Sertifikalı Veri İmha

GDPR & Avrupa

GDPR Uyumlu Veri İmha Yazılımı

Article 17 unutulma hakkı ve Article 5 saklama sınırı için NIST 800-88 sertifikalı imha. Avrupa kuruluşları için tasarlandı.

Demo Talep Et Fiyatlandırma
✓ GDPR Article 17 ✓ Article 5(1)(e) ✓ NIST SP 800-88 ✓ ISO 27001 ✓ Tamper-Proof Certificates

Sorun

GDPR Article 17 için "delete" yetmez.

GDPR, kişisel verilerin "gecikmeksizin silinmesini" zorunlu kılar (Article 17). Standart işletim sistemi silme komutları, hızlı format ve eski yedeklerin "geri dönüşüm kutusuna atılması" gerçek imha sayılmaz — basit kurtarma araçlarıyla geri getirilebilirler. Article 5(1)(e) "Storage Limitation Principle", saklama süresi dolan verilerin imhasını gerektirir. Denetimde "sildik" beyanı belge ile desteklenmelidir.

⚖️

20M EUR'ya Kadar Ceza

Article 83 yıllık cironun %4'üne veya 20M EUR'ya kadar idari para cezası tanımlar — hangisi büyükse.

📋

Saklama Sınırı

Article 5(1)(e): veri amaca ulaşılınca silinmeli. Eski yedek diskler, kullanım dışı dizüstüler tipik ihlal kaynağı.

📑

İspat Yükü

GDPR'de ispat yükü veri sorumlusundadır. "Sildik" beyanı sertifika ile desteklenmezse denetimde geçersizdir.

Maddeler ve PIWIPE

PIWIPE GDPR maddelerini nasıl karşılıyor

Art. 17
Unutulma Hakkı
Kişisel verilerin gecikmeksizin silinmesi

Veri sahibinin silme talebinde, veriler hem üretim sistemlerinden hem de yedek/arşiv ortamlarından kaldırılmalıdır. PIWIPE, hizmet dışı yedek diskleri NIST 800-88 ile imha eder ve her cihaz için doğrulanabilir sertifika sağlar. Cloud konsoldaki sertifika arşivi, denetim talebinde data subject'e veya DPA'ya QR ile gösterilebilir.

Art. 5(1)(e)
Saklama Sınırı
Verilerin gerekenden uzun saklanmaması

Saklama süresi dolan kişisel verilerin imhası için sistematik bir süreç gerekir. PIWIPE, IT yenileme, dizüstü envanter ve mobil cihaz dönüşüm akışlarına entegre edilerek otomatik sertifikalı imha sağlar. Her sertifika cihaz seri, kullanılan metod ve SHA-256 hash içerir.

Art. 32
İşleme Güvenliği
Uygun teknik ve organizasyonel önlemler

Article 32, "tahrip" senaryosunu içeren risk ve güvenlik kontrolleri gerektirir. Sertifikalı imha, donanım yaşam döngüsünün son aşamasında bu kontrolün uygulanmasıdır. PIWIPE'in 5 farklı standardı (NIST, DoD, NVMe Sanitize vb.), risk değerlendirmenize göre seçim esnekliği verir.

ISO
ISO 27001 + ISO 27040
GDPR uyum çerçevesinde tamamlayıcı standartlar

ISO 27001 ISMS kontrol A.8.10 "Information Deletion" ve ISO 27040 storage security, donanım imhası için referans çerçeveler sağlar. PIWIPE, sertifika ve denetim izi ile bu kontrolleri karşılar; ISO 27001 sertifikalı kuruluşların iç denetim raporlarında doğrudan kanıt olarak kullanılır.

DPA Sunumu

Veri koruma otoritesine sunulabilir kayıt

Her sertifika 3 katmanlı doğrulama içerir: SHA-256 hash, PKCS#7 dijital imza ve QR ile public doğrulama linki — login gerekmez.

Veri Sahibi Erişimi

Article 17 talebinde QR ile doğrulanabilir sertifika sunulabilir.

DPA Denetimi

Toplu sertifika dışa aktarma ile veri koruma kuruluna teslim.

AB Veri Yerleşimi

Cloud konsol opsiyonel olarak AB sunucularında host edilebilir.

Zincir Bütünlük

SHA-256 hash + dijital imza ile değişiklik tespiti.

PIWIPE GDPR sertifika örneği

Sektörel Senaryolar

GDPR yaşam döngüsünün her aşamasında PIWIPE

Bankacılıktan e-ticarete, HR çıkış sürecinden ihlal sonrası kontrole kadar — Avrupa kuruluşlarının somut senaryoları.

🏦

Bankacılık — Veri Sahibi Talebi

Müşteri Article 17 silme talebinde bulunduğunda, müşteri evrakının kopyaları farklı disklerde olabilir. PIWIPE belirli müşteri envanterini bulup sanitize eder; her cihaz için QR doğrulamalı sertifika 1 ay yanıt süresinde sunulur.

🛒

E-Ticaret — Retention Sınırı

Sipariş geçmişi ve ödeme verisi yasal sürelerle sınırlı. PIWIPE periyodik envanter modu ile retention tablosuna göre eski yedek diskleri tarar; süre dolan medya otomatik raporda işaretlenir, sanitize ile Article 5(1)(e) karşılanır.

👤

HR Offboarding

Eski çalışan laptop, telefon ve USB belleklerinde HR ve özel kategori veriler kalır. Çıkış sürecine PIWIPE entegre — laptop NIST 800-88 Purge, telefon Knox/Apple Erase All, sertifika dosyası kişisel dosyaya eklenir.

🚨

GDPR İhlali Sonrası Kontrol

Article 33 72-saatlik bildirim sonrası, kontrol önlemi olarak ilgili tüm donanım sanitize ve sertifikalandırılır. DPA'ya sunulan rapor PIWIPE arşivinden hazır gelir.

🔄

IT Yenileme & ITAD

Üç yıllık döngüde yenilenen kurumsal cihazlar ITAD partnera teslim edilmeden önce PIWIPE ile sanitize edilir. Cloud arşiv ITAD sertifikası ile çift doğrulama; chain-of-custody ihlal riskini sıfırlar.

📦

Eski Yedek Tape & USB Arşiv

Veri merkezi köşesinde 5+ yıllık yedek arşivler hâlâ AB vatandaşı verisi taşıyabilir. PIWIPE eski arabirimleri (SCSI, eSATA, USB-A) destekler ve toplu sanitize sertifikası üretir.

Diğer çerçeveler: NIST 800-88 · HIPAA · KVKK

Uyum Kontrol Listesi

GDPR veri imha denetim hazırlığı

Article 5, 17, 30, 32 ve 33 temelinde 9 maddelik liste. PIWIPE'ın doğrudan karşıladığı kontroller (✓), kuruluşunuzun yazılı politikasını gerektirenler (◐) ile işaretli.

  • Kişisel Veri Envanteri — Article 30 kapsamında işleme kayıtları; PIWIPE bağlanan her cihazın seri/tip kaydını tutar.
  • Retention Tablosu — Veri kategorisi başına saklama süresi tanımlı olmalı; PIWIPE periyodik tarama bu tabloyla eşleşir. (◐)
  • NIST 800-88 Standart Uygulaması — Article 32 "uygun teknik önlem"; PIWIPE Clear/Purge seviyesini cihaza göre seçer.
  • Data Subject Talep Süreci — 1 ay yanıt süresi (Article 12); PIWIPE workflow log ile süreyi izler.
  • Tamper-Proof Sertifika Üretimi — SHA-256 + PKCS#7 imza; her cihaz için bağımsız doğrulama.
  • AB Veri Yerleşimi (opsiyonel) — Cloud konsol AB sunucusunda host edilebilir; SCC/transfer assessment hazırdır.
  • DPA Erişim Hazırlığı — Toplu PDF/CSV export; QR ile public doğrulama.
  • DPIA / TIA Belgesi — Article 35 yüksek risk işleme öncesi etki değerlendirmesi; PIWIPE kullanım örneği şablon olarak verilir. (◐)
  • İhlal Bildirim Hazırlığı — Article 33 72-saat yanıtı için silme sertifikası "no risk" değerlendirmesinin temelidir.

Sıkça Sorulanlar

GDPR & Veri İmha

PIWIPE bir veri işleyici (processor) midir?
PIWIPE Windows uygulaması cihazda yerel çalışır; kişisel veri işlemez veya saklamaz, sadece imha eder. Cloud konsol metadata (cihaz seri, tarih, hash) tutar — kişisel veri içermez. Kurumsal müşterilerimiz için DPA imzalanabilir.
AB dışı sunucu kullanmak GDPR'a uyar mı?
Cloud konsol opsiyonel olarak AB veya Türkiye sunucularında host edilebilir. Türkiye seçeneği KVKK uyumu için tercih edilir; GDPR Türkiye yeterlilik kararı kapsamında değildir, bu nedenle AB veri sahipleri için EU host önerilir. ABD veya üçüncü ülke için SCC sağlanır.
Yedek diskleri silmem yeterli mi?
Hayır. Veri tüm kopyalardan silinmelidir: production sistemler, replikalar, yedek diskler, çıktı arşivler ve eski donanım. PIWIPE donanım yaşam döngüsünün son halkasını sertifikalandırır.
Sertifikaları kaç yıl saklamam gerekir?
GDPR doğrudan saklama süresi belirtmez; ancak iyi pratik 6 yıl (Article 30 işleme kayıtları paralelinde). PIWIPE cloud konsolu süresiz arşivler ve toplu dışa aktarmaya izin verir.
Veri sahibi (data subject) erişim/silme talebi geldiğinde süreç nedir?
Article 12 ve 17 kapsamında talep aldıktan sonra 1 ay içinde yanıt verilmeli. Tipik PIWIPE akışı: (1) talep loglanır; (2) ilgili cihaz/medya envanterden bulunur; (3) NIST 800-88 ile sanitize edilir; (4) sertifika üretilir; (5) data subject'e QR doğrulamalı sertifika sunulur. Ek dokümantasyon DPA için cloud konsoldan dışa aktarılır.
EU-US arası veri transferi (Schrems II sonrası) ne durumda?
PIWIPE cloud konsolu opsiyonel olarak AB sunucularında host edilebilir; bu durumda veri AB sınırı dışına çıkmaz. ABD veya üçüncü ülke host tercih edilirse Standard Contractual Clauses (SCC) ve transfer impact assessment dökümanları sağlanır. Yalnızca metadata transfer edilir (kişisel veri değil).
Article 30 (Records of Processing) için sertifikalar yeterli mi?
Article 30 işleme aktivitelerinin kaydını gerektirir; "erasure" da bir işleme türüdür. PIWIPE sertifika arşivi (cihaz seri, tarih, metod, hash, operatör) Article 30 raporlamanız için doğrudan kanıt niteliğindedir. Cloud konsoldan tarih aralığı ile toplu CSV/PDF export yapılabilir.
Data minimisation prensibine PIWIPE nasıl katkı sağlar?
Article 5(1)(c) "data minimisation" — yalnızca gerekli veri saklanmalı. Eski yedek diskler, hizmet dışı laptoplar ve bilinmeyen depolama envanteri minimisation prensibinin ihlali kabul edilir. PIWIPE periyodik envanter taraması + sanitize ile pasif veri stokunu kapatır.
GDPR ihlal bildiriminde (72 saat) sertifika nasıl yardımcı olur?
Article 33 ihlalin 72 saat içinde DPA'ya bildirilmesini gerektirir. Cihaz kaybolduysa veya emekliye ayrılan disk yanlış mecra ile dağıtıldıysa, daha önce silindiğine dair sertifika "no risk to data subjects" değerlendirmesinin temelini oluşturur. Bu durumda Article 34 bireysel bildirim yükümlülüğü düşebilir.

AB Veri Yerleşimi

Schrems II sonrası: sertifikaları AB'de veya kendi sunucunuzda tutun

GDPR Article 44-49 yetersiz korumaya sahip ülkelere kişisel veri aktarımını kısıtlar. Schrems II kararı (C-311/18) sonrasında ABD'ye aktarım için Standard Contractual Clauses tek başına yetersiz; Transfer Impact Assessment ve ek teknik tedbirler gerekiyor. Sertifikalar PII (cihaz seri, operatör email, müşteri adı) içerdiğinden, bunları yurt dışı bir cloud'da saklamak DPA tarafından sorgulanabilir bir aktarım olarak değerlendirilebilir.

PIWIPE
Customer FTP/SFTP — AB veya On-Prem
Aktarımı tamamen ortadan kaldırın

PIWIPE her sertifikayı belirlediğiniz FTP/SFTP sunucusuna otomatik yazar — bu sunucu AB'deki veri merkezinizde (Frankfurt, Amsterdam, Paris, Dublin), GDPR-uyum sertifikalı bir AB cloud sağlayıcısında (OVH, Hetzner, Scaleway) veya kendi ofisinizde olabilir. PIWIPE cloud konsoluna sync opsiyoneldir ve kapatılabilir; bu durumda kişisel veri içeren sertifikalar AB sınırı dışına asla çıkmaz. Article 44 aktarım rejimine girmemiş olur. Karşılaştırma sayfası →

GDPR yaşam döngüsünü PIWIPE ile kapatın.

Demo ve fiyat için iletişim.

Demo Talep Et Bize Ulaşın

Veya bizi arayın: +90 212 916 12 22