlarla çalışır. Mutfak rolü siparişi görür, fiyatı görmez. Garson rolü salon görünümünü görür, menü düzenleyemez. Sahip her şeyi görür. Bir personel ayrıldığında hesabı pasifleştirirsiniz; veri akışı o saniye kesilir.
Misafirden ne toplanır, ne toplanmaz
Varsayılan kullanımda misafirden hiçbir kişisel veri toplanmaz. Misafir QR’ı okutur, menüye düşer, sipariş verir. Adı, e-postası, telefonu, ödeme bilgisi sistemde tutulmaz. Sipariş ve masa tokeniyle ilişkilendirilir; misafirin kimliği değil, oturumu kaydedilir.
İsteğe bağlı “garson çağırma” özelliğini açarsanız, misafir telefonuna garsonun göreceği bir ad (örneğin “Pencere kenarı”) yazabilir. Bu tek kişisel alan. Sipariş tamamlandıktan sonra ad oturumla birlikte silinir; uzun süreli bir misafir veritabanı tutmuyoruz.
Kart bilgileri MobiTaste sunucularına hiç ulaşmaz. Misafir kasada kart terminalinden öder; terminal bankayla doğrudan konuşur. MobiTaste sadece “sipariş ödendi” bayrağını alır.
KVKK uyumu: Veri sorumlusu ve veri işleyen
KVKK (Kişisel Verilerin Korunması Kanunu, 6698 sayılı) kapsamında ilişki şöyle kurulur: restoran veri sorumlusudur (data controller), MobiTaste veri işleyendir (data processor). Yani veri kararını siz verirsiniz; biz teknik altyapıyı işletiriz.
Bu rol ayrımı pratikte şu anlama gelir: bir misafir KVKK kapsamında “verim ne tutuluyor” diye sorduğunda, soru size gelir, bize değil. Cevap için panele bakar, gerekirse bizden teknik destek alırsınız.
Aydınlatma metni şablonu sunuyoruz. Restoranınızın panel altındaki Yasal Belgeler sekmesinde, KVKK aydınlatma metni varsayılan TR şablonuyla gelir; düzenleyip kendi web sitenize ya da menünüze koyarsınız. Veri sorumlusuna başvuru rotası gizlilik sayfasında belgelenir.
Gizlilik politikası sayfası tam yasal metni içerir.
GDPR uyumu: Sözleşme dayanağı
EU’da kayıtlı bir restoran (Almanya’da bir Türk restoranı, örneğin) GDPR kapsamında çalışır. Bizim için yasal dayanak GDPR Madde 6(1)(b): “sözleşme ifası”. Yani veri işlemek için ayrı bir rıza ekranı göstermeniz gerekmez; restoran ve misafir arasındaki sipariş sözleşmesi yeterli dayanaktır.
Veri sahibi hakları (erişim, düzeltme, silme, taşıma) panel üzerinden ve 30 gün içinde işlenir. Misafir adı yazmamışsa zaten silinecek veri yok; yazmışsa oturum sonunda silinir.
Veri ihlali olduğunda GDPR Madde 33 uyarınca 72 saat içinde size haber veririz. Olay sonrası 14 gün içinde ayrıntılı bir rapor yayınlarız. Alt işleyici listemiz (Paddle, Cloudflare ve diğerleri) gizlilik sayfasında açık olarak listelenir.
Denetim kaydı: Hesabınızda kim ne yaptı
Hesabınızdaki her değişiklik (menü öğesi, fiyat, masa, personel, garson onayı, ayar) denetim kaydında zaman damgalı olarak tutulur. Kim yaptı, ne zaman yaptı, hangi cihazdan yaptı bilgisi kaydolur.
Çok personelli bir ekipte denetim kaydı vazgeçilmezdir. “Menüden falan öğeyi kim sildi” sorusu kayıtla yanıtlanır. Sahip, müdüre yetki verirken ne yaptığını görmek isteyebilir; denetim kaydı bu görünümü sağlar.
Saklama süreleri: Starter ve Growth paketinde 12 ay, Pro paketinde 36 ay, Enterprise’da süresiz. CSV olarak dışa aktarılır; denetçinize verirsiniz.
Sızıntı olursa: 72 saatte haber, 14 günde rapor
İhlal tespit edildiği anda olay müdahale ekibi çağrılır. Kapsam belirlenir: hangi veri etkilendi, hangi kiracılar etkilendi, kimlerin verisi sızdı. 72 saat içinde etkilenen restoranlara doğrudan e-posta ile haber veririz. Yasal yükümlülük olmasa bile bu süreyi koruruz.
Sonraki 14 gün içinde olayın nasıl gerçekleştiği, ne aldı, gelecekte nasıl engellenecek başlıklarını içeren bir post-mortem yayınlarız. Etkilenen restoranlara bireysel olarak da gönderilir.
İhlal sonrasında alınacak adımları, parolaları sıfırlama, anahtarları rotasyonu ve gözlem süresini destek ekibi sizinle birlikte planlar. Bu süreçte ek ücret talep edilmez.
Sözleşmedeki kelimeler: Üçüncü taraflarla paylaşım
Ne misafir ne de restoran verisini sattığımız taraf yoktur. Sözleşmedeki kelime “kişisel verileri satmıyoruz” değil; sahip olduğumuz veri akışı sözleşme ifası dışında bir amaca hizmet etmiyor.
Veri işleyicilerimiz (subprocessors) açık olarak listelenir: Paddle (faturalama, KDV), Cloudflare (CDN ve DDoS koruması), AWS bölgesel hosting. Her biri AB Veri Koruma Kararı uyumlu DPA imzalıdır.
İlk işleyici ekleme planlandığında en az 30 gün önceden duyururuz; itiraz etme hakkınız vardır. İtiraz ederseniz alternatif çözüm önerir, çözüm bulunamazsa aboneliği sonlandırma hakkını saklı tutarsınız.
İptal sonrası: Verilerinizin akıbeti
Aboneliği iptal ettiğinizde 30 gün boyunca menü, sipariş geçmişi ve denetim kaydını CSV olarak dışa aktarabilirsiniz. 31. günde üretim ortamından silinir. 60. günde yedeklerden de silinir. Bu süreçte iki onay e-postası alırsınız: silme öncesi ve sonrası.
Veri taşıma için yardım isterseniz destek ekibi ücret almadan CSV formatını ya da JSON dışa aktarmayı düzenleyebilir. Yedek format için kapsamlı dökümantasyon mevcuttur.
Kim kurdu, neyi tartıştık
MobiTaste’i kuran ekip, daha önce başka SaaS yazılımlarında veri sızıntılarını yakından gördü. Çok kiracılı bir sistem kurarken tek başına uygulama katmanı izolasyonuna güvenmediğimiz için baştan RLS ile başladık. Bu, hızlı geliştirme süresinde maliyetli; uzun vadede güveni sağlayan tek yol. Hakkımızda sayfası ekibi ve kararları kısaca anlatır.
KVKK ve GDPR konusunda hukuk danışmanı çalıştırıyoruz; ama bu rehber yasal tavsiye yerine geçmez. Hassas durumlar için kendi hukukçunuza danışın.