Bu doküman, kurulum ve sürekli operasyonda kim hangi işten sorumludur sorusunu net cevaplar. Sözleşme eki olarak da kullanılır.
Xpensio iki model sunar: SaaS (Xpensio host eder) ve BYOC (müşteri kendi altyapısını seçer). Bu doküman özellikle BYOC modeli için detaylı ayrım yapar.
| Görev | Müşteri IT | Müşteri SAP BASIS | Xpensio |
|---|---|---|---|
| Cloud sağlayıcı seçimi + sözleşme | R/A | — | I |
| Sunucu/cluster temin etme, OS kurulum | R/A | — | C |
| Network/firewall yapılandırma | R/A | C | C |
| DNS kayıt oluşturma | R/A | — | I |
| SSL sertifika sağlama (Let's Encrypt veya kurum CA) | R/A | — | C |
| Docker / Kubernetes kurulum | R/A | — | C |
| Xpensio image pull (GHCR token alma + saklama) | R/A | — | R (token sağlar) |
.env ve secret üretimi (DB pass, JWT, ENCRYPTION_KEY) |
R/A | — | C (rehberlik) |
| Backend / DB / Web container'ları kurma | R/A | — | C (kılavuz) |
| İlk DB migration ve seed | R/A | — | C |
| Super admin oluşturma | R/A | — | C |
| Setup wizard (org, company, GL config) | R | C | C |
| SAP RFC user oluşturma + yetki | I | R/A | C |
| SAP ABAP raporu (PULL modu) deploy | I | R/A | C (kod sağlar) |
| GL hesap haritası oluşturma | C | R/A | C |
| Identity (LDAP/AD/SAP HCM) bağlantı | R/A | C | C |
| Mail entegrasyonu (Resend/SMTP yapılandırma) | R/A | — | C |
| Mobil uygulama dağıtımı (App Store/MDM) | R/A | — | C (paket sağlar) |
| Pilot kullanıcı eğitimi | R/A | — | C (eğitim materyali) |
| Go-Live kararı | R/A | C | I |
Not: İlk pilot/POC müşterilerinde Xpensio kurulum sürecinde daha aktif rol alabilir (uzaktan veya on-site). Pilot sonrası standart operasyonda Xpensio rolü "C" (rehberlik) seviyesine düşer.
| Görev | Müşteri | Xpensio |
|---|---|---|
| Sunucu, OS, network, DB | I | R/A |
| Backup | I | R/A |
| Yazılım güncelleme | I | R/A |
| Güvenlik yamaları | I | R/A |
| SSL yenileme | I | R/A |
| Kullanıcı yönetimi (web admin'den) | R/A | C |
| SAP yapılandırma değişikliği | R | C |
| Veri export (KVKK silme talebi vb.) | R | C |
| Destek (kullanım soruları) | C | R/A |
| Görev | Müşteri IT | Xpensio |
|---|---|---|
| Sunucu/cluster sağlığı (CPU, RAM, disk) | R/A | I |
| OS güvenlik yamaları | R/A | I |
| Backup çalıştırma + retention politikası | R/A | C |
| Backup test restore | R/A | C |
| Disk büyütme / sunucu boyutlandırma | R/A | C |
| Container restart, sorun giderme L1 | R/A | C |
| SSL sertifika yenileme | R/A | I |
| Cloud sağlayıcısı ile sözleşme + ücret | R/A | I |
| 7/24 monitoring + alarmlama | R/A | I |
| Xpensio yeni versiyon takip + güncelleme uygulama | R/A | C (yeni image + bildirim sağlar) |
| Güvenlik yaması uygulama | R/A | C (patch + e-mail bildirim) |
| Yazılım kod hatası — düzeltme | I | R/A |
| L2 sorun giderme (Xpensio yazılım) — uzaktan rehberlik | C | R/A (e-mail destek) |
| Yeni özellik geliştirme | I | R/A |
| KVKK veri silme talebi | R/A | C |
| Kullanıcı yönetimi | R/A | I |
| SAP yapılandırma değişikliği | R/A | C |
Önemli: BYOC modelinde Xpensio'nun rolü dar ve net: yazılım IP, image teslimi, güvenlik yamaları, e-mail destek. Operasyonel sorumluluk müşteri IT'sindedir.
| Adım | SaaS | BYOC |
|---|---|---|
| İlk müdahale | Xpensio (best-effort) | Müşteri IT (kendi monitoring) |
| Tanı | Xpensio | Müşteri IT |
| Kurtarma | Xpensio | Müşteri IT (kendi sunucu/network/DB) |
| Yazılım kaynaklı hata tespit edilirse | Xpensio fix | Müşteri Xpensio'ya bildirir, Xpensio fix sağlar |
| RCA (root cause) | Xpensio | Müşteri IT (Xpensio yazılım tarafıyla sınırlı) |
| SLA | Best-effort %99.5 | Müşteri altyapısına bağlı; Xpensio yazılım için "best-effort" |
| Adım | SaaS | BYOC |
|---|---|---|
| İlk müdahale | Xpensio (8 iş saati) | Müşteri IT veya Xpensio destek (8 iş saati) |
| Çözüm | Xpensio | Xpensio destek (e-mail / uzaktan rehberlik) |
| Konu | Açıklama |
|---|---|
| Müşteri verisi sahibi | Müşteri (her zaman) |
| Xpensio yazılım IP'si | Xpensio (her zaman) |
| DB yedek hakkı | BYOC: müşteri kendi backup'ını alır / SaaS: müşteri talep edebilir, 5 iş günü içinde sağlanır |
| Veri export hakkı | Tüm modellerde müşteri istediği zaman tam DB dump alabilir (CSV + PostgreSQL native dump) |
| Veri silme hakkı | Sözleşme sonlanırsa: 30 gün içinde tüm SaaS verisi imha edilir, sertifika verilir. BYOC'de müşteri kendi sunucusunu kendisi temizler. |
| Algoritma/AI eğitim | Xpensio, müşteri verisini AI modeli eğitiminde kullanmaz. AI özellikleri (OCR, fraud, chatbot) çalışırken Google Gemini API'ye veri gönderilir; müşteri bu özellikleri kapatabilir. |
| Hizmet | Saatler |
|---|---|
| Standart destek (e-mail) | İş günleri 09:00–18:00 (TR saati) |
| Yanıt SLA | 8 iş saati |
| Kritik güvenlik yaması | 24 saat içinde patch yayını |
| Major güncelleme bildirimi | E-mail ile önceden duyurulur |
Not: Xpensio şu an küçük ekipli operasyondur. 7/24 acil destek, NOC, dedike teknik kaynak gibi kurumsal hizmetler standart pakette yoktur. Bu hizmetler talebe göre özel sözleşme ile değerlendirilebilir.
Sözleşme sonlandığında:
.sql.gz)| Seviye | Kim | Ne zaman |
|---|---|---|
| L1 — Destek (e-mail) | Xpensio | Tüm rutin talepler |
| L2 — Teknik | Xpensio kurucusu (Hakan Olusan) | L1 4 saatte çözemediyse |
| Yönetimsel | Xpensio | Sözleşmesel anlaşmazlık |
Müşteri tarafı eskalasyonu sözleşmede tanımlı kişilere yönelir (genelde: IT Müdürü → CIO → CFO).
Bu doküman, Kişisel Verilerin Korunması Kanunu (KVKK), GDPR ve veri ikameti açısından Xpensio'nun nasıl çalıştığını ve müşterinin (veri sorumlusu) sorumluluklarını açıklar.
Hedef kitle: Müşteri Hukuk, Compliance, KVKK İrtibat Kişisi (VERBIS), CIO.
| Model | Veri Lokasyonu | KVKK Açısından |
|---|---|---|
| SaaS | Almanya (Hetzner Falkenstein) | Yurt dışına aktarım — KVKK m.9 kapsamında standart sözleşme şartları (taahhütname) veya açık rıza gerekir. AB GDPR koruması altındadır. Xpensio standart taahhütnameyi sağlar. |
| BYOC | Müşteri belirler (kendi DC, TR cloud, AB cloud, hyperscaler) | Müşteri tam kontrol sahibi. Veri Xpensio'ya hiçbir zaman ulaşmaz (telemetri/log dahil — sözleşmesel). KVKK uyumu müşterinin seçimi ve sorumluluğunda. |
Pratik karar: KVKK uyumu için "AB GDPR yeterli" diyen müşteri SaaS'i tercih eder. Veri TR'de tutulması gereken müşteri BYOC'yi tercih eder ve kendi TR cloud sağlayıcısını seçer. Hukuk ekibinin görüşü zorunludur.
| Veri Kategorisi | Örnek | Saklama Süresi | Yasal Dayanak |
|---|---|---|---|
| Kimlik | Ad-Soyad, T.C. (opsiyonel), e-posta, telefon | İş ilişkisi süresince + 10 yıl (defter saklama) | Sözleşme + yasal yük. |
| İletişim | E-posta, telefon | Aynı | Sözleşme |
| Mesleki | Pozisyon, departman, cost center, manager hiyerarşisi | İş ilişkisi süresince | Sözleşme |
| Finansal | Banka IBAN (ödeme için), masraf tutarları | 10 yıl (VUK 253) | Yasal yük. |
| Görsel | Fiş fotoğrafı (üzerinde isim olabilir) | 10 yıl (VUK) | Yasal yük. |
| Konum | Mobil GPS (sadece açıkça izin verilmiş alanlarda — yol km, istasyon konumu) | İş günü süresince + 1 yıl | Açık rıza |
| Lokasyon (IP) | Web/mobil login IP'leri (audit) | 2 yıl | Meşru menfaat |
| Biyometrik | Yok | — | — |
| Özel nitelikli | Sağlık raporu (sağlık masrafında ek) | İş ilişkisi süresince | Açık rıza |
Xpensio özel nitelikli veriyi (sağlık dahil) sadece müşteri tenant'ında izin verilirse işler. Default kapalıdır.
Xpensio yazılımı aşağıdaki güvenlik özelliklerini sağlar (her iki modelde de geçerli):
| Kategori | Önlem |
|---|---|
| Şifreleme (at-rest) | SAP credential ve hassas alanlar AES-256 ile şifrelenir (uygulama düzeyinde). PostgreSQL TDE / disk şifreleme müşteri seçimine bağlı (BYOC'de). |
| Şifreleme (in-transit) | TLS 1.2+ (1.3 önerilen) |
| Erişim kontrolü | RBAC (5 rol), org izolasyonu (tenant bazlı), IDOR koruması |
| Authentication | bcrypt password hash (cost 10), JWT 15 dk expiration |
| Audit log | Tüm yönetici işlemleri (kim, ne, ne zaman, hangi IP) |
| Secret yönetimi | Environment variable + dosya secret, kod içinde plaintext yok |
| Vulnerability scan | CI'da npm audit, image scan |
Altyapı düzeyi güvenlik (sunucu sertleştirme, network izolasyonu, SIEM, IDS/IPS) SaaS'te Xpensio, BYOC'de müşterinin sorumluluğundadır.
Xpensio yazılımı, müşterinin veri sahibi taleplerini karşılamasına yardımcı olan araçlar sağlar:
| Hak | Yazılımın Sağladığı | Müşterinin Yapması Gereken |
|---|---|---|
| Bilgi talebi (m.11) | Veri export aracı (CSV, PDF) | Talep alma + yanıtlama |
| Düzeltme | Web UI veya API ile | Veri sorumlusu |
| Silme (unutulma hakkı) | DB'den hard-delete + uploads silme + audit | Talep alma + yasal kontrol |
| Aktarım (data portability) | JSON / CSV export | Talep alma |
| İşlemeye itiraz | Kullanıcı disable + veri archive | Hukuki değerlendirme |
Aşağıdaki durumlar silmeyi engelleyebilir:
Bu durumlarda yazılım veri "anonimleştirir" (kimlik alanları null yapılır, tutar/tarih korunur).
| Adım | Süre | Kim |
|---|---|---|
| Xpensio yazılımdan kaynaklı ihlal tespit eder → müşteriyi bilgilendirir | 24 saat | Xpensio |
| Müşteri KVKK Kurulu'na bildirir | 72 saat (KVKK m.12/5) | Müşteri |
| Etkilenen veri sahiplerine bildirim | "En kısa sürede" | Müşteri |
| RCA + düzeltici aksiyonlar | 5 iş günü | Xpensio + Müşteri |
Not: ISO 27001, SOC 2 gibi resmi sertifikalar şu an mevcut değildir. Xpensio küçük operasyondur; bu sertifikalar büyüme sürecinde alınacaktır. Müşteri talep ederse hangi standartlara doğru ilerlendiği paylaşılır.
BYOC modelinde: Müşteri kendi sub-processor'larını seçer (cloud sağlayıcı, mail servisi, vb.). Aşağıdaki liste sadece SaaS modelinde Xpensio'nun kullandığı 3. parti hizmetleri kapsar.
| Sub-Processor | Hizmet | Veri Türü | Lokasyon | KVKK Pozisyonu |
|---|---|---|---|---|
| Hetzner | Hosting (sunucu + DB) | Tüm tenant verisi | Almanya (Falkenstein) | DPA |
| GitHub (GHCR) | Container image registry | Kişisel veri yok (sadece yazılım) | ABD/AB | Sadece yazılım dağıtımı |
| Resend | Mail gönderimi | E-posta adresi, isim, mail içeriği | AB | DPA |
| Cloudflare | CDN + DDoS koruma | HTTP traffic metadata | Global | DPA |
| Google Firebase (FCM) | Mobil push notification | Cihaz token (kimlik içermez) | Global | Müşteri tenant'ında opsiyonel kapatılabilir |
| Google Gemini API | AI özellikleri (OCR, fraud, chatbot) | Fiş içeriği | Global | Müşteri tenant'ında opsiyonel kapatılabilir; Workspace API kullanılır → veri eğitime kullanılmaz |
Önemli: Firebase ve Gemini özellikleri her tenant için ayrı ayrı kapatılabilir. KVKK'ya hassas SaaS müşterisi bunları devre dışı bırakabilir (OCR Tesseract'a düşer, push web bildirim ile sınırlanır, chatbot devre dışı kalır).
BYOC modelinde müşteri:
Müşterinin çalışanlarına vereceği aydınlatma metninde Xpensio'yu mention etmesi gereken örnek paragraf:
"Şirketimiz, masraf yönetim süreçlerinde Xpensio yazılımını kullanmaktadır. Çalışanlarımızın masraf bildirimi, fiş yüklemesi ve onay süreçlerinde işlenen kimlik, iletişim, mesleki ve finansal verileri bu yazılım üzerinden işlenmektedir. Veri lokasyonu: [SaaS: Almanya — Hetzner / BYOC: müşteri seçimi belirtilir]. [SaaS müşterisi için ek:] Xpensio bu verileri sadece şirketimizin talimatına göre işlemekte, kendi bağımsız amacıyla kullanmamaktadır. Detaylı bilgi: [Xpensio Aydınlatma Metni linkı]."
Xpensio standart sözleşmesi şunları içerir (müşteri talebine göre özelleştirilebilir):
S: Almanya'da veri tutmamız KVKK'ya uygun mu? (SaaS) C: Evet, ancak KVKK m.9 koşullarını sağlamak müşterinin sorumluluğudur (standart sözleşme şartları veya açık rıza). Xpensio standart sözleşme şartlarını sağlar. Hukuk ekibiniz hangi yolu seçeceğini değerlendirmelidir. KVKK riskini sıfırlamak isteyen müşteri BYOC'yi tercih eder ve kendi TR sağlayıcısını seçer.
S: BYOC modelinde Xpensio'ya KVKK için hangi belgeler gerekir? C: BYOC modelinde Xpensio veri işleyen sıfatına sahip değildir, çünkü veri Xpensio'ya ulaşmaz. Sadece yazılım lisans sözleşmesi ve destek paketi sözleşmesi imzalanır. KVKK uyumu, müşterinin seçtiği cloud sağlayıcısı ve kendi iç süreçleriyle sağlanır.
S: Çalışanımız "verilerim silinsin" dediğinde ne yaparız? C: Talep müşteriye gelir. SaaS'te: müşteri Xpensio'dan silme talebi açar (web admin → Kullanıcı → Sil veya destek@xpensioapp.com). BYOC'de: müşteri IT kendi sisteminde silmeyi yapar (Xpensio web UI üzerinden veya doğrudan DB). Yasal saklama süresi dolmamış (VUK 10 yıl) veriler anonimleştirilir, dolduysa tamamen silinir.
S: SAP'taki veri ile Xpensio'daki veri arasındaki ilişki KVKK'da nasıl? C: SAP, müşterinin kendi sistemi. Xpensio sadece SAP'a yazar/okur. Xpensio SAP üzerinde veri sorumlusu değil — sadece SAP'a posting agent. SAP'taki saklama müşterinin kendi KVKK politikasına tabi.
S: Xpensio veriyi AI eğitiminde kullanır mı? C: Hayır. Müşteri tenant verisi hiçbir AI modeli eğitiminde kullanılmaz. Sadece AI özelliklerini çalıştırmak için (OCR, fraud) Google Gemini API'ye gönderilir, Google da bu veriyi eğitime kullanmadığını sözleşmesel olarak garanti eder (Gemini Workspace API). Müşteri AI özelliklerini tamamen kapatabilir.
S: BYOC'de veri ihlali olursa Xpensio sorumlu mudur? C: Müşteri altyapısından kaynaklı ihlalde Xpensio sorumlu değildir (sunucu, network, OS, DB ops müşteride). Xpensio yazılım kodundan kaynaklı bir güvenlik açığı tespit edilirse Xpensio fix sağlar; sözleşmesel tazminat sınırları Ana Hizmet Sözleşmesi'nde tanımlıdır.