Varify neden ISO 27001 sertifikasına sahip değil - ve bu neden bir sorun değil
İçindekiler tablosu
Makalenin amacı
Bu belge, müşteriler veya potansiyel müşteriler Varify'ın neden ISO 27001 (veya eşdeğeri) sertifikasına sahip olmadığını sorduklarında Varify ekibine net, gerçeklere dayalı bir mantık çizgisi sağlar. Böyle bir sertifikasyonun neden orantısız olacağının mimari nedenlerini açıklar, Varify'ın gerçekte uyguladığı güvenlik önlemlerini açıklar ve satış, müşteri başarısı ve satın alma görüşmeleri için hazır metin modülleri sağlar.
Kısa cevap
Varify herhangi bir kişisel veri depolamaz veya işlemez. ISO 27001, özellikle hassas veya kişisel veriler olmak üzere bilgi varlıklarıyla ilgili riskleri yönetmek için tasarlanmıştır. Varify kasıtlı olarak bu tür verileri mimari olarak depolamaktan kaçındığından, ISO 27001 tarafından ele alınan riskler Varify için geçerli değildir. Bunun yerine Varify, gerçek risk profiline karşılık gelen orantılı, GDPR uyumlu önlemlere ve tasarıma göre gizlilik ilkelerine dayanır.
Varify'ın mimarisi veri risklerini nasıl ortadan kaldırıyor?
Varify, deney sunumunu sonuç ölçümünden ayırır. Bu merkezi mimari karar Varify'ın tüm veri konumunu belirler.
Varify ne yapar
- Bir web sitesinde görsel veya kod tabanlı değişiklikler uygulayan hafif bir JavaScript parçacığı (11,5 KB) sunar
- LocalStorage/sessionStorage aracılığıyla ziyaretçilere deneme varyantları atar (çerezler aracılığıyla değil)
- Müşterinin kendi analiz aracına (GA4, BigQuery, PostHog, Matomo vb.) deney katılım sinyalleri gönderir
Varify ne YAPMAZ
- Kişisel olarak tanımlanabilir bilgileri (PII) toplamaz, saklamaz veya işlemez
- Çerez ayarlamaz ve kalıcı tanımlayıcılar kullanmaz
- Kullanıcı profilleri oluşturmaz ve oturumlar arasında kişileri izlemez
- Kendi analiz veritabanını veya veri ambarını işletmiyor
- Dönüşüm verilerini, satış verilerini veya müşteri kayıtlarını almaz, saklamaz veya bunlara erişimi yoktur
Tüm izleme, ölçüm ve veri depolama işlemleri yalnızca müşterinin analiz ortamında gerçekleşir. Varify bu verileri hiçbir zaman görmez, dokunmaz veya depolamaz.
ISO 27001 Varify için neden orantısızdır?
ISO 27001, bir bilgi güvenliği yönetim sisteminin (ISMS) kurulması, uygulanması ve sürdürülmesi için bir çerçevedir. Özellikle kişisel veriler, finansal veriler, sağlık verileri veya fikri mülkiyet gibi hassas bilgileri depolayan, işleyen veya aktaran kuruluşlara yöneliktir.
ISO 27001'in temel kontrolleri aşağıdaki gibi riskleri ele alır:
- Saklanan verilere yetkisiz erişim
- Veri ihlalleri ve veri kaybı
- Güvensiz veri işleme hatları
- Hassas sistemlere erişim kontrollerinin yetersizliği
- Veriyle ilgili olaylar için yetersiz olay müdahalesi
Bu riskler, sağlayıcının korunmaya değer verilere sahip olduğunu varsayar. Bir sağlayıcının mimarisi hiçbir kişisel veri depolanmayacak veya işlenmeyecek şekilde tasarlanmışsa, ISO 27001'in güvence altına aldığı tehdit modeli temelde azalır.
Bu, hiçbir güvenlik önleminin alınmaması lehine bir argüman değil, gerçek riske uygun önlemlerin alınması lehine bir argümandır. GDPR'nin kendisi de bu ilkeyi „riskle orantılı” güvenlik önlemleri alınmasını gerektiren 32. Maddede ortaya koymaktadır.
Varify'ın gerçekte sahip olduğu şey
Varify, kişisel veri depolaması olmayan bir istemci tarafı dağıtım aracı olarak rolüne uygun güvenlik ve uyumluluk önlemlerini sürdürür.
Tasarım yoluyla GDPR uyumluluğu
- Çerezsiz mimari - özellikle Varify için çerez izni gerekmez
- Varify tarafından saklanan kişisel veri yok
- Deney katılımcıları için kişisel tanımlayıcılar yok
- Mimari ilkeler olarak tasarıma göre gizlilik ve varsayılan gizlilik
Sipariş işleme sözleşmesi (AVV)
- GDPR Madde 28 uyarınca eksiksiz DPA, tüm müşteriler için zorunludur
- Teknik ve organizasyonel önlemlerin (TOM'lar) GCU'ya ek olarak belgelendirilmesi
- Değişikliklerin önceden bildirildiği alt işlemci listesi
- Veri sahiplerinin haklarını desteklemek için tanımlanmış prosedür
- Sorumlu kişiye tanınan denetim hakları
Altyapı güvenliği (devralınan kontroller)
Varify'ın altyapısı, kendileri de kapsamlı sertifikalara sahip olan sağlayıcılarla çalışır:
| Sağlayıcı | Rol | Sertifikalar |
|---|---|---|
| AWS (Frankfurt, eu-central-1) | Barındırma, bilgi işlem, depolama | ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3, C5, PCI DSS |
| Cloudflare | CDN, DDoS koruması, uç dağıtım | ISO 27001, SOC 2 Tip II, PCI DSS |
Tüm veri işleme AB (Frankfurt) içinde gerçekleşir. Temel işlemler için hiçbir veri Avrupa Ekonomik Alanı dışına aktarılmaz.
Uygulama düzeyinde güvenlik
- Aktarımdaki tüm veriler için TLS şifreleme (HTTPS zorunlu)
- Varify platformu içinde rol tabanlı erişim kontrolü
- Güvenli yazılım geliştirme uygulamaları
- Bağımlılıkların ve güvenlik açıklarının düzenli olarak izlenmesi
- GCU'da belgelenmiş olay müdahale prosedürü
Uyumluluk durumu
- GDPR uyumlu (AB veri işleme, PII depolama yok, TOM'lu DPA)
- CCPA uyumlu
- HIPAA tarafından düzenlenen ortamlarla uyumludur (PHI işlenmez)
- İsviçre revDSG ile uyumlu (AB uyumlu barındırma)
Orantılılık argümanı
Orantılılık ilkesi hem GDPR'nin (Madde 32) hem de ISO 27001 standardının merkezinde yer almaktadır (Ek A kontrollerinin seçimi riske dayalıdır). Herhangi bir kişisel veri tutmayan bir sağlayıcıdan ISO 27001 talep etmek bir uyum uyuşmazlığı yaratır:
- Sertifika, mevcut olmayan riskleri kapsayacaktır. ISO 27001'in değeri bilgi varlıklarının korunmasında yatmaktadır. Kişisel veri varlıkları yoksa, sertifikasyon boş bir tehdit modelini ele alır.
- Veriler müşterinin analiz aracında saklanır. Müşterinin GA4, BigQuery veya Matomo örneği - Varify değil - deney sonuçlarını ve kullanıcı verilerini depolayan sistemdir. Güvenlik değerlendirmeleri bu sistemlere odaklanmalıdır.
- ISO 27001 güvenliğin garantisi değildir. Sertifikasyon, güvenlik açıklarının olmadığını değil, bir yönetim sisteminin varlığını teyit eder. ISO 27001'e sahip bir sağlayıcı yine de veri ihlallerinden etkilenebilir. Sertifikası olmayan bir sağlayıcı da güçlü ve uygun güvenlik önlemlerine sahip olabilir.
- Orantılı tedbirler daha dürüsttür. Varify, büyük ölçüde „uygulanamaz” kontrollerden oluşan bir sertifikasyon hedeflemek yerine, mimarisiyle gerçekten ilgili olan önlemlere yatırım yapıyor: güvenli teslimat altyapısı, AB barındırma, GDPR uyumlu sipariş işleme sözleşmeleri ve şeffaf alt işleyici yönetimi.
Karşılaştırma: ISO 27001'in mantıklı olduğu ve olmadığı yerler
| Senaryo | ISO 27001 uygun mu? | Neden |
|---|---|---|
| Müşteri veri depolama ile CRM sağlayıcısı | Evet | PII'yi büyük ölçekte depolar ve işler |
| Bulut depolama sağlayıcısı | Evet | Hassas belgeleri ve dosyaları saklar |
| Ödeme hizmeti sağlayıcısı | Evet | Finansal verileri işler |
| Kendi veri ambarına sahip analitik platformu | Evet | Davranışsal verileri, potansiyel olarak PII depolar |
| Veri depolama olmadan istemci tarafı A/B test aracı | Orantısız | Saklanan PII yok, veri ambarı yok, sadece teslimat rolü |
Sıkça sorulan sorular (SSS)
S: Varify gelecekte ISO 27001 için çaba gösterecek mi? C: Sertifikasyon planlamamızı düzenli olarak değerlendiriyoruz. Mimarimiz kişisel verileri depolayacak şekilde gelişirse sertifikasyon bir öncelik haline gelecektir. Mevcut mimarimiz için, gerçek risk profilimize karşılık gelen önlemlere odaklanıyoruz.
S: ISO 27001 olmadan güvenlik anketimizi doldurabilir misiniz? C: Evet. Satıcı güvenlik değerlendirmelerine düzenli olarak yanıt veriyoruz ve altyapımız, veri işleme ve uyumluluk kurulumumuz hakkında ayrıntılı bilgi sağlayabiliyoruz. ISO 27001 ile ilgili soruların birçoğu „uygulanamaz - kişisel veri depolanmıyor” şeklinde yanıtlanmakta veya altyapı sağlayıcılarımızın sertifikalarına atıfta bulunularak karşılanmaktadır.
S: Peki ya SOC 2? C: Aynı orantılılık argümanı geçerlidir. SOC 2 Tip II denetimleri, müşteri verilerini depolayan ve işleyen hizmet sağlayıcılar için tasarlanmıştır. Altyapı sağlayıcılarımız (AWS, Cloudflare) SOC 2 sertifikalarına sahiptir. Varify'ın kendi operasyonları için - hiçbir müşteri verisinin depolanmadığı - SOC 2, mevcut olmayan bir veri ortamını denetleyecektir.
S: İç politikamız istisnasız tüm sağlayıcılardan ISO 27001 talep ediyor. C: Bunu anlıyoruz. Uygulamada birçok kuruluş, kişisel verileri depolamayan sağlayıcılar için risk temelli muafiyetler uygulamaktadır. Varify'ın mimarisinin (veri depolama yok, AB barındırma, sertifikalı altyapı sağlayıcıları, TOM'larla tam AVV) böyle bir muafiyet için uygun olup olmadığını bilgi güvenliği ekibinizle görüşmenizi öneririz. Bu tartışmayı dokümantasyon ve teknik bir yol gösterme ile desteklemekten mutluluk duyarız.
Son Güncelleme Nisan 2026 Sorumlu: Varify Software GmbH