GÜVEN MERKEZİ
Verilerinizin güvenliği önceliğimizdir
Controlio Security™'nin güvenlik mimarisi, veri koruma uygulamaları, uyumluluk durumu ve hizmet sağlayıcı şeffaflığı tek sayfada.
TLS 1.2+
Şifreli İletişim
01Güvenlik Yaklaşımımız
Controlio Security™, müşteri verilerinin güvenliğini en üst düzeyde tutmak için üç temel ilke üzerine kuruludur:
- Salt-okunur erişim: Microsoft 365 ortamınıza yalnızca okuma izniyle bağlanırız. Hiçbir konfigürasyon değiştirilmez, hiçbir veri silinmez.
- Asgari yetki: 19 Graph API izninin tamamı kapsam ihtiyacına göre seçilmiştir. Yazma, silme, mailbox yönetimi, dosya paylaşımı izinleri talep edilmez.
- Veri minimizasyonu: Yalnızca güvenlik değerlendirmesi için gerekli veriler işlenir. Mail içeriği, dosya içeriği, kullanıcı sohbetleri okunmaz.
Şeffaflık taahhüdü: Bu sayfa Tworks'ün güvenlik mimarisi hakkında dürüst ve güncel bilgi sunmak için yayınlanır. İddialar yerine doğrulanabilir kanıtlar tercih edilir.
02Veri Mimarisi
Controlio Security tüm verilerini Microsoft Azure'un Avrupa Birliği veri merkezlerinde işler ve barındırır.
Çok Kiracılı (Multi-Tenant) İzolasyon
Her müşterinin verisi tenant ID partition key ile izole edilir. Veritabanı seviyesinde partition tabanlı izolasyon, bir müşterinin diğer bir müşterinin verilerine erişmesini fiziksel olarak imkânsız kılar.
Mimari Yaklaşım
Controlio Security, Microsoft Azure üzerinde çok katmanlı bulut mimarisi ile çalışır. Statik web içeriği ve sunucusuz API katmanları auto-scale yapısında dağıtılır; çok-kiracılı NoSQL veritabanı her müşteri için partition-key bazında izole edilir; şifreleme anahtarları HSM-destekli yönetilen sır deposunda tutulur; telemetri ve gözlem altyapısı PII içermeyecek şekilde yapılandırılmıştır. Kimlik doğrulama Microsoft Entra ID üzerinden federe (OAuth 2.0 / OpenID Connect) olarak sağlanır.
Şifreleme
Tüm istekler aktarımda TLS 1.2+ ile, saklamada ise AES-256 envelope encryption ile şifrelenir. Şifreleme anahtarları Microsoft tarafından yönetilir. Kullanıcı şifreleri sistemde saklanmaz — tüm kimlik doğrulama Microsoft Entra ID federasyonu üzerinden yapılır.
03Microsoft 365 Erişim İzinleri
Controlio Security, Microsoft Graph API üzerinden aşağıdaki 19 izni talep eder. Tüm izinler salt okunur niteliktedir:
User.ReadOturum açan kullanıcı bilgisi
User.Read.AllTenant kullanıcı listesi (MFA durumu, inaktif hesaplar)
Directory.Read.AllTenant, kullanıcı, grup ve dizin yapısı
Group.Read.AllGruplar, guest kullanıcılar, üyelikler
Organization.Read.AllLisans ve organizasyon bilgileri
Policy.Read.AllConditional Access ve güvenlik politikaları
RoleManagement.Read.DirectoryGlobal Admin, privileged roller, RBAC
Application.Read.AllTenant'a kayıtlı uygulamalar ve OAuth izinleri
SecurityEvents.Read.AllMicrosoft Secure Score, güvenlik olayları
IdentityRiskEvent.Read.AllIdentity Protection risk olayları
IdentityRiskyUser.Read.AllRiskli kullanıcı tespiti
AttackSimulation.Read.AllAttack Simulation sonuçları
AuditLog.Read.AllAudit log ve giriş logları
Reports.Read.AllKullanım ve güvenlik raporları
DeviceManagementConfiguration.Read.AllIntune cihaz yapılandırma & compliance
DeviceManagementManagedDevices.Read.AllIntune yönetilen cihazlar
DeviceManagementApps.Read.AllIntune uygulamaları ve uygulama koruması
SharePointTenantSettings.Read.AllSharePoint & OneDrive tenant ayarları
SensitivityLabels.Read.AllTanımlı hassasiyet etiketleri
Talep ETMEDİĞİMİZ izinler: Mail.Read, Mail.ReadWrite, Files.Read, Files.ReadWrite, Sites.FullControl.All, Exchange.ManageAsApp, User.ReadWrite.All. Mail içeriği, dosya içeriği veya kullanıcı sohbetleri okunmaz; yazma, silme veya kullanıcı adına işlem yapma izinleri talep edilmez.
04Kimlik Doğrulama & Erişim
Microsoft Entra ID SSO
Tüm kullanıcı girişleri Microsoft Entra ID üzerinden gerçekleşir. Yerel hesap, kullanıcı adı/şifre veritabanı veya kimlik bilgisi saklama yoktur. Kullanıcı kuruluşunun mevcut MFA, Conditional Access ve oturum politikaları otomatik olarak uygulanır.
Token Yönetimi
- Token saklama: Access token'lar yalnızca tarayıcı oturumunda (sessionStorage) tutulur, sunucuda saklanmaz.
- Süre: Token'lar varsayılan olarak 1 saat geçerlidir; refresh token'lar 90 güne kadar geçerlidir (Microsoft'un kontrolünde).
- İptal: Müşteri herhangi bir anda Microsoft Entra Admin Center üzerinden uygulamayı kaldırabilir; tüm token'lar derhal iptal olur.
Yönetici Onayı (Admin Consent)
Controlio Security ilk kurulumda bir Global Administrator onayı gerektirir. Onay sonrası tüm kullanıcı girişleri ek izin diyalogu olmadan yapılır. İzin kapsamı yönetici tarafından her an gözden geçirilebilir ve kaldırılabilir.
05Veri Saklama Bölgesi
| Veri Tipi | Bölge | Saklama Süresi |
|---|
| Tarama Sonuçları | Microsoft Azure - AB Bölgesi | Hesap aktif olduğu sürece + 30 gün |
| Hesap Bilgileri | Microsoft Azure - AB Bölgesi | Hesap aktif olduğu sürece + 30 gün |
| AI Chat Sorguları | Anthropic (ABD) | Anonimleştirilmiş, 30 gün |
| Telemetri | Microsoft Azure - AB Bölgesi | 90 gün |
| Audit Log'ları | Microsoft Azure - AB Bölgesi | 90 gün |
KVKK uyumu: Kişisel verilerin yurt dışına aktarılmasına ilişkin yükümlülükler KVKK 9. madde çerçevesinde uygun güvencelerle yerine getirilir. AI Chat verilerinin ABD'ye aktarımı için açık rıza alınır. Detaylar
Gizlilik Politikası'nda açıklanmıştır.
06Hizmet Sağlayıcılar
Controlio Security'nin altyapısında ve operasyonunda kullanılan üçüncü taraf hizmet sağlayıcıları:
| Hizmet Sağlayıcı | Rol | Bölge | Sertifikasyon |
|---|
| Microsoft Corporation |
Bulut altyapısı (Azure), kimlik (Entra ID), Graph API erişimi |
EU - West Europe |
ISO 27001 SOC 2 GDPR |
| Anthropic, PBC |
AI Chat: anonimleştirilmiş sorgu işleme |
USA |
SOC 2 Type II |
Hizmet sağlayıcı listesindeki değişiklikler bu sayfada güncellenir.
07Uyumluluk Durumu
Şu An Aktif
- KVKK (6698 sayılı Kanun): Tworks veri sorumlusu sıfatıyla hareket eder. Aydınlatma yükümlülüğü, hizmet sağlayıcı şeffaflığı ve kullanıcı hakları (erişim, düzeltme, silme) Gizlilik Politikası'nda detaylandırılmıştır.
- Veri koruma ilkeleri: Veri minimizasyonu, amaç sınırlaması, saklama süresi sınırlaması ve şeffaflık ilkeleri uygulanır.
- Azure altyapı sertifikaları (devralınmış): Microsoft Azure West Europe veri merkezleri ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3, ENS High sertifikalıdır. Bu sertifikalar Tworks'e devralınmaz; ancak Controlio Security üzerine kurulduğu altyapının bu standartları karşıladığını belirtir.
Önemli netleştirme: Tworks Bilişim Hizmetleri kendi adına henüz ISO 27001 veya SOC 2 sertifikasına sahip değildir. Mevcut altyapı sertifikaları yukarıda belirtildiği gibi Microsoft Azure üzerinden devralınmış statüdedir.
08Güvenlik Konuları
Platform'da bir güvenlik açığı veya endişe verici bir durum tespit ederseniz, bizimle info@tworks.com.tr adresinden iletişime geçebilirsiniz. Tüm bildirimler ciddiyetle değerlendirilir ve uygun aksiyonlar alınır.
İyi niyetli güvenlik araştırması yürüten araştırmacıların raporlarını takdirle karşılarız. Üretim sistemlerine zarar vermemek ve kişisel veri sızdırmamak şartıyla, raporunuza yapıcı bir yanıt almayı bekleyebilirsiniz.
09İletişim
Tworks Bilişim Hizmetleri Tic. Ltd. Şti.
Quasar İstanbul, Fulya Mah. Büyükdere Cad. No:76 Kat:1 İç Kapı No:104
34394 Mecidiyeköy / Şişli / İstanbul
Genel & Güvenlik: info@tworks.com.tr
KVKK başvuruları: info@tworks.com.tr
İlgili dokümanlar: Gizlilik Politikası · Kullanım Koşulları
TRUST CENTER
Your data security is our priority
Controlio Security™'s security architecture, data protection practices, compliance status, and service provider transparency — all in one page.
19/19
Read-Only Permissions
TLS 1.2+
Encryption in Transit
01Our Security Approach
Controlio Security™ is built on three core principles to keep customer data secure:
- Read-only access: We connect to your Microsoft 365 environment with read permissions only. No configuration is changed, no data is deleted.
- Least privilege: All 19 Graph API permissions are scoped to security assessment needs. Write, delete, mailbox management, and file sharing permissions are not requested.
- Data minimization: Only data necessary for security assessment is processed. Email content, file content, and user chats are not read.
Transparency commitment: This page is published to provide honest, current information about Tworks' security architecture. Verifiable evidence is preferred over claims.
02Data Architecture
Controlio Security processes and hosts all data in Microsoft Azure's European Union data centers.
Multi-Tenant Isolation
Each customer's data is isolated by tenant ID partition key. Partition-based isolation at the database level makes it physically impossible for one customer to access another's data.
Architectural Approach
Controlio Security runs on Microsoft Azure with a multi-layered cloud architecture. Static web content and serverless API layers are deployed in an auto-scaling configuration; the multi-tenant NoSQL database isolates each customer by partition key; encryption keys are stored in an HSM-backed managed secret store; observability and telemetry infrastructure is configured to exclude PII. Authentication is federated through Microsoft Entra ID (OAuth 2.0 / OpenID Connect).
Encryption
All requests are encrypted in transit with TLS 1.2+ and at rest with AES-256 envelope encryption. Encryption keys are managed by Microsoft. User passwords are never stored — all authentication is performed through Microsoft Entra ID federation.
03Microsoft 365 Access Permissions
Controlio Security requests the following 19 permissions via the Microsoft Graph API. All permissions are read-only:
User.ReadSigned-in user info
User.Read.AllTenant user list (MFA status, inactive accounts)
Directory.Read.AllTenant, user, group, and directory structure
Group.Read.AllGroups, guest users, memberships
Organization.Read.AllLicense and organization info
Policy.Read.AllConditional Access and security policies
RoleManagement.Read.DirectoryGlobal Admin, privileged roles, RBAC
Application.Read.AllRegistered apps and OAuth permissions
SecurityEvents.Read.AllMicrosoft Secure Score, security events
IdentityRiskEvent.Read.AllIdentity Protection risk events
IdentityRiskyUser.Read.AllRisky user detection
AttackSimulation.Read.AllAttack Simulation results
AuditLog.Read.AllAudit logs and sign-in logs
Reports.Read.AllUsage and security reports
DeviceManagementConfiguration.Read.AllIntune device config & compliance
DeviceManagementManagedDevices.Read.AllIntune managed devices
DeviceManagementApps.Read.AllIntune apps and app protection
SharePointTenantSettings.Read.AllSharePoint & OneDrive tenant settings
SensitivityLabels.Read.AllDefined sensitivity labels
Permissions we DO NOT request: Mail.Read, Mail.ReadWrite, Files.Read, Files.ReadWrite, Sites.FullControl.All, Exchange.ManageAsApp, User.ReadWrite.All. Email content, file content, and user chats are not read; no permissions for writing, deleting, or acting on behalf of users are requested.
04Authentication & Access
Microsoft Entra ID SSO
All user logins go through Microsoft Entra ID. There are no local accounts, username/password databases, or credential storage. The customer organization's existing MFA, Conditional Access, and session policies are automatically applied.
Token Management
- Token storage: Access tokens are kept only in browser session (sessionStorage), never on the server.
- Lifetime: Tokens are valid for 1 hour by default; refresh tokens up to 90 days (controlled by Microsoft).
- Revocation: Customers can remove the application via Microsoft Entra Admin Center at any time; all tokens are immediately revoked.
Admin Consent
Controlio Security requires a one-time Global Administrator consent at initial setup. After consent, all user logins proceed without additional permission dialogs. The permission scope can be reviewed and revoked by the administrator at any time.
05Data Residency
| Data Type | Region | Retention |
|---|
| Scan Results | Microsoft Azure - EU Region | Account active + 30 days |
| Account Information | Microsoft Azure - EU Region | Account active + 30 days |
| AI Chat Queries | Anthropic (USA) | Anonymized, 30 days |
| Telemetry | Microsoft Azure - EU Region | 90 days |
| Audit Logs | Microsoft Azure - EU Region | 90 days |
KVKK compliance: Cross-border personal data transfer obligations are fulfilled under Article 9 of KVKK (Turkish Data Protection Law) with appropriate safeguards. Explicit consent is obtained for AI Chat data transfer to the USA. Details are explained in the
Privacy Policy.
06Service Providers
Third-party service providers used in Controlio Security's infrastructure and operations:
| Service Provider | Role | Region | Certifications |
|---|
| Microsoft Corporation |
Cloud infrastructure (Azure), identity (Entra ID), Graph API access |
EU - West Europe |
ISO 27001 SOC 2 GDPR |
| Anthropic, PBC |
AI Chat: anonymized query processing |
USA |
SOC 2 Type II |
Changes to the service provider list will be reflected on this page.
07Compliance Status
Currently Active
- KVKK (Turkish Law No. 6698): Tworks acts as the data controller. Privacy notice obligations, service provider transparency, and user rights (access, rectification, erasure) are detailed in the Privacy Policy.
- Data protection principles: Data minimization, purpose limitation, retention limitation, and transparency principles are applied.
- Inherited Azure infrastructure certifications: Microsoft Azure West Europe data centers are certified for ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3, and ENS High. These certifications do not transfer to Tworks; however, Controlio Security indicates that the underlying infrastructure meets these standards.
Important clarification: Tworks Bilişim Hizmetleri does not currently hold ISO 27001 or SOC 2 certification in its own name. The existing infrastructure certifications referenced above are inherited through Microsoft Azure.
08Security Concerns
If you discover a security vulnerability or concerning behavior on the Platform, please reach out to us at info@tworks.com.tr. All reports are taken seriously and addressed appropriately.
We appreciate reports from researchers conducting good-faith security research. Provided you do not damage production systems or exfiltrate personal data, you can expect a constructive response to your report.
09Contact
Tworks Bilişim Hizmetleri Tic. Ltd. Şti.
Quasar İstanbul, Fulya Mah. Büyükdere Cad. No:76 Floor:1 Suite:104
34394 Mecidiyeköy / Şişli / Istanbul / Türkiye
General & Security: info@tworks.com.tr
KVKK / GDPR: info@tworks.com.tr
Related documents: Privacy Policy · Terms of Service