Data Processing Addendum
Contents
- Definitions
- Subject matter & duration
- Nature & purpose
- Data categories & subjects
- Documented instructions
- Confidentiality
- Security (Art. 32)
- Sub-processors
- Data subject requests
- Breach notification (72h)
- DPIA support
- International transfers & SCCs
- Audit rights
- Return & deletion
- Order of precedence & law
- Appendix E — Controller Authority Warranty
§1 Definitions
Capitalised terms not defined herein have the meaning given in the GDPR (Regulation (EU) 2016/679). "Customer Data" means personal data processed by Processor on Controller's behalf in connection with the AssurePort service. "Sub-processor" means any third party engaged by Processor to process Customer Data.
§2 Subject matter & duration
Subject matter: processing of Customer Data necessary for AssurePort to provide AI-powered penetration testing services to Controller.
Duration: the term of Controller's subscription, plus the retention periods set out in the Privacy Policy §4, plus any extension required by law.
§3 Nature & purpose
Processor will: ingest scan targets supplied by Controller; execute AI-driven scan agents in EU-region sandboxes; produce machine-readable scan reports; store the reports and supporting evidence under Controller's account; provide Controller and authorised users with access to the reports; send transactional emails about scan status. Processor will not use Customer Data for any other purpose, including model training, marketing, or onward analytics.
§4 Data categories & subjects
| Categories of data subjects | Categories of personal data |
|---|---|
| Controller's authorised users (admins, scan operators, viewers) | email, hashed credentials, IP (pseudonymised), 2FA secret (hashed), token consumption metrics |
| Individuals whose data appears incidentally in scan targets | identifiers visible in HTTP responses, error messages, or captured evidence (best-effort minimised; AssurePort is not a data-scraping tool) |
| Controller's billing contact | name, email, invoice address (via Polar.sh) |
No special-category data (Art. 9) or criminal-conviction data (Art. 10) is intentionally processed. If Controller's scans reveal such data incidentally, Processor will treat it as confidential under §6 and notify Controller without undue delay.
Account-level processing (added v1.23.77): in addition to the scan-target processing described above, Processor also processes the following categories of personal data about Controller's authorised users themselves during account creation. For these categories, Processor acts as controller (not processor) — they are described here for transparency and cross-referenced with the Privacy Policy §2.
| Category | Examples | Purpose | Legal basis |
|---|---|---|---|
| Signup profile | given name, surname, country, city, organisation (all optional) | account integrity, duplicate-account detection, contact for account-integrity matters | Art. 6(1)(f) legitimate interest (fraud and abuse prevention) |
| Network metadata | signup IP address, user-agent, Cloudflare CF-Ray, CF-IPCountry, accepted UI language | attribute liability-waiver acceptance to a verifiable session; operational-risk evidence | Art. 6(1)(f) legitimate interest; DORA Art. 21 operational-risk evidence |
| Acceptance records | liability-waiver text hash (SHA-256), version, language, accepted-at timestamp, referenced ToS version and sections (§19, §20) | legal evidence of informed consent to ToS §19 (Customer Representations) and §20 (Indemnification) | Art. 6(1)(c) legal obligation; Art. 17(3)(e) erasure exception (establishment, exercise or defence of legal claims) |
Retention of these account-level categories is governed by the Privacy Policy §4 (signup profile fields: 1 year from last sign-in; signup network metadata and liability-waiver acceptance: 7 years from sign-up).
§5 Documented instructions
Processor processes Customer Data only on Controller's documented instructions, including with regard to transfers to third countries (Art. 28(3)(a)). The Controller's instructions are: (a) the AssurePort Terms of Service; (b) configuration choices Controller makes in the dashboard (scan engine, target, intensity, schedule); (c) any specific written instruction from Controller, which Processor will honour unless prohibited by EU or Member State law.
§6 Confidentiality
Processor ensures that persons authorised to process Customer Data (employees, contractors) are bound by written confidentiality undertakings and receive data-protection training appropriate to their role (Art. 28(3)(b)). As of the effective date, all access to production systems is restricted to the sole proprietor; any future engagement of contractors will trigger an update to this clause and a 30-day prior notice per §8.
§7 Security (Art. 32)
Processor implements appropriate technical and organisational measures, including:
- Encryption in transit — TLS 1.3 enforced for all endpoints; HSTS preload submitted.
- Encryption at rest — Workers KV, R2, and D1 use AES-256 server-side encryption.
- Tenant isolation — sandbox runners are single-tenant per scan and destroyed at completion.
- Authentication — magic-link email plus optional TOTP 2FA; sessions are JWT with 14-day max age and revocable.
- Audit log — append-only, 90-day retention, covering sign-ins, scan events, settings changes.
- Rate limiting & abuse — Cloudflare WAF + custom token-bucket rate limits per tenant.
- Backup & recovery — daily incremental, 7-day retention, geo-restricted to EU regions.
- Vulnerability management — quarterly external dependency review; critical CVEs patched within 14 days of disclosure.
- Pseudonymisation — Cloudflare edge logs truncate IP and user-agent to the minimum needed for security telemetry.
- Restoration testing — backup restore verified at least semi-annually.
§8 Sub-processors
Controller provides general written authorisation for Processor to engage the sub-processors listed below. Processor will inform Controller of any intended changes (addition or replacement) with at least 30 days' written notice, giving Controller the opportunity to object. If Controller objects on reasonable data-protection grounds and Processor cannot accommodate, Controller may terminate the affected service without penalty.
| Provider | Purpose | Data plane |
|---|---|---|
| Cloudflare, Inc. (US-incorporated) | Edge compute, DNS, DDoS, Workers KV | EU data plane, SCCs (Module 3) |
| Anthropic, PBC (US) | AI inference for scan agents | SCCs (Module 3), zero-retention enterprise contract |
| Polar.sh (EU) | Merchant of Record, invoice issuance, VAT remittance, token economics processor | EU (Netherlands) |
| Resend (EU) | Transactional email dispatch | EU (Ireland) |
| Fly.io, Inc. (US) | Sandbox runners for scan execution | EU region (Frankfurt), SCCs |
§9 Data subject requests
Processor will, taking into account the nature of the processing, assist Controller by appropriate technical and organisational measures, insofar as possible, for the fulfilment of Controller's obligation to respond to requests for exercising the data subject's rights under Articles 12–22 GDPR. Where a data subject contacts Processor directly, Processor will redirect them to Controller without undue delay (and inform Controller).
§10 Breach notification (72h)
Processor will notify Controller of a personal data breach without undue delay and in any event within 72 hours of becoming aware of it (Art. 33(2)). Notification will describe: (a) the nature of the breach, including the categories and approximate number of affected data subjects and records; (b) the contact point for further information; (c) the likely consequences; (d) the measures taken or proposed to address the breach and mitigate adverse effects.
§11 DPIA support
Processor will provide reasonable assistance to Controller for Data Protection Impact Assessments (Art. 35) and prior consultations with supervisory authorities (Art. 36), taking into account the nature of processing and the information available to Processor.
§12 International transfers & SCCs
Customer Data is stored in EU regions. Where transfer to a third country is necessary (Anthropic, Cloudflare, Fly.io control planes incorporated in the United States), the parties agree that the Standard Contractual Clauses contained in Commission Implementing Decision (EU) 2021/914 of 4 June 2021 (Module 3: processor-to-processor) are hereby incorporated into this DPA by reference and shall apply to such transfers. Processor maintains a Transfer Impact Assessment on file and provides it on written request.
§13 Audit rights
Controller has the right to audit Processor's compliance with this DPA. Controller may exercise this right once per twelve-month period, or more frequently in the event of a notified breach. Audits are conducted on at least 30 days' written notice, during normal business hours, and may not unreasonably interfere with Processor's operations. Processor may satisfy the audit obligation by providing reasonably-equivalent third-party attestations (SOC 2 Type II report when available — readiness work in progress, target end of 2026), or ISO/IEC 27001 certification once obtained.
§14 Return & deletion
On termination of the services, Processor will, at Controller's choice, return or delete all Customer Data within 30 days, save where storage is required by EU or Member State law (e.g. invoice retention). Backups are deleted on rotation within their retention period; until rotation Processor will not actively process the backed-up data.
§15 Order of precedence & governing law
In the event of any conflict between this DPA, the Terms of Service, and the Standard Contractual Clauses, the order of precedence is: (1) SCCs (for transfer-related questions); (2) this DPA; (3) the Terms of Service. This DPA is governed by the laws of Türkiye, without prejudice to mandatory data-protection laws of the data subject's residence.
§E Appendix E — Controller Authority Warranty
Customer warrants that, for each target scanned via the Service, Customer either:
- (a) is the data controller of all personal data processed in connection with the target (within the meaning of Article 4(7) GDPR); or
- (b) has obtained explicit, documentable written authorisation from the data controller of that target to commission AssurePort to perform the scan and to process any personal data incidentally collected.
Processor role. AssurePort acts solely as data processor (Article 4(8) GDPR) for any personal data incidentally collected during scanning — for example, email addresses appearing on contact pages, employee names embedded in HTML, identifiers exposed in error messages, or session cookies captured for vulnerability evidence. AssurePort does not determine the purposes and means of processing such data beyond the scanning service requested by Customer.
Liability allocation. AssurePort shall not be liable for Customer's failure to obtain controller authorisation under (b) above. Any regulatory enforcement, supervisory-authority order, civil claim, or compensation claim brought against AssurePort that arises from Customer's lack of controller authority is subject to the indemnification provisions of §20 of the Terms of Service, except where mandatory consumer-protection law limits such indemnification.
Retention of incidentally collected personal data. Personal data incidentally collected during a scan is retained as follows: audit logs containing access metadata are retained for 90 days for forensic and dispute-resolution purposes; scan results containing the incidentally collected personal data are retained for 30 days in the Customer's account, then auto-purged from primary storage; backup copies expire on rotation within 7 days of primary purge per §7 (Security). After expiry, AssurePort holds no further copies. Customer may request earlier deletion by submitting a Data Subject Request via the dashboard, in which case affected scan results are purged within 5 business days.
Special-category data. Where a scan incidentally reveals data referenced in Article 9 GDPR (e.g., health information leaked in an exposed file) or Article 10 GDPR (criminal-conviction data), AssurePort will treat the data with the heightened confidentiality protections of §6 and notify Customer within 24 hours so Customer can fulfil any data-subject rights or supervisory-authority obligations.
Verification. AssurePort reserves the right to request reasonable evidence of Customer's controller authority for any target if (i) AssurePort receives a complaint from a third party identifying the target, or (ii) a regulatory authority makes a written request. Customer shall provide evidence within 14 days of such request; failure may result in suspension of the affected scans pending verification.
Effective application of this Appendix E. This Appendix E was added effective 24 May 2026 to clarify the controller/processor split for scans dispatched without prior Domain Control Verification ("Quick Scan" mode) under AssurePort version 1.20.0 and later. For scans dispatched with DCV completed, Appendix E applies cumulatively with §5 (Documented instructions).
İçindekiler
- Tanımlar
- Konu ve süre
- Nitelik ve amaç
- Veri kategorileri ve sahipleri
- Belgelendirilmiş talimatlar
- Gizlilik
- Güvenlik (Md. 32)
- Alt işleyiciler
- Veri sahibi talepleri
- İhlal bildirimi (72 saat)
- DPIA desteği
- Uluslararası aktarımlar ve SCC
- Denetim hakları
- İade ve silme
- Öncelik sırası ve uygulanacak hukuk
- Ek E — Veri Sorumlusu Yetki Tekeffülü
§1 Tanımlar
Burada tanımlanmayan büyük harfle yazılmış terimler, GDPR'da (Tüzük (AB) 2016/679) verilen anlamı taşır. "Müşteri Verisi", AssurePort hizmeti çerçevesinde Veri Sorumlusu adına Veri İşleyen tarafından işlenen kişisel veriyi ifade eder. "Alt işleyici", Müşteri Verisini işlemek üzere Veri İşleyen tarafından görevlendirilen herhangi bir üçüncü tarafı ifade eder.
§2 Konu ve süre
Konu: AssurePort'un Veri Sorumlusuna AI tabanlı penetrasyon testi hizmetleri sunması için zorunlu Müşteri Verisi işleme faaliyeti.
Süre: Veri Sorumlusunun abonelik süresi, Gizlilik Politikası §4'te belirtilen saklama süreleri ve hukuken gereken uzatmalar dahil.
§3 Nitelik ve amaç
Veri İşleyen: Veri Sorumlusunun sağladığı tarama hedeflerini alır; AB bölgesindeki sandbox'larda AI tabanlı tarama ajanlarını yürütür; makine tarafından okunabilir tarama raporları üretir; raporları ve destekleyici kanıtları Veri Sorumlusunun hesabı altında saklar; Veri Sorumlusu ve yetkili kullanıcılara raporlara erişim sağlar; tarama durumu hakkında işlemsel e-postalar gönderir. Veri İşleyen, Müşteri Verisini model eğitimi, pazarlama veya başka analitik amaçlar da dahil olmak üzere başka herhangi bir amaçla kullanmaz.
§4 Veri kategorileri ve sahipleri
| Veri sahibi kategorileri | Kişisel veri kategorileri |
|---|---|
| Veri Sorumlusunun yetkili kullanıcıları (yöneticiler, tarama operatörleri, izleyiciler) | e-posta, hashlenmiş kimlik bilgileri, IP (takma adlandırılmış), 2FA gizli anahtarı (hashlenmiş), token tüketim metrikleri |
| Tarama hedeflerinde tesadüfen verisi görünen kişiler | HTTP yanıtlarında, hata mesajlarında veya yakalanan kanıtlarda görünen kimlikler (azami özen gösterilerek asgariye indirilir; AssurePort bir veri toplama aracı değildir) |
| Veri Sorumlusunun faturalama irtibat kişisi | ad, e-posta, fatura adresi (Polar.sh aracılığıyla) |
Özel kategoride veri (Md. 9) veya ceza mahkumiyeti verisi (Md. 10) bilerek işlenmez. Veri Sorumlusunun taramaları tesadüfen böyle veri ortaya çıkarırsa, Veri İşleyen bunu §6 kapsamında gizli muamele eder ve gecikmesiz olarak Veri Sorumlusunu bilgilendirir.
Hesap düzeyinde işleme (v1.23.77 ile eklendi): yukarıda açıklanan tarama hedefi işlemesine ek olarak, Veri İşleyen hesap oluşturma sırasında Veri Sorumlusunun yetkili kullanıcıları hakkında aşağıdaki kişisel veri kategorilerini de işler. Bu kategoriler için Veri İşleyen, veri işleyen olarak değil veri sorumlusu sıfatıyla hareket eder — burada şeffaflık amacıyla açıklanmış ve Gizlilik Politikası §2 ile çapraz referans verilmiştir.
| Kategori | Örnekler | Amaç | Hukuki dayanak |
|---|---|---|---|
| Kayıt profili | ad, soyad, ülke, şehir, kurum (tümü opsiyonel) | hesap bütünlüğü, yinelenen hesap tespiti, hesap bütünlüğü konularında iletişim | Md. 6(1)(f) meşru menfaat (dolandırıcılık ve kötüye kullanım önleme) |
| Ağ meta verisi | kayıt IP adresi, user-agent, Cloudflare CF-Ray, CF-IPCountry, kabul edilen arayüz dili | sorumluluk feragatnamesi kabulünü doğrulanabilir bir oturuma bağlamak; operasyonel risk delili | Md. 6(1)(f) meşru menfaat; DORA Md. 21 operasyonel risk delili |
| Kabul kayıtları | sorumluluk feragatnamesi metin hash'i (SHA-256), sürüm, dil, kabul zaman damgası, atıfta bulunulan ToS sürümü ve maddeleri (§19, §20) | ToS §19 (Müşteri Beyan ve Tekeffülleri) ve §20 (Tazminat) maddelerine bilgilendirilmiş kabulün hukuki delili | Md. 6(1)(c) yasal yükümlülük; Md. 17(3)(e) silme istisnası (hukuki taleplerin tesisi, kullanılması veya savunulması) |
Bu hesap düzeyindeki kategorilerin saklanması Gizlilik Politikası §4 ile yönetilir (kayıt profili alanları: son girişten itibaren 1 yıl; kayıt ağ meta verisi ve sorumluluk feragatnamesi kabulü: kayıttan itibaren 7 yıl).
§5 Belgelendirilmiş talimatlar
Veri İşleyen, Müşteri Verisini yalnızca Veri Sorumlusunun belgelendirilmiş talimatlarına göre işler; üçüncü ülkelere aktarımlar dahil (Md. 28(3)(a)). Veri Sorumlusunun talimatları şunlardır: (a) AssurePort Hizmet Koşulları; (b) Veri Sorumlusunun kontrol panelinde yaptığı yapılandırma seçimleri (tarama motoru, hedef, yoğunluk, zamanlama); (c) Veri Sorumlusunun yazılı talimatları (AB veya Üye Devlet hukukunca yasaklanmadıkça Veri İşleyen tarafından yerine getirilir).
§6 Gizlilik
Veri İşleyen, Müşteri Verisini işlemeye yetkilendirilen kişilerin (çalışanlar, yükleniciler) yazılı gizlilik taahhütleriyle bağlı olduğunu ve rollerine uygun veri koruma eğitimini aldığını garanti eder (Md. 28(3)(b)). Yürürlük tarihinde, üretim sistemlerine tüm erişim şahıs şirketi sahibiyle sınırlıdır; yüklenicilerin gelecekte görevlendirilmesi bu maddenin güncellenmesini ve §8 uyarınca 30 günlük ön bildirimi tetikleyecektir.
§7 Güvenlik (Md. 32)
Veri İşleyen, aşağıdakiler dahil uygun teknik ve organizasyonel önlemleri uygular:
- İletim sırasında şifreleme — tüm uç noktalar için TLS 1.3 zorunlu; HSTS preload sunuldu.
- Depolama sırasında şifreleme — Workers KV, R2 ve D1 AES-256 sunucu tarafı şifreleme kullanır.
- Kiracı izolasyonu — sandbox runner'lar tarama başına tek kiracılıdır ve tamamlandığında imha edilir.
- Kimlik doğrulama — opsiyonel TOTP 2FA ile magic-link e-posta; oturumlar 14 günlük maks. süreyle JWT ve geri alınabilir.
- Denetim günlüğü — sadece eklenebilir, 90 günlük saklama, girişleri, tarama olaylarını, ayar değişikliklerini kapsar.
- Oran sınırlama ve kötüye kullanım — Cloudflare WAF + kiracı başına özel token-bucket oran sınırları.
- Yedekleme ve kurtarma — günlük artımlı, 7 günlük saklama, AB bölgeleriyle coğrafi kısıtlı.
- Güvenlik açığı yönetimi — üç ayda bir dış bağımlılık incelemesi; kritik CVE'ler açıklandıktan sonra 14 gün içinde yamanır.
- Takma adlandırma — Cloudflare edge logları IP ve user-agent'ı güvenlik telemetrisi için gereken asgari düzeye kırpar.
- Geri yükleme testi — yedek geri yükleme en az yarıyılda bir doğrulanır.
§8 Alt işleyiciler
Veri Sorumlusu, Veri İşleyene aşağıda listelenen alt işleyicileri görevlendirmek için genel yazılı yetki verir. Veri İşleyen, herhangi bir değişikliği (ekleme veya değiştirme) en az 30 gün önceden yazılı bildirimle Veri Sorumlusuna bildirecek ve itiraz fırsatı tanıyacaktır. Veri Sorumlusunun makul veri koruma gerekçeleriyle itiraz etmesi ve Veri İşleyenin gereksinimleri karşılayamaması halinde, Veri Sorumlusu etkilenen hizmeti cezasız feshedebilir.
| Sağlayıcı | Amaç | Veri düzlemi |
|---|---|---|
| Cloudflare, Inc. (ABD'de tescilli) | Edge compute, DNS, DDoS, Workers KV | AB veri düzlemi, SCC (Modül 3) |
| Anthropic, PBC (ABD) | Tarama ajanları için AI çıkarımı | SCC (Modül 3), sıfır saklama kurumsal sözleşmesi |
| Polar.sh (AB) | Kayıtlı Satıcı, fatura düzenleme, VAT aktarımı, token ekonomisi işleyicisi | AB (Hollanda) |
| Resend (AB) | İşlemsel e-posta gönderimi | AB (İrlanda) |
| Fly.io, Inc. (ABD) | Tarama yürütmesi için sandbox runner'lar | AB bölgesi (Frankfurt), SCC |
§9 Veri sahibi talepleri
Veri İşleyen, işlemin niteliğini dikkate alarak, Veri Sorumlusunun GDPR'ın 12-22. maddeleri kapsamında veri sahibi haklarının kullanılmasına ilişkin taleplere yanıt verme yükümlülüğünün yerine getirilmesi için, mümkün olduğunca uygun teknik ve organizasyonel önlemlerle Veri Sorumlusuna yardımcı olur. Bir veri sahibinin doğrudan Veri İşleyene ulaşması halinde, Veri İşleyen kişiyi gecikmesiz olarak Veri Sorumlusuna yönlendirir (ve Veri Sorumlusunu bilgilendirir).
§10 İhlal bildirimi (72 saat)
Veri İşleyen, kişisel veri ihlalini öğrenmesinden itibaren gecikmesiz olarak ve her halükarda 72 saat içinde Veri Sorumlusuna bildirir (Md. 33(2)). Bildirim şunları içerir: (a) ihlalin niteliği, etkilenen veri sahibi ve kayıt kategorileri ile yaklaşık sayıları; (b) daha fazla bilgi için iletişim noktası; (c) olası sonuçlar; (d) ihlali ele almak ve olumsuz etkilerini hafifletmek için alınan veya önerilen önlemler.
§11 DPIA desteği
Veri İşleyen, işlemin niteliği ve Veri İşleyene erişilebilir bilgileri dikkate alarak, Veri Koruma Etki Değerlendirmeleri (Md. 35) ve denetim makamlarıyla önceki istişareler (Md. 36) için Veri Sorumlusuna makul yardım sağlar.
§12 Uluslararası aktarımlar ve SCC
Müşteri Verisi AB bölgelerinde saklanır. Üçüncü ülkeye aktarımın gerekli olduğu hallerde (Anthropic, Cloudflare, Fly.io kontrol düzlemleri Amerika Birleşik Devletleri'nde tescilli), taraflar, Komisyonun 4 Haziran 2021 tarihli (AB) 2021/914 sayılı Uygulama Kararı kapsamındaki Standart Sözleşme Maddeleri (Modül 3: işleyiciden işleyiciye) bu DPA'ya atıfla dahil edilmiş sayılır ve bu tür aktarımlara uygulanır. Veri İşleyen bir Aktarım Etki Değerlendirmesi dosyada bulundurur ve yazılı talep üzerine paylaşır.
§13 Denetim hakları
Veri Sorumlusu, Veri İşleyenin bu DPA'ya uyumunu denetleme hakkına sahiptir. Veri Sorumlusu bu hakkı on iki aylık dönem başına bir kez veya bildirilmiş bir ihlal halinde daha sık kullanabilir. Denetimler en az 30 gün önceden yazılı bildirimle, normal mesai saatlerinde yapılır ve Veri İşleyenin operasyonlarına makul olmayan biçimde müdahale edemez. Veri İşleyen, denetim yükümlülüğünü makul ölçüde eşdeğer üçüncü taraf tasdikleri (SOC 2 Type II raporu mevcut olduğunda — hazırlık çalışması sürüyor, hedef 2026 sonu) veya alındığında ISO/IEC 27001 sertifikasyonu sağlayarak yerine getirebilir.
§14 İade ve silme
Hizmetlerin sonlandırılmasında, Veri İşleyen, Veri Sorumlusunun tercihine göre tüm Müşteri Verisini 30 gün içinde iade edecek veya silecektir; AB veya Üye Devlet hukukunun saklamayı gerektirdiği haller (örneğin fatura saklama) hariç. Yedekler saklama süreleri içinde rotasyona göre silinir; rotasyona kadar Veri İşleyen yedeklenmiş veriyi aktif olarak işlemez.
§15 Öncelik sırası ve uygulanacak hukuk
Bu DPA, Hizmet Koşulları ve Standart Sözleşme Maddeleri arasında herhangi bir çelişki olması halinde öncelik sırası şudur: (1) SCC (aktarımla ilgili sorularda); (2) bu DPA; (3) Hizmet Koşulları. Bu DPA, veri sahibinin ikametgâhındaki emredici veri koruma hükümleri saklı kalmak kaydıyla Türkiye hukukuna tabidir.
§E Ek E — Veri Sorumlusu Yetki Tekeffülü
Müşteri, Hizmet aracılığıyla taranan her hedef için aşağıdakilerden birinin geçerli olduğunu taahhüt eder:
- (a) Hedefle bağlantılı olarak işlenen tüm kişisel verilerin veri sorumlusudur (GDPR Madde 4(7) anlamında); veya
- (b) Söz konusu hedefin veri sorumlusundan, AssurePort'u taramayı yapmaya görevlendirmek ve tesadüfen toplanacak her türlü kişisel veriyi işlemek için açık, belgelendirilebilir yazılı yetkilendirme almıştır.
Veri İşleyen rolü. AssurePort, tarama sırasında tesadüfen toplanan herhangi bir kişisel veri için yalnızca veri işleyen (GDPR Madde 4(8)) sıfatıyla hareket eder — örneğin, iletişim sayfalarında görünen e-posta adresleri, HTML içine gömülü çalışan isimleri, hata mesajlarında ifşa olmuş kimlikler veya güvenlik açığı kanıtı için yakalanan oturum çerezleri. AssurePort, Müşterinin talep ettiği tarama hizmetinin ötesinde söz konusu verinin işleme amaçlarını ve araçlarını belirlemez.
Sorumluluk paylaşımı. AssurePort, Müşterinin yukarıdaki (b) kapsamındaki veri sorumlusu yetkilendirmesini almamasından sorumlu değildir. Müşterinin veri sorumlusu yetkisinin eksikliğinden kaynaklanan ve AssurePort aleyhine açılan herhangi bir düzenleyici icra, denetim makamı kararı, hukuki dava veya tazminat talebi, emredici tüketici koruma hukukunun böyle bir tazminatı sınırladığı haller hariç, Hizmet Koşulları §20 tazminat hükümlerine tabidir.
Tesadüfen toplanan kişisel verinin saklanması. Tarama sırasında tesadüfen toplanan kişisel veri şu şekilde saklanır: erişim metaverisi içeren denetim günlükleri 90 gün süreyle saklanır (adli inceleme ve uyuşmazlık çözümü amaçlı); tesadüfen toplanan kişisel veriyi içeren tarama sonuçları Müşterinin hesabında 30 gün süreyle saklanır, ardından birincil depolamadan otomatik olarak silinir; yedek kopyalar rotasyona göre süresi dolduğunda birincil silme işleminden sonraki 7 gün içinde §7 (Güvenlik) uyarınca silinir. Süresi dolduktan sonra AssurePort herhangi bir kopyayı muhafaza etmez. Müşteri, kontrol paneli üzerinden bir Veri Sahibi Talebi göndererek daha erken silme talep edebilir; bu durumda etkilenen tarama sonuçları 5 iş günü içinde silinir.
Özel nitelikli veri. Bir taramanın tesadüfen GDPR Madde 9'da atıfta bulunulan veriyi (ör. ifşa edilmiş bir dosyada sızdırılmış sağlık bilgisi) veya GDPR Madde 10'da atıfta bulunulan veriyi (ceza mahkumiyeti verisi) ortaya çıkarması halinde, AssurePort veriyi §6'daki yüksek gizlilik korumalarıyla işler ve Müşteriyi 24 saat içinde bilgilendirir; böylece Müşteri herhangi bir veri sahibi hakkını veya denetim makamı yükümlülüğünü yerine getirebilir.
Doğrulama. AssurePort, (i) bir üçüncü taraftan hedefi tanımlayan bir şikayet aldığında veya (ii) bir düzenleyici makam yazılı talep ilettiğinde, herhangi bir hedef için Müşterinin veri sorumlusu yetkisinin makul kanıtını talep etme hakkını saklı tutar. Müşteri, böyle bir talebi izleyen 14 gün içinde kanıt sunar; sunulmaması halinde etkilenen taramalar doğrulamaya kadar askıya alınabilir.
İşbu Ek E'nin yürürlüğü. İşbu Ek E, AssurePort 1.20.0 ve sonraki sürümlerinde "Hızlı Tarama" (Quick Scan) modu kapsamında önceden Alan Adı Kontrol Doğrulaması (DCV) yapılmadan başlatılan taramalar için veri sorumlusu/veri işleyen ayrımını netleştirmek üzere 24 Mayıs 2026 itibarıyla eklenmiştir. DCV tamamlanmış olarak başlatılan taramalar için Ek E, §5 (Belgelendirilmiş talimatlar) ile birikimli olarak uygulanır.
Inhaltsverzeichnis
- Definitionen
- Gegenstand und Dauer
- Art und Zweck
- Datenkategorien und Betroffene
- Dokumentierte Weisungen
- Vertraulichkeit
- Sicherheit (Art. 32)
- Unterauftragsverarbeiter
- Anfragen Betroffener
- Verletzungsmeldung (72 h)
- DSFA-Unterstützung
- Internationale Übermittlungen und SCC
- Auditrechte
- Rückgabe und Löschung
- Vorrang und anwendbares Recht
- Anhang E — Zusicherung der Verantwortlichen-Befugnis
§1 Definitionen
Großgeschriebene, hierin nicht definierte Begriffe haben die in der DSGVO (Verordnung (EU) 2016/679) festgelegte Bedeutung. „Kundendaten" bezeichnet personenbezogene Daten, die der Auftragsverarbeiter im Rahmen des AssurePort-Dienstes im Auftrag des Verantwortlichen verarbeitet. „Unterauftragsverarbeiter" bezeichnet jeden vom Auftragsverarbeiter beauftragten Dritten, der Kundendaten verarbeitet.
§2 Gegenstand und Dauer
Gegenstand: Verarbeitung der Kundendaten, die für die Erbringung der KI-gestützten Penetrationstestdienste durch AssurePort an den Verantwortlichen erforderlich ist.
Dauer: die Laufzeit des Abonnements des Verantwortlichen, zuzüglich der in der Datenschutzerklärung §4 festgelegten Aufbewahrungsfristen sowie gesetzlich erforderlicher Verlängerungen.
§3 Art und Zweck
Der Auftragsverarbeiter wird: vom Verantwortlichen bereitgestellte Scan-Ziele aufnehmen; KI-gesteuerte Scan-Agenten in EU-Regionssandboxen ausführen; maschinenlesbare Scan-Berichte erstellen; die Berichte und unterstützende Beweise unter dem Konto des Verantwortlichen speichern; dem Verantwortlichen und autorisierten Nutzern Zugriff auf die Berichte gewähren; transaktionale E-Mails zum Scan-Status senden. Der Auftragsverarbeiter verwendet die Kundendaten für keinen anderen Zweck, einschließlich Modelltraining, Marketing oder weitergehende Analytik.
§4 Datenkategorien und Betroffene
| Kategorien betroffener Personen | Kategorien personenbezogener Daten |
|---|---|
| Autorisierte Nutzer des Verantwortlichen (Administratoren, Scan-Operatoren, Betrachter) | E-Mail, gehashte Anmeldedaten, IP (pseudonymisiert), 2FA-Geheimnis (gehasht), Token-Verbrauchsmetriken |
| Personen, deren Daten in Scan-Zielen beiläufig erscheinen | in HTTP-Antworten, Fehlermeldungen oder erfassten Beweisen sichtbare Identifikatoren (nach Möglichkeit minimiert; AssurePort ist kein Datenscraping-Tool) |
| Rechnungsempfänger des Verantwortlichen | Name, E-Mail, Rechnungsadresse (über Polar.sh) |
Es werden weder besondere Kategorien personenbezogener Daten (Art. 9) noch Daten zu strafrechtlichen Verurteilungen (Art. 10) absichtlich verarbeitet. Sollten Scans des Verantwortlichen solche Daten beiläufig offenbaren, behandelt der Auftragsverarbeiter sie als vertraulich gemäß §6 und benachrichtigt den Verantwortlichen unverzüglich.
Verarbeitung auf Kontoebene (hinzugefügt v1.23.77): Zusätzlich zur oben beschriebenen Verarbeitung von Scan-Zielen verarbeitet der Auftragsverarbeiter während der Kontoerstellung auch die folgenden Kategorien personenbezogener Daten über die autorisierten Nutzer des Verantwortlichen selbst. Für diese Kategorien handelt der Auftragsverarbeiter als Verantwortlicher (nicht als Auftragsverarbeiter) — sie werden hier aus Transparenzgründen beschrieben und mit der Datenschutzerklärung §2 querverwiesen.
| Kategorie | Beispiele | Zweck | Rechtsgrundlage |
|---|---|---|---|
| Registrierungsprofil | Vorname, Nachname, Land, Stadt, Organisation (alle optional) | Kontointegrität, Erkennung von Mehrfachkonten, Kontaktaufnahme in Fragen der Kontointegrität | Art. 6 Abs. 1 lit. f berechtigtes Interesse (Betrugs- und Missbrauchsprävention) |
| Netzwerk-Metadaten | Registrierungs-IP-Adresse, User-Agent, Cloudflare CF-Ray, CF-IPCountry, akzeptierte Oberflächensprache | Annahme der Haftungserklärung einer überprüfbaren Sitzung zuordnen; Betriebsrisikonachweis | Art. 6 Abs. 1 lit. f berechtigtes Interesse; DORA Art. 21 Betriebsrisikonachweis |
| Annahmedatensätze | Hash des Haftungserklärungstexts (SHA-256), Version, Sprache, Annahme-Zeitstempel, referenzierte AGB-Version und Abschnitte (§19, §20) | rechtlicher Nachweis der informierten Zustimmung zu AGB §19 (Zusicherungen des Kunden) und §20 (Freistellung) | Art. 6 Abs. 1 lit. c rechtliche Verpflichtung; Art. 17 Abs. 3 lit. e Löschausnahme (Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen) |
Die Aufbewahrung dieser Kategorien auf Kontoebene richtet sich nach der Datenschutzerklärung §4 (Registrierungsprofilfelder: 1 Jahr ab letzter Anmeldung; Registrierungs-Netzwerk-Metadaten und Haftungserklärungs-Annahme: 7 Jahre ab Anmeldung).
§5 Dokumentierte Weisungen
Der Auftragsverarbeiter verarbeitet Kundendaten ausschließlich nach den dokumentierten Weisungen des Verantwortlichen, auch hinsichtlich Übermittlungen in Drittländer (Art. 28 Abs. 3 lit. a). Die Weisungen des Verantwortlichen sind: (a) die AssurePort-Nutzungsbedingungen; (b) die vom Verantwortlichen im Dashboard getroffenen Konfigurationen (Scan-Engine, Ziel, Intensität, Zeitplan); (c) jede schriftliche Einzelweisung des Verantwortlichen, der der Auftragsverarbeiter nachkommt, sofern dies nicht durch EU- oder mitgliedstaatliches Recht untersagt ist.
§6 Vertraulichkeit
Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung der Kundendaten befugten Personen (Mitarbeiter, Auftragnehmer) durch schriftliche Vertraulichkeitsverpflichtungen gebunden sind und eine rollenadäquate Datenschutzschulung erhalten (Art. 28 Abs. 3 lit. b). Zum Stichtag ist der Zugang zu Produktionssystemen auf den Einzelunternehmer beschränkt; jede künftige Beauftragung von Auftragnehmern löst eine Aktualisierung dieser Klausel und eine 30-tägige Vorankündigung gemäß §8 aus.
§7 Sicherheit (Art. 32)
Der Auftragsverarbeiter setzt geeignete technische und organisatorische Maßnahmen um, einschließlich:
- Verschlüsselung in der Übertragung — TLS 1.3 für alle Endpunkte erzwungen; HSTS-Preload eingereicht.
- Verschlüsselung im Ruhezustand — Workers KV, R2 und D1 verwenden AES-256-Server-seitige Verschlüsselung.
- Mandantentrennung — Sandbox-Runner sind pro Scan einmandantig und werden bei Abschluss zerstört.
- Authentifizierung — Magic-Link-E-Mail plus optionale TOTP-2FA; Sessions sind JWT mit 14-tägiger Maximaldauer und widerrufbar.
- Audit-Log — nur anhängend, 90 Tage Aufbewahrung, deckt Anmeldungen, Scan-Ereignisse und Einstellungsänderungen ab.
- Rate-Limit und Missbrauch — Cloudflare WAF + benutzerdefinierte Token-Bucket-Rate-Limits pro Mandant.
- Backup und Wiederherstellung — täglich inkrementell, 7-tägige Aufbewahrung, geografisch auf EU-Regionen beschränkt.
- Schwachstellenmanagement — vierteljährliche externe Abhängigkeitsüberprüfung; kritische CVEs binnen 14 Tagen nach Offenlegung gepatcht.
- Pseudonymisierung — Cloudflare-Edge-Logs kürzen IP und User-Agent auf das für Sicherheitstelemetrie Notwendige.
- Wiederherstellungstests — Backup-Restore mindestens halbjährlich verifiziert.
§8 Unterauftragsverarbeiter
Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine schriftliche Genehmigung, die unten aufgeführten Unterauftragsverarbeiter zu beauftragen. Der Auftragsverarbeiter wird den Verantwortlichen über beabsichtigte Änderungen (Ergänzung oder Ersatz) mit mindestens 30 Tagen schriftlicher Vorankündigung informieren und ihm Gelegenheit zum Widerspruch geben. Widerspricht der Verantwortliche aus angemessenen datenschutzrechtlichen Gründen und kann der Auftragsverarbeiter keine Lösung anbieten, kann der Verantwortliche den betroffenen Dienst ohne Vertragsstrafe kündigen.
| Anbieter | Zweck | Datenebene |
|---|---|---|
| Cloudflare, Inc. (US-eingetragen) | Edge Compute, DNS, DDoS, Workers KV | EU-Datenebene, SCC (Modul 3) |
| Anthropic, PBC (USA) | KI-Inferenz für Scan-Agenten | SCC (Modul 3), Enterprise-Vertrag mit Null-Speicherung |
| Polar.sh (EU) | Merchant of Record, Rechnungsstellung, USt.-Abführung, Token-Ökonomie-Verarbeiter | EU (Niederlande) |
| Resend (EU) | Transaktions-E-Mail-Versand | EU (Irland) |
| Fly.io, Inc. (USA) | Sandbox-Runner für Scan-Ausführung | EU-Region (Frankfurt), SCC |
§9 Anfragen Betroffener
Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen, soweit möglich, bei der Erfüllung der Pflicht des Verantwortlichen zur Beantwortung von Betroffenenanfragen nach Art. 12-22 DSGVO. Wendet sich ein Betroffener direkt an den Auftragsverarbeiter, leitet dieser den Betroffenen unverzüglich an den Verantwortlichen weiter (und informiert den Verantwortlichen).
§10 Verletzungsmeldung (72 h)
Der Auftragsverarbeiter meldet dem Verantwortlichen eine Verletzung des Schutzes personenbezogener Daten unverzüglich und in jedem Fall binnen 72 Stunden, nachdem ihm die Verletzung bekannt geworden ist (Art. 33 Abs. 2). Die Meldung beschreibt: (a) die Art der Verletzung, einschließlich Kategorien und ungefähre Anzahl betroffener Personen und Datensätze; (b) die Kontaktstelle für weitere Informationen; (c) die voraussichtlichen Folgen; (d) ergriffene oder vorgeschlagene Maßnahmen zur Behebung und Schadensminderung.
§11 DSFA-Unterstützung
Der Auftragsverarbeiter leistet dem Verantwortlichen angemessene Unterstützung für Datenschutz-Folgenabschätzungen (Art. 35) und vorherige Konsultationen mit Aufsichtsbehörden (Art. 36) unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen.
§12 Internationale Übermittlungen und SCC
Kundendaten werden in EU-Regionen gespeichert. Soweit eine Übermittlung in ein Drittland erforderlich ist (Anthropic, Cloudflare, Fly.io haben ihre Kontrollebene in den Vereinigten Staaten), vereinbaren die Parteien, dass die Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 (Modul 3: Auftragsverarbeiter zu Auftragsverarbeiter) durch Verweis in diese AVV einbezogen werden und für solche Übermittlungen gelten. Der Auftragsverarbeiter führt eine Transfer-Folgenabschätzung und stellt sie auf schriftliche Anfrage zur Verfügung.
§13 Auditrechte
Der Verantwortliche hat das Recht, die Einhaltung dieser AVV durch den Auftragsverarbeiter zu prüfen. Der Verantwortliche kann dieses Recht einmal pro Zwölfmonatszeitraum oder im Fall einer gemeldeten Verletzung häufiger ausüben. Audits werden mit mindestens 30 Tagen schriftlicher Vorankündigung während der üblichen Geschäftszeiten durchgeführt und dürfen den Betrieb des Auftragsverarbeiters nicht unangemessen beeinträchtigen. Der Auftragsverarbeiter kann der Auditpflicht durch hinreichend gleichwertige Drittprüfungsnachweise (SOC 2 Type II-Bericht sobald verfügbar — Vorbereitungsarbeiten laufen, Zielfertigstellung Ende 2026) oder durch ISO/IEC 27001-Zertifizierung nach deren Erlangung nachkommen.
§14 Rückgabe und Löschung
Bei Beendigung der Dienste wird der Auftragsverarbeiter nach Wahl des Verantwortlichen alle Kundendaten binnen 30 Tagen zurückgeben oder löschen, sofern die Speicherung nicht nach EU- oder mitgliedstaatlichem Recht erforderlich ist (z. B. Rechnungsaufbewahrung). Backups werden nach Rotation innerhalb ihrer Aufbewahrungsfrist gelöscht; bis zur Rotation verarbeitet der Auftragsverarbeiter die gesicherten Daten nicht aktiv.
§15 Vorrang und anwendbares Recht
Im Konfliktfall zwischen dieser AVV, den Nutzungsbedingungen und den Standardvertragsklauseln gilt folgende Vorrangordnung: (1) SCC (bei übermittlungsbezogenen Fragen); (2) diese AVV; (3) Nutzungsbedingungen. Diese AVV unterliegt dem Recht der Türkei, unbeschadet zwingender Datenschutzvorschriften des Wohnsitzes des Betroffenen.
§E Anhang E — Zusicherung der Verantwortlichen-Befugnis
Der Kunde sichert zu, dass er für jedes über den Dienst gescannte Ziel entweder:
- (a) selbst Verantwortlicher aller im Zusammenhang mit dem Ziel verarbeiteten personenbezogenen Daten ist (im Sinne von Art. 4 Nr. 7 DSGVO); oder
- (b) eine ausdrückliche, dokumentierbare schriftliche Autorisierung vom Verantwortlichen des Ziels erhalten hat, AssurePort mit der Durchführung des Scans zu beauftragen und alle dabei beiläufig erfassten personenbezogenen Daten zu verarbeiten.
Rolle als Auftragsverarbeiter. AssurePort handelt für sämtliche während des Scannens beiläufig erfassten personenbezogenen Daten ausschließlich als Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) — z. B. E-Mail-Adressen auf Kontaktseiten, in HTML eingebettete Mitarbeiternamen, in Fehlermeldungen offenbarte Identifikatoren oder zu Beweiszwecken erfasste Session-Cookies. AssurePort bestimmt über die Zwecke und Mittel der Verarbeitung solcher Daten nicht über den vom Kunden angefragten Scan-Dienst hinaus.
Haftungsverteilung. AssurePort haftet nicht für das Versäumnis des Kunden, eine Verantwortlichen-Autorisierung nach lit. (b) einzuholen. Jede gegen AssurePort gerichtete behördliche Durchsetzung, Aufsichtsanordnung, zivilrechtliche Klage oder Entschädigungsforderung aufgrund fehlender Verantwortlichen-Befugnis des Kunden unterliegt den Haftungsfreistellungsregelungen in §20 der Nutzungsbedingungen, soweit nicht zwingendes Verbraucherschutzrecht eine solche Freistellung beschränkt.
Aufbewahrung beiläufig erfasster personenbezogener Daten. Beiläufig während eines Scans erfasste personenbezogene Daten werden wie folgt aufbewahrt: Audit-Protokolle mit Zugriffsmetadaten werden 90 Tage zu forensischen und Streitbeilegungszwecken aufbewahrt; Scan-Ergebnisse mit den beiläufig erfassten personenbezogenen Daten werden 30 Tage im Kundenkonto vorgehalten und anschließend aus dem Primärspeicher automatisch gelöscht; Backup-Kopien laufen turnusmäßig binnen 7 Tagen nach Primärlöschung gemäß §7 (Sicherheit) ab. Nach Ablauf hält AssurePort keine weiteren Kopien vor. Der Kunde kann eine frühere Löschung anfordern, indem er einen Betroffenenantrag über das Dashboard stellt; die betroffenen Scan-Ergebnisse werden dann binnen 5 Werktagen gelöscht.
Besondere Datenkategorien. Sollten Scans beiläufig Daten im Sinne von Art. 9 DSGVO offenbaren (z. B. Gesundheitsinformationen in einer exponierten Datei) oder Art. 10 DSGVO (Daten zu strafrechtlichen Verurteilungen), behandelt AssurePort die Daten mit den erhöhten Vertraulichkeitsschutzmaßnahmen nach §6 und unterrichtet den Kunden binnen 24 Stunden, damit dieser Betroffenenrechten oder Aufsichtsbehörden-Pflichten nachkommen kann.
Verifizierung. AssurePort behält sich vor, für jedes Ziel angemessene Nachweise der Verantwortlichen-Befugnis des Kunden zu verlangen, wenn (i) AssurePort eine Beschwerde eines Dritten erhält, die das Ziel identifiziert, oder (ii) eine Aufsichtsbehörde schriftlich auffordert. Der Kunde stellt die Nachweise binnen 14 Tagen nach einer solchen Anforderung zur Verfügung; bei Ausbleiben können die betroffenen Scans bis zur Verifizierung ausgesetzt werden.
Wirksamkeit dieses Anhangs E. Dieser Anhang E wurde mit Wirkung vom 24. Mai 2026 eingefügt, um die Verantwortlichen/Verarbeiter-Aufteilung für Scans zu klären, die ohne vorherige Domain Control Verification („Quick Scan"-Modus) unter AssurePort Version 1.20.0 und höher ausgelöst werden. Für Scans, die mit abgeschlossener DCV ausgelöst werden, gilt Anhang E kumulativ zu §5 (Dokumentierte Weisungen).
Sommaire
- Définitions
- Objet et durée
- Nature et finalité
- Catégories de données et de personnes
- Instructions documentées
- Confidentialité
- Sécurité (Art. 32)
- Sous-traitants ultérieurs
- Demandes des personnes concernées
- Notification de violation (72 h)
- Soutien AIPD
- Transferts internationaux et CCT
- Droits d'audit
- Restitution et suppression
- Ordre de priorité et droit applicable
- Annexe E — Garantie d'autorité du Responsable
§1 Définitions
Les termes en majuscules non définis ci-après ont le sens donné dans le RGPD (Règlement (UE) 2016/679). « Données Client » désigne les données à caractère personnel traitées par le Sous-traitant pour le compte du Responsable de traitement en lien avec le service AssurePort. « Sous-traitant ultérieur » désigne tout tiers engagé par le Sous-traitant pour traiter les Données Client.
§2 Objet et durée
Objet : traitement des Données Client nécessaire à la fourniture par AssurePort des services de tests d'intrusion alimentés par IA au Responsable de traitement.
Durée : la durée de l'abonnement du Responsable de traitement, plus les durées de conservation prévues à la Politique de confidentialité §4, ainsi que toute prolongation requise par la loi.
§3 Nature et finalité
Le Sous-traitant : ingère les cibles de scan fournies par le Responsable ; exécute des agents IA de scan dans des sandbox en région UE ; produit des rapports de scan lisibles par machine ; stocke les rapports et preuves associées sous le compte du Responsable ; fournit au Responsable et à ses utilisateurs autorisés l'accès aux rapports ; envoie des e-mails transactionnels relatifs au statut des scans. Le Sous-traitant n'utilise pas les Données Client à d'autres fins, y compris l'entraînement de modèles, le marketing ou l'analytique ultérieure.
§4 Catégories de données et de personnes
| Catégories de personnes concernées | Catégories de données à caractère personnel |
|---|---|
| Utilisateurs autorisés du Responsable (administrateurs, opérateurs de scan, lecteurs) | e-mail, identifiants hachés, IP (pseudonymisée), secret 2FA (haché), métriques de consommation de jetons |
| Personnes dont les données apparaissent incidemment dans les cibles de scan | identifiants visibles dans les réponses HTTP, les messages d'erreur ou les preuves capturées (minimisation au mieux ; AssurePort n'est pas un outil de moissonnage de données) |
| Contact de facturation du Responsable | nom, e-mail, adresse de facturation (via Polar.sh) |
Aucune catégorie particulière de données (Art. 9) ni donnée relative aux condamnations pénales (Art. 10) n'est intentionnellement traitée. Si les scans du Responsable révèlent incidemment de telles données, le Sous-traitant les traite comme confidentielles selon §6 et en informe le Responsable sans délai indu.
Traitement au niveau du compte (ajouté v1.23.77) : en plus du traitement des cibles de scan décrit ci-dessus, le Sous-traitant traite également les catégories suivantes de données à caractère personnel concernant les utilisateurs autorisés du Responsable eux-mêmes lors de la création du compte. Pour ces catégories, le Sous-traitant agit en qualité de responsable de traitement (et non de sous-traitant) — elles sont décrites ici à des fins de transparence et croisées avec la Politique de confidentialité §2.
| Catégorie | Exemples | Finalité | Base légale |
|---|---|---|---|
| Profil d'inscription | prénom, nom, pays, ville, organisation (tous facultatifs) | intégrité du compte, détection des comptes en double, contact pour des questions d'intégrité du compte | Art. 6.1.f intérêt légitime (prévention de la fraude et des abus) |
| Métadonnées réseau | adresse IP d'inscription, user-agent, Cloudflare CF-Ray, CF-IPCountry, langue d'interface acceptée | rattacher l'acceptation de la décharge de responsabilité à une session vérifiable ; preuve du risque opérationnel | Art. 6.1.f intérêt légitime ; DORA Art. 21 preuve du risque opérationnel |
| Enregistrements d'acceptation | hash du texte de la décharge (SHA-256), version, langue, horodatage d'acceptation, version des CGU référencée et sections (§19, §20) | preuve juridique du consentement éclairé aux §19 (Déclarations et garanties du client) et §20 (Indemnisation) des CGU | Art. 6.1.c obligation légale ; Art. 17.3.e exception d'effacement (constatation, exercice ou défense de droits en justice) |
La conservation de ces catégories au niveau du compte est régie par la Politique de confidentialité §4 (champs du profil d'inscription : 1 an à compter de la dernière connexion ; métadonnées réseau d'inscription et acceptation de la décharge de responsabilité : 7 ans à compter de l'inscription).
§5 Instructions documentées
Le Sous-traitant ne traite les Données Client que sur instructions documentées du Responsable, y compris en ce qui concerne les transferts vers des pays tiers (Art. 28, §3, a). Les instructions du Responsable sont : (a) les Conditions Générales d'Utilisation d'AssurePort ; (b) les choix de configuration effectués par le Responsable dans le tableau de bord (moteur de scan, cible, intensité, planification) ; (c) toute instruction écrite spécifique du Responsable, à laquelle le Sous-traitant donne suite sauf interdiction par le droit de l'UE ou d'un État membre.
§6 Confidentialité
Le Sous-traitant garantit que les personnes autorisées à traiter les Données Client (employés, prestataires) sont liées par des engagements de confidentialité écrits et reçoivent une formation à la protection des données adaptée à leur rôle (Art. 28, §3, b). À la date d'effet, tout accès aux systèmes de production est limité à l'entrepreneur individuel ; tout engagement futur de prestataires déclenchera une mise à jour de cette clause et un préavis de 30 jours conformément à §8.
§7 Sécurité (Art. 32)
Le Sous-traitant met en œuvre des mesures techniques et organisationnelles appropriées, notamment :
- Chiffrement en transit — TLS 1.3 imposé pour tous les endpoints ; HSTS preload soumis.
- Chiffrement au repos — Workers KV, R2 et D1 utilisent un chiffrement côté serveur AES-256.
- Isolation des locataires — les runners sandbox sont mono-locataire par scan et détruits à la fin.
- Authentification — e-mail magic-link plus 2FA TOTP optionnel ; les sessions sont des JWT d'une durée maximale de 14 jours, révocables.
- Journal d'audit — append-only, conservation 90 jours, couvre connexions, événements de scan, modifications de paramètres.
- Rate-limit et abus — WAF Cloudflare + rate-limits token-bucket personnalisés par locataire.
- Sauvegarde et restauration — incrémentielles quotidiennes, conservation 7 jours, restreintes géographiquement aux régions UE.
- Gestion des vulnérabilités — revue trimestrielle des dépendances externes ; CVE critiques corrigées sous 14 jours après divulgation.
- Pseudonymisation — les logs edge Cloudflare tronquent IP et user-agent au minimum nécessaire pour la télémétrie de sécurité.
- Tests de restauration — restauration de sauvegarde vérifiée au moins semestriellement.
§8 Sous-traitants ultérieurs
Le Responsable fournit une autorisation écrite générale permettant au Sous-traitant d'engager les sous-traitants ultérieurs listés ci-dessous. Le Sous-traitant informera le Responsable de toute modification envisagée (ajout ou remplacement) avec un préavis écrit minimum de 30 jours, lui donnant l'occasion de s'opposer. Si le Responsable s'oppose pour des motifs raisonnables de protection des données et que le Sous-traitant ne peut accommoder, le Responsable peut résilier le service concerné sans pénalité.
| Prestataire | Finalité | Plan de données |
|---|---|---|
| Cloudflare, Inc. (constituée aux États-Unis) | Edge compute, DNS, DDoS, Workers KV | plan de données UE, CCT (Module 3) |
| Anthropic, PBC (États-Unis) | Inférence IA pour agents de scan | CCT (Module 3), contrat entreprise zéro rétention |
| Polar.sh (UE) | Merchant of Record, émission de factures, reversement de TVA, processeur d'économie de jetons | UE (Pays-Bas) |
| Resend (UE) | Envoi d'e-mails transactionnels | UE (Irlande) |
| Fly.io, Inc. (États-Unis) | Runners sandbox pour l'exécution des scans | région UE (Francfort), CCT |
§9 Demandes des personnes concernées
Le Sous-traitant, compte tenu de la nature du traitement, assiste le Responsable par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l'accomplissement de l'obligation du Responsable de répondre aux demandes d'exercice des droits des personnes concernées au titre des articles 12-22 RGPD. Si une personne concernée contacte directement le Sous-traitant, celui-ci la redirige sans délai indu vers le Responsable (et en informe le Responsable).
§10 Notification de violation (72 h)
Le Sous-traitant notifiera au Responsable toute violation de données à caractère personnel sans délai indu et en tout état de cause sous 72 heures après en avoir pris connaissance (Art. 33, §2). La notification décrira : (a) la nature de la violation, les catégories et le nombre approximatif de personnes concernées et d'enregistrements affectés ; (b) le point de contact pour informations complémentaires ; (c) les conséquences probables ; (d) les mesures prises ou proposées pour remédier à la violation et atténuer ses effets.
§11 Soutien AIPD
Le Sous-traitant apporte au Responsable une assistance raisonnable pour les Analyses d'Impact relatives à la Protection des Données (Art. 35) et les consultations préalables des autorités de contrôle (Art. 36), compte tenu de la nature du traitement et des informations à la disposition du Sous-traitant.
§12 Transferts internationaux et CCT
Les Données Client sont stockées dans des régions UE. Lorsque le transfert vers un pays tiers est nécessaire (Anthropic, Cloudflare, Fly.io ont leur plan de contrôle constitué aux États-Unis), les parties conviennent que les Clauses Contractuelles Types énoncées dans la Décision d'Exécution (UE) 2021/914 de la Commission du 4 juin 2021 (Module 3 : sous-traitant à sous-traitant) sont incorporées par renvoi dans le présent DPA et s'appliquent à ces transferts. Le Sous-traitant tient à jour une Évaluation d'Impact de Transfert et la fournit sur demande écrite.
§13 Droits d'audit
Le Responsable a le droit d'auditer la conformité du Sous-traitant au présent DPA. Le Responsable peut exercer ce droit une fois par période de douze mois, ou plus fréquemment en cas de violation notifiée. Les audits sont menés avec un préavis écrit minimum de 30 jours, pendant les heures ouvrables, et ne doivent pas perturber de manière déraisonnable les opérations du Sous-traitant. Le Sous-traitant peut satisfaire à l'obligation d'audit en fournissant des attestations tierces raisonnablement équivalentes (rapport SOC 2 Type II lorsqu'il sera disponible — travaux de préparation en cours, objectif fin 2026) ou la certification ISO/IEC 27001 dès son obtention.
§14 Restitution et suppression
À la terminaison des services, le Sous-traitant, au choix du Responsable, restituera ou supprimera toutes les Données Client sous 30 jours, sauf si le stockage est requis par le droit de l'UE ou d'un État membre (par ex. conservation des factures). Les sauvegardes sont supprimées par rotation dans leur période de conservation ; jusqu'à la rotation, le Sous-traitant ne traite pas activement les données sauvegardées.
§15 Ordre de priorité et droit applicable
En cas de conflit entre le présent DPA, les Conditions Générales d'Utilisation et les Clauses Contractuelles Types, l'ordre de priorité est : (1) CCT (pour les questions liées aux transferts) ; (2) le présent DPA ; (3) les Conditions Générales d'Utilisation. Le présent DPA est régi par le droit de la Turquie, sans préjudice des lois impératives de protection des données du lieu de résidence de la personne concernée.
§E Annexe E — Garantie d'autorité du Responsable de traitement
Le Client garantit que, pour chaque cible scannée via le Service, le Client :
- (a) est lui-même responsable de traitement de toutes les données à caractère personnel traitées en lien avec la cible (au sens de l'article 4, §7, du RGPD) ; ou
- (b) a obtenu une autorisation écrite, explicite et documentable, du responsable de traitement de cette cible pour mandater AssurePort afin d'effectuer le scan et de traiter toute donnée à caractère personnel collectée incidemment.
Rôle de Sous-traitant. AssurePort agit uniquement en qualité de sous-traitant (article 4, §8, RGPD) pour toute donnée à caractère personnel collectée incidemment au cours d'un scan — par exemple, des adresses e-mail figurant sur les pages contact, des noms de salariés intégrés au HTML, des identifiants exposés dans des messages d'erreur, ou des cookies de session capturés à titre de preuve de vulnérabilité. AssurePort ne détermine pas les finalités et les moyens du traitement de ces données au-delà du service de scan demandé par le Client.
Répartition de la responsabilité. AssurePort n'est pas responsable du défaut du Client d'obtenir l'autorisation du responsable de traitement prévue au (b) ci-dessus. Toute mesure réglementaire, ordre d'autorité de contrôle, action civile ou demande d'indemnisation engagée contre AssurePort en raison de l'absence d'autorité du Client en tant que responsable est soumise aux clauses d'indemnisation du §20 des Conditions Générales d'Utilisation, sauf lorsque la législation impérative de protection des consommateurs limite cette indemnisation.
Conservation des données personnelles collectées incidemment. Les données à caractère personnel collectées incidemment au cours d'un scan sont conservées comme suit : les journaux d'audit contenant des métadonnées d'accès sont conservés 90 jours à des fins forensiques et de règlement de litige ; les résultats de scan contenant les données personnelles incidentes sont conservés 30 jours dans le compte du Client, puis supprimés automatiquement du stockage principal ; les copies de sauvegarde expirent par rotation dans les 7 jours suivant la purge principale conformément à §7 (Sécurité). À l'expiration, AssurePort ne conserve plus aucune copie. Le Client peut demander une suppression anticipée en soumettant une Demande de Personne Concernée via le tableau de bord ; les résultats de scan concernés sont alors purgés sous 5 jours ouvrés.
Catégories particulières de données. Lorsqu'un scan révèle incidemment des données visées à l'article 9 du RGPD (par ex. informations de santé fuite dans un fichier exposé) ou à l'article 10 (données relatives aux condamnations pénales), AssurePort traite ces données avec les mesures renforcées de confidentialité du §6 et notifie le Client sous 24 heures afin qu'il puisse exercer tout droit des personnes concernées ou satisfaire à toute obligation d'autorité de contrôle.
Vérification. AssurePort se réserve le droit de demander des preuves raisonnables de l'autorité du Client en tant que responsable de traitement pour toute cible si (i) AssurePort reçoit une plainte d'un tiers identifiant la cible, ou (ii) une autorité réglementaire formule une demande écrite. Le Client fournit les preuves dans les 14 jours suivant une telle demande ; à défaut, les scans concernés peuvent être suspendus dans l'attente de la vérification.
Entrée en vigueur de la présente Annexe E. La présente Annexe E a été ajoutée avec effet au 24 mai 2026 afin de clarifier la répartition responsable/sous-traitant pour les scans lancés sans Vérification de Contrôle de Domaine préalable (mode « Quick Scan ») dans la version 1.20.0 d'AssurePort et les versions ultérieures. Pour les scans lancés avec DCV achevée, l'Annexe E s'applique cumulativement avec §5 (Instructions documentées).