Alt İşleyiciler · Sub-Processors
Sürüm 2.0-draft · 10 Mayıs 2026 / Version 2.0-draft · 10 May 2026
Aşağıdaki üçüncü taraf hizmet sağlayıcılar, ArchitectAPI Platform'u sunabilmek için kişisel veri işleyebilir. Listede yapılacak değişiklikler hesap sahiplerine en az 30 gün önceden e-posta ile bildirilir. İtiraz hakkı DPA Bölüm 5'te düzenlenmiştir.
Şeffaflık taahhüdü: ArchitectAPI kart numarasını (PAN) saklamaz, işlemez; tüm ödeme verisi doğrudan PCI-DSS sertifikalı ödeme sağlayıcısına iletilir. Yetkisiz erişim tespitinde 48 saat içinde hesap sahibine ve KVKK Kurumu'na bildirim yapılır.
Aktif Alt İşleyici Listesi
| Alt İşleyici | Amaç | Konum | Veri Kategorisi | Hukuki Dayanak | Aktarım Mekanizması | Aktif Tarih |
|---|---|---|---|---|---|---|
| Iyzico TR Ödeme |
Kredi/banka kartı ödemeleri, 3D Secure, iade | İstanbul, TR | Ödeme metadata (PAN saklanmaz) | Sözleşmenin ifası (KVKK m.5/2-c) | Yurt içi — N/A | 2025-03-01 |
| PayTR TR Ödeme |
Alternatif TR ödeme sağlayıcısı, 3D Secure | İstanbul, TR | Ödeme metadata | Sözleşmenin ifası | Yurt içi — N/A | 2025-04-15 |
| Stripe Global Ödeme |
Yurt dışı kullanıcılar için abonelik faturalama | Dublin, IE / Delaware, US | Ödeme metadata, fatura adresi | Sözleşmenin ifası | SCC Module 3 (P→P) + EU-U.S. DPF certified | 2025-09-10 |
| AWS Altyapı |
Cloud hosting (compute, S3, RDS) | Frankfurt, DE (eu-central-1) · İrlanda, IE (eu-west-1) | Tüm uygulama verisi (şifreli) | Meşru menfaat + sözleşmenin ifası | EU içi (AB→AB) — SCC gerekmez. AWS DPA + EU-U.S. DPF certified (parent) | 2025-01-15 |
| Hetzner Yedek Altyapı |
DR (disaster recovery) yedek konum | Nürnberg, DE | Sistem yedekleri (şifreli) | Meşru menfaat | EU içi — SCC gerekmez. Hetzner GDPR Notice | 2025-08-01 |
| Google Gemini AI / OCR |
Doküman OCR, yapılandırılmış veri çıkarma | US (Google Cloud) | Doküman içeriği (PII redact edilir) | Açık rıza (modül aktivasyonu) | SCC Module 3 + EU-U.S. DPF certified + Google Workspace DPA | 2025-11-20 |
| Anthropic Claude AI |
Sözleşme özetleme, dilekçe üretimi (KontratAI/DilekçeAI) | US | Doküman içeriği (PII redact) | Açık rıza (modül aktivasyonu) | SCC Module 3 + UK Addendum + Anthropic DPA | 2026-01-15 |
| OpenAI AI (opsiyonel) |
Alternatif LLM (Kullanıcı tercihinde) | US | Doküman içeriği (PII redact) | Açık rıza | SCC Module 3 + OpenAI DPA + zero-retention API | Planlandı (henüz aktif değil) |
| Netgsm TR SMS |
SMS hatırlatma teslimatı | İstanbul, TR | Telefon numarası, mesaj içeriği | Sözleşmenin ifası | Yurt içi — N/A | 2025-06-01 |
| Twilio Global SMS |
Uluslararası SMS | US, IE | Telefon, mesaj içeriği | Sözleşmenin ifası | SCC Module 3 + EU-U.S. DPF certified + Twilio DPA | 2025-10-05 |
| Meta WhatsApp Cloud API Mesajlaşma |
WhatsApp hatırlatma (onaylı şablon) | IE (Meta Platforms Ireland), US | Telefon, mesaj içeriği | Açık rıza (opt-in) | SCC Module 3 + Meta DPA + EU-U.S. DPF certified | 2025-12-01 |
| SendGrid (Twilio) |
İşlemsel e-posta teslimatı | US | E-posta adresi, mesaj içeriği | Sözleşmenin ifası | SCC Module 3 + EU-U.S. DPF certified | 2025-04-01 |
| Google Analytics 4 Analitik |
Pazarlama sitesi trafik analizi (IP anonim) | US | IP (anonim), tarayıcı, sayfa görüntüleme | Açık rıza (cookie banner) | SCC Module 3 + EU-U.S. DPF certified + GA4 DPA | 2025-02-10 |
İtiraz ve Bilgilendirme
Yeni bir alt işleyici eklenmesi durumunda hesap sahibinizin kayıtlı e-postasına 30 gün öncesinden bildirim gönderilir. İtiraz için support@architectapi.com adresinden makul gerekçe belirterek bize ulaşabilirsiniz. İtiraz halinde alt işleyiciden kaynaklı spesifik bir hizmet durdurulabilir, eşdeğer alternatif değerlendirilebilir veya etkilenen abonelik pro-rata iade ile feshedilebilir (DPA §5).
The third-party service providers below may process personal data to deliver the ArchitectAPI Platform. Changes to this list are communicated to account holders by email at least 30 days in advance. Right to object: see DPA §5.
Transparency commitment: ArchitectAPI never stores or processes the card PAN; payment data is forwarded directly to the PCI-DSS-certified processor. Unauthorised access is reported to the account holder and the supervisory authority within 48 hours of detection.
Active Sub-processor List
| Sub-processor | Purpose | Location | Data Category | Lawful Basis | Transfer Mechanism | Activation |
|---|---|---|---|---|---|---|
| Iyzico TR Payments |
Card payments, 3D Secure, refunds | Istanbul, TR | Payment metadata (no PAN) | Performance of contract | Domestic (TR) — N/A | 2025-03-01 |
| PayTR TR Payments |
Alternative TR payment provider, 3DS | Istanbul, TR | Payment metadata | Performance of contract | Domestic — N/A | 2025-04-15 |
| Stripe Global Payments |
International subscription billing | Dublin, IE / Delaware, US | Payment metadata, billing address | Performance of contract | EU SCC Module 3 (Processor-to-Processor) + EU-U.S. DPF certified + UK IDTA Addendum | 2025-09-10 |
| AWS Infrastructure |
Cloud hosting (compute, S3, RDS) | Frankfurt, DE / Dublin, IE | All application data (encrypted) | Legitimate interest + contract | Within EU/EEA — SCCs not required for in-region. AWS DPA + EU-U.S. DPF (group) | 2025-01-15 |
| Hetzner Backup Infra |
DR backup location | Nürnberg, DE | System backups (encrypted) | Legitimate interest | Within EU — SCCs N/A | 2025-08-01 |
| Google Gemini AI / OCR |
Document OCR, structured extraction | US (Google Cloud) | Document content (PII redacted) | Explicit consent (module activation) | EU SCC Module 3 + EU-U.S. DPF certified + UK IDTA + Google Workspace DPA | 2025-11-20 |
| Anthropic Claude AI |
Contract summarisation, drafting (KontratAI/DilekçeAI) | US | Document content (PII redacted) | Explicit consent | EU SCC Module 3 + UK Addendum + Anthropic DPA + zero-retention API | 2026-01-15 |
| OpenAI AI (optional) |
Alternative LLM (Customer-selected) | US | Document content (PII redacted) | Explicit consent | EU SCC Module 3 + OpenAI DPA + zero-retention API | Planned (not yet active) |
| Netgsm TR SMS |
SMS reminder delivery | Istanbul, TR | Phone, message content | Performance of contract | Domestic — N/A | 2025-06-01 |
| Twilio Global SMS |
International SMS | US, IE | Phone, message content | Performance of contract | EU SCC Module 3 + EU-U.S. DPF certified + UK IDTA + Twilio DPA | 2025-10-05 |
| Meta WhatsApp Cloud API Messaging |
WhatsApp reminders (template-only) | IE (Meta Platforms Ireland), US | Phone, message content | Explicit consent (opt-in) | EU SCC Module 3 + Meta DPA + EU-U.S. DPF certified | 2025-12-01 |
| SendGrid (Twilio) |
Transactional email delivery | US | Email address, message content | Performance of contract | EU SCC Module 3 + EU-U.S. DPF certified | 2025-04-01 |
| Google Analytics 4 Analytics |
Marketing-site traffic analytics (IP anonymised) | US | IP (anonymised), browser, page views | Cookie consent | EU SCC Module 3 + EU-U.S. DPF certified + GA4 DPA | 2025-02-10 |
Notification & Right to Object
New sub-processors are announced by email to your account address at least 30 days in advance. To object, contact support@architectapi.com with reasonable grounds. We will pause the affected service, evaluate equivalent alternatives, or — if no alternative is feasible — let you terminate the affected subscription with a pro-rata refund (DPA §5).
SCC Module Reference
- Module 2 — Controller (Customer / EEA-based) → Processor (ArchitectAPI). Used for transfers from EEA Customers to ArchitectAPI in Türkiye.
- Module 3 — Processor (ArchitectAPI) → Sub-processor (e.g. Stripe-US). Used for our onward transfers to non-EEA sub-processors.
- UK IDTA Addendum — Applied alongside Module 2/3 SCCs for transfers originating in the UK.