AssurePort
Legal

Privacy Policy

Effective: 29 May 2026 · Version: 1.2 · Controller: AssurePort Team · DPO contact: dpo@assureport.com

Language: The English version is the authoritative legal text. Türkçe / Deutsch / Français translations are provided for convenience; in case of conflict the English version prevails.

Contents

  1. Who we are & scope
  2. Data we process
  3. Lawful bases (GDPR Art. 6)
  4. Retention schedule
  5. Your rights (Art. 15–22)
  6. Sub-processors
  7. International transfers
  8. Children
  9. Breach notification
  10. Contact & changes

§1 Who we are & scope

AssurePort is an AI-powered penetration testing platform operated by the AssurePort Team, based in Türkiye. We are the controller for data we collect about visitors, account holders and billing contacts. For data our customers upload while running scans (target URLs, evidence captures, scan reports), we act as processor under Article 28 GDPR — see our separate Data Processing Addendum.

This policy covers assureport.com, app.assureport.com, and any subdomain we operate. It is written to satisfy GDPR Articles 12–14, Türkiye's KVKK transparency obligations, and the UK GDPR equivalents for visitors from Great Britain.

§2 Data we process

We minimise. We collect what is necessary to deliver the service and nothing more.

CategoryExamplesSource
Accountemail address, hashed magic-link tokens, session cookie (aprt.session), 2FA secret (hashed)you, on sign-up
Scan metadatatarget hostname, scan engine, reservation ID, start/end timestamps, finding count, scan statuscustomer-initiated
BillingPolar.sh customer ID, invoice ID, plan tier, per-scan reservation amount, token balance snapshot, billing ledger entries, paid amount, currency. We do not see card numbers — Polar.sh acts as Merchant of Record.Polar.sh webhook
Technical telemetrypseudonymised IP (last octet truncated), truncated user agent, request path, response code, request IDCloudflare edge logs
Support correspondenceemail body, attachments, ticket numberyou, on contact
Engine launch waitlist (v1.23.77, optional)email address, engine you're interested in (AD Security Assessment / SAP Pentest / Email Security), signup date, IP, browser User-Agent. Used solely to (a) notify you when the engine launches, and (b) deliver a one-time WAITLIST20 promo code valid for 14 days post-launch. Stored in Cloudflare D1 (EU region). Deleted 90 days after the engine launches. Opt out any time via the unsubscribe link in our emails or by writing to dpo@assureport.com.you, on public waitlist form
Signup profile (v1.23.77, optional)given name, surname, country, city, organisation — collected during account creation to help us detect duplicate accounts, deter fraud and contact you for account-integrity matters. Every field is optional and may be left blank; the account can be created with email alone.you, on sign-up
Signup network metadata (v1.23.77, mandatory)IP address at the time of sign-up, user-agent string, Cloudflare request metadata (CF-Ray, CF-IPCountry), accepted UI language. Captured automatically to attribute the liability-waiver acceptance to a verifiable session.Cloudflare edge
Liability-waiver acceptance (v1.23.77, mandatory)waiver text hash (SHA-256), waiver version (v1.0), waiver language (en/tr/de/fr), accepted-at timestamp (ISO 8601), referenced ToS version (v1.2) and sections (§19, §20). Persisted in the append-only audit log as legal evidence of informed acceptance.you, on sign-up

§3 Lawful bases (GDPR Art. 6)

We do not use automated decision-making within the meaning of Article 22 GDPR. Scan AI agents produce findings that a customer reviews; token charging on scan completion is an accounting operation, not a decision producing legal or similarly significant effects on a natural person.

We do not share customer scan data with any third party outside the sub-processor list in §6. AssurePort does not currently expose webhooks, third-party integrations, single sign-on (SAML/SCIM/OIDC), or white-label / MSSP partner programs — see our Terms §10 for the architectural commitment.

§4 Retention schedule

WhatHow longWhy
Account profile (email, hashed credentials)1 year from last sign-in, then deletioncontract + abuse defence
Scan reports & evidence2 years from scan completioncustomer audit retention
Audit log (sign-ins, scans, settings changes)90 daysincident response window
Billing ledger (token reservations, charges, releases, grants)10 yearsTürkiye VUK / EU VAT obligation
Polar.sh invoices & payment events10 yearsaccounting / VAT obligation
Support email correspondence2 yearscontinuity, dispute defence
Cloudflare edge logs (pseudonymised)30 days rollingsecurity + uptime
Signup profile fields (name, surname, country, city, organisation)1 year from last sign-in, then deletion together with the accountaccount integrity / duplicate-account detection
Signup network metadata (IP, user-agent, Cloudflare CF-Ray / CF-IPCountry)7 years from sign-upDORA Art. 21 operational-risk evidence + establishment, exercise or defence of legal claims (Art. 17(3)(e))
Liability-waiver acceptance record (hash, version, language, timestamp, ToS reference)7 years from sign-upcontract evidence for ToS §19 (Customer Representations) and §20 (Indemnification)

On account deletion, scan reports and evidence are purged within 30 days, except where the law requires longer retention (billing ledger, Polar.sh invoices, signup network metadata and liability-waiver acceptance record).

§5 Your rights (GDPR Articles 15–22)

Send rights requests to dpo@assureport.com. We respond within one month (extendable to three for complex requests, with notice).

§6 Sub-processors

The following sub-processors process customer data on our behalf. We sign appropriate data-processing terms with each and require equivalent GDPR commitments. Updates to this list are published with at least 30 days' advance notice; you may object to a new sub-processor and, if we cannot accommodate, terminate without penalty.

ProviderPurposeData plane
Cloudflare, Inc. (US-incorporated)Edge compute, DNS, DDoS, Workers KVEU data plane, SCCs (Module 3)
Anthropic, PBC (US)AI inference for scan agentsSCCs (Module 3), zero-retention enterprise contract
Polar.sh (EU)Merchant of Record, invoice issuance, VAT remittance, token economics processorEU (Netherlands)
Resend (EU)Transactional email dispatch (magic links, invoices)EU (Ireland)
Fly.io, Inc. (US)Sandbox runners for scan executionEU region (Frankfurt), SCCs
No integrations, no MSSP partners. AssurePort does not currently expose webhooks, third-party integrations (Slack, Microsoft Teams, Jira, Linear, GitHub Issues, ZenDesk), Single Sign-On (SAML/SCIM/OIDC), or white-label / MSSP partner programs. This is a deliberate design choice: it guarantees that your scan findings, target metadata, and report content remain inside the AssurePort platform boundary and do not flow to any third party beyond the sub-processors listed above. If we introduce integrations in the future, we will add them as opt-in features, treat the destination as a sub-processor where applicable, and notify active accounts at least 30 days in advance.

§7 International transfers

Customer data is stored on EU regions. Where a sub-processor is incorporated outside the EEA (Cloudflare, Anthropic, Fly.io), transfers are governed by Standard Contractual Clauses (Commission Implementing Decision (EU) 2021/914) plus supplementary technical measures (encryption in transit and at rest, EU-restricted data planes). A transfer impact assessment is on file and available on request.

§8 Children

AssurePort is a B2B security service. We do not knowingly collect data from anyone under 18. If you believe a minor has created an account, contact dpo@assureport.com and we will delete the account within 72 hours.

§9 Breach notification

Where a personal-data breach is likely to result in a risk to the rights and freedoms of natural persons, we notify our lead supervisory authority within 72 hours (Art. 33). Affected individuals are notified without undue delay where the risk is high (Art. 34). Notification includes the nature of the breach, categories and approximate number of affected records, the DPO contact, likely consequences, and mitigation steps taken.

§10 Contact & changes

For privacy questions: dpo@assureport.com. For other legal matters: legal@assureport.com. Postal address available on request.

We may revise this policy as the service evolves. Material changes are notified by email to active accounts at least 30 days before they take effect. The "Effective" date at the top of this page reflects the current version.

Last updated: 29 May 2026 · Version: 1.2 · See also: Terms · DPA · Cookies

Yürürlük tarihi: 29 Mayıs 2026 · Sürüm: 1.2 · Veri Sorumlusu: AssurePort Ekibi · DPO iletişim: dpo@assureport.com

Dil: İngilizce metin esas hukuki metindir. Türkçe / Almanca / Fransızca çeviriler bilgilendirme amaçlıdır; çelişki halinde İngilizce metin geçerlidir.

İçindekiler

  1. Hakkımızda ve kapsam
  2. İşlediğimiz veriler
  3. Hukuki dayanaklar (GDPR Md. 6)
  4. Saklama süreleri
  5. Haklarınız (Md. 15-22)
  6. Alt işleyiciler
  7. Uluslararası aktarımlar
  8. Çocuklar
  9. İhlal bildirimi
  10. İletişim ve değişiklikler

§1 Hakkımızda ve kapsam

AssurePort, Türkiye merkezli AssurePort Ekibi tarafından işletilen, AI tabanlı bir penetrasyon testi platformudur. Ziyaretçiler, hesap sahipleri ve faturalama irtibat kişileri hakkında topladığımız veriler için veri sorumlusu sıfatıyla hareket ederiz. Müşterilerimizin tarama çalıştırırken yükledikleri veriler (hedef URL'ler, kanıt yakalamaları, tarama raporları) bakımından GDPR'ın 28. maddesi uyarınca veri işleyen olarak hareket ederiz — ayrı Veri İşleme Sözleşmemize bakınız.

Bu politika assureport.com, app.assureport.com ve işlettiğimiz tüm alt alan adlarını kapsar. GDPR'ın 12-14. maddelerini, Türkiye KVKK aydınlatma yükümlülüklerini ve Büyük Britanya'dan gelen ziyaretçiler için UK GDPR karşılıklarını karşılayacak şekilde hazırlanmıştır.

§2 İşlediğimiz veriler

Asgariye indirmek temel ilkemizdir. Hizmeti sunmak için zorunlu olandan fazlasını toplamayız.

KategoriÖrneklerKaynak
Hesape-posta adresi, hashlenmiş magic-link tokenları, oturum çerezi (aprt.session), 2FA gizli anahtarı (hashlenmiş)siz, kayıt olurken
Tarama metaverisihedef ana bilgisayar adı, tarama motoru, rezervasyon kimliği, başlangıç/bitiş zaman damgaları, bulgu sayısı, tarama durumumüşteri tarafından başlatılır
FaturalamaPolar.sh müşteri kimliği, fatura kimliği, plan kademesi, tarama başına rezervasyon tutarı, token bakiye anlık görüntüsü, faturalama defter kayıtları, ödenen tutar, para birimi. Kart numaralarını görmüyoruz — Polar.sh Kayıtlı Satıcı olarak hareket eder.Polar.sh webhook
Teknik telemetritakma adlandırılmış IP (son oktet kesilmiş), kesilmiş user agent, istek yolu, yanıt kodu, istek kimliğiCloudflare edge logları
Destek yazışmalarıe-posta gövdesi, ekler, bilet numarasısiz, iletişime geçtiğinizde
Motor lansman bekleme listesi (v1.23.77, opsiyonel)e-posta adresiniz, ilgilendiğiniz motor (AD Security Assessment / SAP Pentest / Email Security), listeye katılma tarihiniz, IP'niz ve tarayıcı User-Agent'iniz. Yalnızca (a) motor yayına çıktığında sizi bilgilendirmek ve (b) lansman sonrası 14 gün geçerli tek seferlik WAITLIST20 promo kodu teslim etmek için kullanılır. Cloudflare D1'de (AB bölgesi) saklanır. Motor yayına çıktıktan 90 gün sonra silinir. E-postalarımızdaki abonelikten çık bağlantısı veya dpo@assureport.com ile her zaman vazgeçebilirsiniz.siz, açık bekleme formu
Kayıt profili (v1.23.77, opsiyonel)ad, soyad, ülke, şehir, kurum — yinelenen hesapları tespit etmek, dolandırıcılığı caydırmak ve hesap bütünlüğü konularında size ulaşabilmek için hesap oluşturma sırasında toplanır. Her alan opsiyoneldir ve boş bırakılabilir; hesap yalnızca e-posta ile oluşturulabilir.siz, kayıt olurken
Kayıt ağ meta verisi (v1.23.77, zorunlu)kayıt anındaki IP adresi, user-agent dizesi, Cloudflare istek meta verileri (CF-Ray, CF-IPCountry), kabul edilen arayüz dili. Sorumluluk feragatnamesi kabulünü doğrulanabilir bir oturuma bağlamak için otomatik olarak yakalanır.Cloudflare edge
Sorumluluk feragatnamesi kabulü (v1.23.77, zorunlu)feragatname metin hash'i (SHA-256), feragatname sürümü (v1.0), feragatname dili (en/tr/de/fr), kabul zaman damgası (ISO 8601), atıfta bulunulan Hizmet Koşulları sürümü (v1.2) ve maddeleri (§19, §20). Bilgilendirilmiş kabulün hukuki delili olarak yalnızca-ekle (append-only) denetim günlüğünde saklanır.siz, kayıt olurken

§3 Hukuki dayanaklar (GDPR Md. 6)

GDPR'ın 22. maddesi anlamında otomatik karar verme kullanmamaktayız. Tarama AI ajanları, müşterinin gözden geçirdiği bulgular üretir; tarama tamamlandığında token tahsilatı muhasebe işlemidir; gerçek kişi üzerinde hukuki veya benzer şekilde önemli etki doğuran bir karar değildir.

Müşteri tarama verilerini hiçbir üçüncü tarafla paylaşmıyoruz, §6'daki alt işleyici listesi dışında. AssurePort hâlihazırda webhook, üçüncü taraf entegrasyonları, çoklu oturum açma (SAML/SCIM/OIDC) veya white-label / MSSP ortaklık programı sunmamaktadır — mimari taahhüt için Hizmet Koşulları §10'a bakınız.

§4 Saklama süreleri

VeriSüreSebep
Hesap profili (e-posta, hashlenmiş kimlik bilgileri)son girişten itibaren 1 yıl, sonra silmesözleşme + kötüye kullanım savunması
Tarama raporları ve kanıtlartarama tamamlanmasından itibaren 2 yılmüşteri denetim saklaması
Denetim günlüğü (girişler, taramalar, ayar değişiklikleri)90 günolay müdahale penceresi
Faturalama defteri (token rezervasyonları, tahsilatlar, iadeler, hediyeler)10 yılVUK / AB VAT yükümlülüğü
Polar.sh faturaları ve ödeme olayları10 yılmuhasebe / VAT yükümlülüğü
Destek e-posta yazışmaları2 yılsüreklilik, uyuşmazlık savunması
Cloudflare edge logları (takma adlandırılmış)dönen 30 güngüvenlik + çalışma süresi
Kayıt profili alanları (ad, soyad, ülke, şehir, kurum)son girişten itibaren 1 yıl, hesapla birlikte silmehesap bütünlüğü / yinelenen hesap tespiti
Kayıt ağ meta verisi (IP, user-agent, Cloudflare CF-Ray / CF-IPCountry)kayıttan itibaren 7 yılDORA Md. 21 operasyonel risk delili + hukuki taleplerin tesisi, kullanılması veya savunulması (Md. 17(3)(e))
Sorumluluk feragatnamesi kabul kaydı (hash, sürüm, dil, zaman damgası, ToS referansı)kayıttan itibaren 7 yılHizmet Koşulları §19 (Müşteri Beyan ve Tekeffülleri) ve §20 (Tazminat) için sözleşme delili

Hesap silme talebinde, tarama raporları ve kanıtları 30 gün içinde silinir; yasa daha uzun süreli saklama gerektirdiği durumlar (faturalama defteri, Polar.sh faturaları, kayıt ağ meta verisi ve sorumluluk feragatnamesi kabul kaydı) hariç.

§5 Haklarınız (GDPR Md. 15-22)

Hak taleplerinizi dpo@assureport.com adresine gönderin. Bir ay içinde yanıt veririz (karmaşık taleplerde bildirimle birlikte üç aya kadar uzatılabilir).

§6 Alt işleyiciler

Aşağıdaki alt işleyiciler müşteri verilerini bizim adımıza işler. Her biri ile uygun veri işleme şartları imzalarız ve eşdeğer GDPR taahhütleri talep ederiz. Bu listedeki güncellemeler en az 30 gün öncesinden duyurulur; yeni bir alt işleyiciye itiraz edebilir ve gereksinimleri karşılayamıyorsak cezasız fesih yapabilirsiniz.

SağlayıcıAmaçVeri düzlemi
Cloudflare, Inc. (ABD'de tescilli)Edge compute, DNS, DDoS, Workers KVAB veri düzlemi, SCC (Modül 3)
Anthropic, PBC (ABD)Tarama ajanları için AI çıkarımıSCC (Modül 3), sıfır saklama kurumsal sözleşmesi
Polar.sh (AB)Kayıtlı Satıcı, fatura düzenleme, VAT aktarımı, token ekonomisi işleyicisiAB (Hollanda)
Resend (AB)İşlemsel e-posta gönderimi (magic-link, faturalar)AB (İrlanda)
Fly.io, Inc. (ABD)Tarama yürütmesi için sandbox runner'larAB bölgesi (Frankfurt), SCC
Entegrasyon yok, MSSP ortağı yok. AssurePort hâlihazırda webhook, üçüncü taraf entegrasyonları (Slack, Microsoft Teams, Jira, Linear, GitHub Issues, ZenDesk), Çoklu Oturum Açma (SAML/SCIM/OIDC) veya white-label / MSSP ortaklık programı sunmamaktadır. Bu bilinçli bir tasarım tercihidir: tarama bulgularınızın, hedef metaverinizin ve rapor içeriğinizin AssurePort platform sınırı içinde kalmasını ve yukarıda listelenen alt işleyiciler dışında hiçbir üçüncü tarafa aktarılmamasını garanti eder. Gelecekte entegrasyonlar sunarsak bunları opsiyonel özellikler olarak ekler, uygun olduğunda hedefi alt işleyici olarak tanımlar ve aktif hesapları en az 30 gün öncesinden bilgilendiririz.

§7 Uluslararası aktarımlar

Müşteri verisi AB bölgelerinde saklanır. Bir alt işleyici AEA dışında tescilli ise (Cloudflare, Anthropic, Fly.io), aktarımlar Standart Sözleşme Maddeleri (Komisyon Uygulama Kararı (AB) 2021/914) ile tamamlayıcı teknik tedbirler (iletim ve depolama sırasında şifreleme, AB ile sınırlı veri düzlemleri) altında yapılır. Bir aktarım etki değerlendirmesi dosyamızdadır ve talep üzerine paylaşılır.

§8 Çocuklar

AssurePort bir B2B güvenlik hizmetidir. 18 yaş altı kişilerden bilerek veri toplamayız. Bir küçüğün hesap oluşturduğunu düşünüyorsanız dpo@assureport.com adresine bildirin; hesabı 72 saat içinde sileceğiz.

§9 İhlal bildirimi

Bir kişisel veri ihlali gerçek kişilerin hak ve özgürlüklerine yönelik risk doğurması muhtemel ise, baş denetim makamımıza 72 saat içinde bildiririz (Md. 33). Risk yüksekse ilgili kişiler gecikmesiz olarak bilgilendirilir (Md. 34). Bildirim, ihlalin niteliğini, etkilenen kayıt kategori ve yaklaşık sayılarını, DPO iletişim bilgisini, olası sonuçları ve alınan/önerilen önlemleri içerir.

§10 İletişim ve değişiklikler

Gizlilik soruları için: dpo@assureport.com. Diğer hukuki konular için: legal@assureport.com. Posta adresi talep üzerine paylaşılır.

Hizmet evrildikçe bu politikayı revize edebiliriz. Esaslı değişiklikler en az 30 gün önceden aktif hesaplara e-posta ile bildirilir. Sayfanın üst kısmındaki "Yürürlük" tarihi mevcut sürümü yansıtır.

Son güncelleme: 29 Mayıs 2026 · Sürüm: 1.2 · Ayrıca bkz.: Koşullar · DPA · Çerezler

Gültig ab: 29. Mai 2026 · Version: 1.2 · Verantwortlicher: AssurePort-Team · DSB-Kontakt: dpo@assureport.com

Sprache: Die englische Fassung ist die maßgebliche Rechtsfassung. Die Übersetzungen ins Türkische / Deutsche / Französische dienen Ihrer Bequemlichkeit; im Konfliktfall geht die englische Fassung vor.

Inhaltsverzeichnis

  1. Wer wir sind und Anwendungsbereich
  2. Verarbeitete Daten
  3. Rechtsgrundlagen (Art. 6 DSGVO)
  4. Aufbewahrungsfristen
  5. Ihre Rechte (Art. 15-22)
  6. Unterauftragsverarbeiter
  7. Internationale Übermittlungen
  8. Kinder
  9. Meldung von Verletzungen
  10. Kontakt und Änderungen

§1 Wer wir sind und Anwendungsbereich

AssurePort ist eine KI-gestützte Penetrationstest-Plattform, betrieben vom AssurePort-Team mit Sitz in der Türkei. Für Daten, die wir über Besucher, Kontoinhaber und Rechnungsempfänger erheben, sind wir Verantwortlicher. Für Daten, die unsere Kunden während der Scans hochladen (Ziel-URLs, Beweisaufzeichnungen, Scan-Berichte), agieren wir als Auftragsverarbeiter gemäß Artikel 28 DSGVO — siehe unsere gesonderte Auftragsverarbeitungsvereinbarung.

Diese Erklärung gilt für assureport.com, app.assureport.com und alle von uns betriebenen Subdomains. Sie ist so abgefasst, dass sie die Artikel 12-14 DSGVO, die Transparenzpflichten des türkischen KVKK und die UK-GDPR-Pendants für Besucher aus Großbritannien erfüllt.

§2 Verarbeitete Daten

Wir minimieren. Wir erheben nur, was zur Leistungserbringung erforderlich ist.

KategorieBeispieleQuelle
KontoE-Mail-Adresse, gehashte Magic-Link-Tokens, Sitzungs-Cookie (aprt.session), 2FA-Geheimnis (gehasht)Sie, bei der Registrierung
Scan-MetadatenZiel-Hostname, Scan-Engine, Reservierungs-ID, Start-/End-Zeitstempel, Befundanzahl, Scan-Statuskundeninitiiert
AbrechnungPolar.sh-Kunden-ID, Rechnungs-ID, Tarif, Reservierungsbetrag pro Scan, Token-Saldo-Snapshot, Abrechnungsregister-Einträge, gezahlter Betrag, Währung. Wir sehen keine Kartennummern — Polar.sh ist Merchant of Record.Polar.sh-Webhook
Technische Telemetriepseudonymisierte IP (letztes Oktett gekürzt), gekürzter User-Agent, Anfragepfad, Antwortcode, Anfrage-IDCloudflare-Edge-Logs
Support-KorrespondenzE-Mail-Körper, Anhänge, TicketnummerSie, bei Kontaktaufnahme
Engine-Launch-Warteliste (v1.23.77, optional)Ihre E-Mail, die Engine, an der Sie interessiert sind (AD Security Assessment / SAP Pentest / Email Security), das Datum Ihrer Anmeldung, Ihre IP und Ihr Browser-User-Agent. Wird ausschließlich verwendet, um (a) Sie beim Start der Engine zu benachrichtigen und (b) einen einmaligen WAITLIST20-Promo-Code zu liefern, der 14 Tage nach dem Launch gültig ist. Gespeichert in Cloudflare D1 (EU-Region). Wird 90 Tage nach dem Engine-Launch gelöscht. Jederzeit über den Abmeldelink in unseren E-Mails oder per Anfrage an dpo@assureport.com abbestellbar.Sie, beim öffentlichen Warteformular
Registrierungsprofil (v1.23.77, optional)Vorname, Nachname, Land, Stadt, Organisation — bei der Kontoerstellung erhoben, um Mehrfachkonten zu erkennen, Betrug abzuschrecken und Sie in Fragen der Kontointegrität kontaktieren zu können. Jedes Feld ist optional und kann leer bleiben; das Konto kann allein mit der E-Mail-Adresse erstellt werden.Sie, bei Anmeldung
Registrierungs-Netzwerk-Metadaten (v1.23.77, verpflichtend)IP-Adresse zum Zeitpunkt der Anmeldung, User-Agent-String, Cloudflare-Anfrage-Metadaten (CF-Ray, CF-IPCountry), akzeptierte Oberflächensprache. Automatisch erfasst, um die Annahme der Haftungserklärung einer überprüfbaren Sitzung zuzuordnen.Cloudflare Edge
Haftungserklärungs-Annahme (v1.23.77, verpflichtend)Hash des Erklärungstexts (SHA-256), Erklärungsversion (v1.0), Erklärungssprache (en/tr/de/fr), Annahme-Zeitstempel (ISO 8601), referenzierte AGB-Version (v1.2) und Abschnitte (§19, §20). Im nur-anhängenden Audit-Log als rechtlicher Nachweis der informierten Zustimmung gespeichert.Sie, bei Anmeldung

§3 Rechtsgrundlagen (Art. 6 DSGVO)

Wir verwenden keine automatisierte Entscheidungsfindung im Sinne des Artikels 22 DSGVO. Scan-KI-Agenten erzeugen Befunde, die der Kunde überprüft; die Token-Belastung bei Scan-Abschluss ist eine Buchhaltungsoperation, keine Entscheidung mit rechtlicher oder ähnlich erheblicher Wirkung gegenüber einer natürlichen Person.

Wir geben Kunden-Scandaten an keinen Dritten weiter, außer an die in §6 aufgeführten Unterauftragsverarbeiter. AssurePort bietet derzeit weder Webhooks, Integrationen Dritter, Single Sign-On (SAML/SCIM/OIDC) noch White-Label-/MSSP-Partnerprogramme an — siehe Nutzungsbedingungen §10 für die architektonische Verpflichtung.

§4 Aufbewahrungsfristen

WasWie langeWarum
Kontoprofil (E-Mail, gehashte Anmeldedaten)1 Jahr ab letzter Anmeldung, danach LöschungVertrag + Missbrauchsabwehr
Scan-Berichte und Beweise2 Jahre ab Scan-AbschlussKunden-Audit-Aufbewahrung
Audit-Log (Anmeldungen, Scans, Einstellungsänderungen)90 TageVorfallreaktionsfenster
Abrechnungsregister (Token-Reservierungen, Belastungen, Freigaben, Zuteilungen)10 Jahretürkisches VUK / EU-USt.-Pflicht
Polar.sh-Rechnungen und Zahlungsereignisse10 JahreBuchhaltungs- / USt.-Pflicht
Support-E-Mail-Korrespondenz2 JahreKontinuität, Streitabwehr
Cloudflare-Edge-Logs (pseudonymisiert)rollierend 30 TageSicherheit + Verfügbarkeit
Registrierungsprofilfelder (Vorname, Nachname, Land, Stadt, Organisation)1 Jahr ab letzter Anmeldung, dann Löschung zusammen mit dem KontoKontointegrität / Erkennung von Mehrfachkonten
Registrierungs-Netzwerk-Metadaten (IP, User-Agent, Cloudflare CF-Ray / CF-IPCountry)7 Jahre ab AnmeldungDORA Art. 21 Betriebsrisikonachweis + Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 17 Abs. 3 lit. e)
Haftungserklärungs-Annahmedatensatz (Hash, Version, Sprache, Zeitstempel, AGB-Verweis)7 Jahre ab AnmeldungVertragsnachweis für AGB §19 (Zusicherungen des Kunden) und §20 (Freistellung)

Bei Kontolöschung werden Scan-Berichte und Beweise binnen 30 Tagen gelöscht, ausgenommen Fälle, in denen das Gesetz eine längere Aufbewahrung verlangt (Abrechnungsregister, Polar.sh-Rechnungen, Registrierungs-Netzwerk-Metadaten und Haftungserklärungs-Annahmedatensatz).

§5 Ihre Rechte (Art. 15-22 DSGVO)

Senden Sie Auskunftsanfragen an dpo@assureport.com. Wir antworten binnen eines Monats (bei komplexen Anfragen mit Hinweis auf bis zu drei Monate verlängerbar).

§6 Unterauftragsverarbeiter

Die folgenden Unterauftragsverarbeiter verarbeiten Kundendaten in unserem Auftrag. Mit jedem schließen wir entsprechende Auftragsverarbeitungsverträge und verlangen gleichwertige DSGVO-Zusagen. Aktualisierungen dieser Liste werden mit mindestens 30 Tagen Vorankündigung veröffentlicht; Sie können einem neuen Unterauftragsverarbeiter widersprechen und, falls wir keine Lösung anbieten können, ohne Vertragsstrafe kündigen.

AnbieterZweckDatenebene
Cloudflare, Inc. (US-eingetragen)Edge Compute, DNS, DDoS, Workers KVEU-Datenebene, SCC (Modul 3)
Anthropic, PBC (USA)KI-Inferenz für Scan-AgentenSCC (Modul 3), Enterprise-Vertrag mit Null-Speicherung
Polar.sh (EU)Merchant of Record, Rechnungsstellung, USt.-Abführung, Token-Ökonomie-VerarbeiterEU (Niederlande)
Resend (EU)Transaktions-E-Mail-Versand (Magic-Links, Rechnungen)EU (Irland)
Fly.io, Inc. (USA)Sandbox-Runner für Scan-AusführungEU-Region (Frankfurt), SCC
Keine Integrationen, keine MSSP-Partner. AssurePort bietet derzeit weder Webhooks, Integrationen Dritter (Slack, Microsoft Teams, Jira, Linear, GitHub Issues, ZenDesk), Single Sign-On (SAML/SCIM/OIDC) noch White-Label-/MSSP-Partnerprogramme an. Dies ist eine bewusste Design-Entscheidung: Sie gewährleistet, dass Ihre Scan-Befunde, Ziel-Metadaten und Berichtsinhalte innerhalb der AssurePort-Plattformgrenzen verbleiben und an keinen Dritten über die oben gelisteten Unterauftragsverarbeiter hinaus fließen. Sollten wir künftig Integrationen einführen, werden wir diese als opt-in-Funktionen hinzufügen, die Zieladresse ggf. als Unterauftragsverarbeiter behandeln und aktive Konten mindestens 30 Tage vorher benachrichtigen.

§7 Internationale Übermittlungen

Kundendaten werden in EU-Regionen gespeichert. Soweit ein Unterauftragsverarbeiter außerhalb des EWR eingetragen ist (Cloudflare, Anthropic, Fly.io), erfolgen Übermittlungen auf der Grundlage der Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914 der Kommission) zuzüglich ergänzender technischer Maßnahmen (Verschlüsselung bei der Übertragung und im Ruhezustand, EU-beschränkte Datenebenen). Eine Transfer-Folgenabschätzung liegt vor und wird auf Anfrage bereitgestellt.

§8 Kinder

AssurePort ist ein B2B-Sicherheitsdienst. Wir erheben wissentlich keine Daten von Personen unter 18 Jahren. Sollten Sie der Auffassung sein, dass ein Minderjähriger ein Konto erstellt hat, kontaktieren Sie dpo@assureport.com; wir löschen das Konto binnen 72 Stunden.

§9 Meldung von Verletzungen

Sofern eine Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, melden wir dies unserer federführenden Aufsichtsbehörde binnen 72 Stunden (Art. 33). Bei hohem Risiko werden Betroffene unverzüglich informiert (Art. 34). Die Meldung umfasst Art der Verletzung, Kategorien und ungefähre Anzahl betroffener Datensätze, DSB-Kontakt, voraussichtliche Folgen sowie ergriffene oder geplante Abhilfemaßnahmen.

§10 Kontakt und Änderungen

Für Datenschutzfragen: dpo@assureport.com. Für sonstige rechtliche Angelegenheiten: legal@assureport.com. Postadresse auf Anfrage.

Wir können diese Erklärung anlässlich der Weiterentwicklung des Dienstes anpassen. Wesentliche Änderungen werden aktiven Konten mindestens 30 Tage vor Wirksamwerden per E-Mail mitgeteilt. Das Datum „Gültig ab" oben auf dieser Seite spiegelt die jeweils aktuelle Version wider.

Zuletzt aktualisiert: 29. Mai 2026 · Version: 1.2 · Siehe auch: Bedingungen · AVV · Cookies

Date d'effet : 29 mai 2026 · Version : 1.2 · Responsable de traitement : Équipe AssurePort · Contact DPO : dpo@assureport.com

Langue : La version anglaise fait foi sur le plan juridique. Les traductions en turc / allemand / français sont fournies pour votre commodité ; en cas de conflit, la version anglaise prévaut.

Sommaire

  1. Qui sommes-nous et champ d'application
  2. Données traitées
  3. Bases légales (RGPD Art. 6)
  4. Calendrier de conservation
  5. Vos droits (Art. 15-22)
  6. Sous-traitants ultérieurs
  7. Transferts internationaux
  8. Enfants
  9. Notification de violation
  10. Contact et modifications

§1 Qui sommes-nous et champ d'application

AssurePort est une plateforme de tests d'intrusion alimentée par IA, exploitée par l'Équipe AssurePort, basée en Turquie. Nous sommes responsable de traitement pour les données collectées sur les visiteurs, titulaires de compte et contacts de facturation. Pour les données téléchargées par nos clients lors des scans (URL cibles, captures de preuves, rapports de scan), nous agissons en qualité de sous-traitant au sens de l'article 28 RGPD — voir notre Accord de Traitement des Données.

Cette politique couvre assureport.com, app.assureport.com et tous les sous-domaines que nous exploitons. Elle est rédigée pour satisfaire aux articles 12-14 RGPD, aux obligations de transparence de la KVKK turque et aux équivalents UK-GDPR pour les visiteurs depuis la Grande-Bretagne.

§2 Données traitées

Nous minimisons. Nous ne collectons que ce qui est nécessaire à la fourniture du service.

CatégorieExemplesSource
Compteadresse e-mail, jetons magic-link hachés, cookie de session (aprt.session), secret 2FA (haché)vous, à l'inscription
Métadonnées de scannom d'hôte cible, moteur de scan, identifiant de réservation, horodatages de début/fin, nombre de constatations, statut du scandéclenché par le client
Facturationidentifiant client Polar.sh, identifiant de facture, formule, montant de réservation par scan, instantané du solde de jetons, écritures du grand-livre de facturation, montant payé, devise. Nous ne voyons pas les numéros de carte — Polar.sh agit en tant que Merchant of Record.webhook Polar.sh
Télémétrie techniqueIP pseudonymisée (dernier octet tronqué), user agent tronqué, chemin de la requête, code de réponse, identifiant de requêtelogs edge Cloudflare
Correspondance supportcorps du courriel, pièces jointes, numéro de ticketvous, lors du contact
Liste d'attente de lancement des moteurs (v1.23.77, facultatif)votre e-mail, le moteur qui vous intéresse (AD Security Assessment / SAP Pentest / Email Security), la date d'inscription, votre IP et le User-Agent de votre navigateur. Utilisé uniquement pour (a) vous notifier au lancement du moteur et (b) délivrer un code promo unique WAITLIST20 valable 14 jours après le lancement. Stocké dans Cloudflare D1 (région UE). Supprimé 90 jours après le lancement du moteur. Désinscription possible à tout moment via le lien dans nos e-mails ou en écrivant à dpo@assureport.com.vous, sur formulaire public
Profil d'inscription (v1.23.77, facultatif)prénom, nom, pays, ville, organisation — collectés lors de la création du compte afin de détecter les comptes en double, dissuader la fraude et vous contacter pour des questions d'intégrité du compte. Chaque champ est facultatif et peut être laissé vide ; le compte peut être créé avec la seule adresse e-mail.vous, à l'inscription
Métadonnées réseau d'inscription (v1.23.77, obligatoire)adresse IP au moment de l'inscription, chaîne user-agent, métadonnées de requête Cloudflare (CF-Ray, CF-IPCountry), langue d'interface acceptée. Capturées automatiquement pour rattacher l'acceptation de la décharge de responsabilité à une session vérifiable.Cloudflare Edge
Acceptation de la décharge de responsabilité (v1.23.77, obligatoire)hash du texte de la décharge (SHA-256), version de la décharge (v1.0), langue de la décharge (en/tr/de/fr), horodatage d'acceptation (ISO 8601), version des CGU référencée (v1.2) et sections (§19, §20). Conservée dans le journal d'audit en mode ajout uniquement comme preuve juridique d'acceptation éclairée.vous, à l'inscription

§3 Bases légales (RGPD Art. 6)

Nous n'employons aucune décision automatisée au sens de l'article 22 RGPD. Les agents IA de scan produisent des constatations que le client examine ; la facturation des jetons à l'achèvement du scan est une opération comptable, et non une décision produisant des effets juridiques ou significatifs sur une personne physique.

Nous ne partageons pas les données de scan client avec un tiers, hors la liste des sous-traitants ultérieurs au §6. AssurePort n'expose actuellement pas de webhooks, d'intégrations tierces, d'authentification unique (SAML/SCIM/OIDC) ni de programme de partenariat en marque blanche / MSSP — voir nos Conditions §10 pour l'engagement architectural.

§4 Calendrier de conservation

QuoiDuréePourquoi
Profil de compte (e-mail, identifiants hachés)1 an depuis la dernière connexion, puis suppressioncontrat + défense contre les abus
Rapports de scan et preuves2 ans à compter de l'achèvement du scanconservation d'audit client
Journal d'audit (connexions, scans, modifications de paramètres)90 joursfenêtre de réponse à incident
Grand-livre de facturation (réservations de jetons, prélèvements, libérations, attributions)10 ansobligation VUK turc / TVA UE
Factures Polar.sh et événements de paiement10 ansobligation comptable / TVA
Correspondance e-mail support2 anscontinuité, défense en cas de litige
Logs edge Cloudflare (pseudonymisés)30 jours glissantssécurité + disponibilité
Champs du profil d'inscription (prénom, nom, pays, ville, organisation)1 an à compter de la dernière connexion, puis suppression avec le compteintégrité du compte / détection des comptes en double
Métadonnées réseau d'inscription (IP, user-agent, Cloudflare CF-Ray / CF-IPCountry)7 ans à compter de l'inscriptionpreuve du risque opérationnel DORA Art. 21 + constatation, exercice ou défense de droits en justice (Art. 17.3.e)
Enregistrement d'acceptation de la décharge de responsabilité (hash, version, langue, horodatage, référence des CGU)7 ans à compter de l'inscriptionpreuve contractuelle pour les §19 (Déclarations et garanties du client) et §20 (Indemnisation) des CGU

À la suppression du compte, les rapports de scan et les preuves sont purgés sous 30 jours, sauf si la loi exige une conservation plus longue (grand-livre de facturation, factures Polar.sh, métadonnées réseau d'inscription et enregistrement d'acceptation de la décharge de responsabilité).

§5 Vos droits (RGPD Art. 15-22)

Adressez vos demandes à dpo@assureport.com. Nous répondons sous un mois (extensible à trois mois pour les demandes complexes, avec notification).

§6 Sous-traitants ultérieurs

Les sous-traitants ultérieurs ci-après traitent les données client pour notre compte. Nous signons avec chacun les conditions de traitement appropriées et exigeons des engagements équivalents au RGPD. Les mises à jour de cette liste sont publiées avec un préavis minimum de 30 jours ; vous pouvez vous opposer à un nouveau sous-traitant et, si nous ne pouvons accommoder, résilier sans pénalité.

PrestataireFinalitéPlan de données
Cloudflare, Inc. (constituée aux États-Unis)Edge compute, DNS, DDoS, Workers KVplan de données UE, CSC (Module 3)
Anthropic, PBC (États-Unis)Inférence IA pour agents de scanCSC (Module 3), contrat entreprise zéro rétention
Polar.sh (UE)Merchant of Record, émission de factures, reversement de TVA, processeur d'économie de jetonsUE (Pays-Bas)
Resend (UE)Envoi d'e-mails transactionnels (magic-links, factures)UE (Irlande)
Fly.io, Inc. (États-Unis)Runners sandbox pour l'exécution des scansrégion UE (Francfort), CSC
Aucune intégration, aucun partenaire MSSP. AssurePort n'expose actuellement pas de webhooks, d'intégrations tierces (Slack, Microsoft Teams, Jira, Linear, GitHub Issues, ZenDesk), d'authentification unique (SAML/SCIM/OIDC) ni de programme de partenariat en marque blanche / MSSP. Il s'agit d'un choix de conception délibéré : il garantit que vos constatations de scan, métadonnées de cible et contenus de rapport restent dans le périmètre de la plateforme AssurePort et ne sont pas transmis à un tiers au-delà des sous-traitants ultérieurs ci-dessus. Si nous introduisons des intégrations à l'avenir, nous les ajouterons en opt-in, traiterons la destination comme un sous-traitant ultérieur le cas échéant et notifierons les comptes actifs au moins 30 jours à l'avance.

§7 Transferts internationaux

Les données client sont stockées dans des régions UE. Lorsqu'un sous-traitant ultérieur est constitué hors EEE (Cloudflare, Anthropic, Fly.io), les transferts sont régis par les Clauses Contractuelles Types (Décision d'Exécution (UE) 2021/914 de la Commission) assorties de mesures techniques complémentaires (chiffrement en transit et au repos, plans de données restreints à l'UE). Une évaluation d'impact de transfert est tenue et disponible sur demande.

§8 Enfants

AssurePort est un service de sécurité B2B. Nous ne collectons pas sciemment de données auprès de personnes de moins de 18 ans. Si vous estimez qu'un mineur a créé un compte, contactez dpo@assureport.com ; nous supprimerons le compte sous 72 heures.

§9 Notification de violation

Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, nous notifions notre autorité de contrôle chef de file sous 72 heures (Art. 33). Les personnes concernées sont informées sans délai indu en cas de risque élevé (Art. 34). La notification indique la nature de la violation, les catégories et le nombre approximatif d'enregistrements affectés, le contact DPO, les conséquences probables et les mesures prises ou proposées.

§10 Contact et modifications

Pour les questions de confidentialité : dpo@assureport.com. Pour les autres questions juridiques : legal@assureport.com. Adresse postale sur demande.

Nous pouvons réviser cette politique au fil de l'évolution du service. Les modifications matérielles sont notifiées par e-mail aux comptes actifs au moins 30 jours avant leur entrée en vigueur. La date d'effet en haut de cette page reflète la version courante.

Dernière mise à jour : 29 mai 2026 · Version : 1.2 · Voir aussi : Conditions · DPA · Cookies