MCP Server Gizlilik Politikası
mcp.inscada.online — MCP gateway servisinin veri akışı
Yürürlük tarihi: 16 Mayıs 2026
Bu politika sadece MCP Server'ı kapsar (mcp.inscada.online) — AI istemcilerini (claude.ai, Claude Desktop, ChatGPT vb.) inSCADA Cloud hesabınıza bağlayan ara sunucu. Genel inscada.com Gizlilik Politikası ve inscada.cloud platformunun kendi politikası ayrıdır.
1. MCP Server Nedir
MCP Server hafif bir protokol geçididir. Bir AI istemcisi (claude.ai, Claude Desktop vb.) buna bağlandığında, sizi mevcut inSCADA Cloud hesabınız üzerinden doğrular ve tool çağrılarınızı inscada.cloud'a iletir. SCADA proje verileriniz MCP Server'da saklanmaz — geçer gider.
2. Toplanan ve Saklanan Veriler
| Kategori | Ne | Neden | Süre |
|---|---|---|---|
| OAuth token'ları | inSCADA Cloud girişiniz sonrası alınan JWT access + refresh token'ları | AI istemcinizi her çağrıda yeniden kimlik sormadan bağlı tutmak | Siz iptal edene kadar (AI istemcisinden, admin panelinden veya çıkış yaparak) veya süresi dolana kadar (access: 5 dk; refresh: 1 gün; otomatik döngülenir) |
| Oturum metadata'sı | Oturum ID, giriş IP'si, giriş anındaki User-Agent string'i | Güvenlik denetimi (şüpheli girişleri tespit, oturumları istemcilere bağlama) | Token iptal edilene veya 1 saat inaktivite sonrasına kadar |
| Denetim log'ları | Token verme olayları, oturum başına API çağrı sayısı, yaşam döngüsü olayları (login, refresh, revoke) | Operasyon izleme, kötüye kullanım tespiti | 90 gün, sonra silinir |
| Çerezler | inscada_admin (HMAC-imzalı admin kimlik doğrulama, 24 saat), OAuth state çerezleri (kısa ömürlü) | Admin paneli giriş, OAuth akış korelasyonu | Çerez başına yukarıdaki TTL |
Token'lar diskte şifrelenmiş olarak saklanır (yetki-kısıtlı dosya, chmod 600, root sahipli). Şifreleme anahtarı sunucu işleminde tutulur; token'lar diski açık metin olarak terk etmez.
3. İçeri Akan Ama Saklanmayan Veriler
- inSCADA Cloud şifreniz. Google OAuth ile giriş yaparsanız MCP Server hiç görmez. E-posta/şifre akışında bir kez girişte inSCADA Cloud'a iletilir ve atılır; sadece sonuçtaki JWT saklanır.
- SCADA tool çağrı payload'larınız — değişken değerleri, alarm tanımları, animasyon SVG'leri, scriptler, dashboard HTML'leri, proje yapısı vb. Bunlar MCP Server'dan sadece bellekte geçer ve
inscada.cloud'a gönderilir. Payload gövdelerini log'lamayız. - Claude ile yaptığınız sohbet — AI istemcisi görür, biz görmeyiz. Biz sadece ortaya çıkan tool çağrısını görürüz.
4. Üçüncü Taraflar
MCP Server tek bir dış servisle konuşur: inscada.cloud (siz, kullanıcı, doğrulamaya gittiğiniz SCADA backend'i). MCP Server'da analitik SDK'ları, telemetri sağlayıcıları veya üçüncü taraf API entegrasyonları yoktur.
AI istemcisinin (claude.ai, Claude Desktop, ChatGPT) kendi gizlilik uygulamaları onun sağlayıcısı tarafından yönetilir — Anthropic'in / OpenAI'ın politikalarını ayrı inceleyin.
5. Sağlık, Biyometrik veya Hassas Kişisel Veri
Toplanmaz. MCP Server'ın amacı endüstriyel otomasyondur — proses değişkenleri, ekipman alarmları, tesis dashboard'ları. Toplanan PII, inSCADA Cloud kullanıcı adınız/e-postanız ile sınırlıdır (JWT içinde taşınır).
6. Haklarınız
- Bağlantıyı istediğiniz an iptal edin: AI istemcinizdeki konektörü çıkarın veya
https://mcp.inscada.online/adminadresindeki admin paneline (yetkiniz varsa) giriş yapıp belirli bir token / oturum / istemci iptal edin. - Veri ihracı talep edin: info@inscada.com'a e-posta gönderin — hesabınıza bağlı denetim log girdilerini 30 gün içinde ihraç ederiz.
- Silme talep edin: info@inscada.com'a e-posta gönderin; denetim log'larınızı kalıcı silip hesabınızdaki aktif tüm token'ları iptal ederiz.
inscada.cloud'un içindeki veriler (SCADA projeleriniz, historian verisi vb.) için MCP Server'ın hesabınızın izin verdiğinden öte erişimi yoktur — bu değişiklikleri doğrudan inSCADA Cloud platformu üzerinden talep edin.
KVKK kapsamındaki diğer haklarınız için inscada.com Gizlilik Politikası'ndaki başvuru kanallarını kullanabilirsiniz.
7. Güvenlik
- Yalnız HTTPS (Let's Encrypt; HSTS-uyumlu). HTTP istekleri reddedilir.
- OAuth 2.1 + PKCE + Dynamic Client Registration (RFC 7591). İstemci tarafında client secret saklanmaz.
- Origin header doğrulaması (DNS rebinding koruması) tarayıcı tabanlı MCP istemcileri için.
- CSRF koruması (Spring Security X-XSRF-TOKEN) backend çağrılarında.
- systemd sertleştirmesi (
NoNewPrivileges,ProtectSystem=strict,PrivateTmp). - Admin paneli çerezi: HMAC-imzalı, HttpOnly, Secure, SameSite=Lax, 24 saat TTL.
- inSCADA Cloud altta yatan JWT'yi yenilediğinde token'lar otomatik döngülenir (write-back pattern, eski token kalmaz).
ISO 27001, SOC 2 gibi resmi sertifika iddia etmiyoruz — küçük bir operasyon. Yukarıdaki güvenlik en iyi uygulamalarını takip ediyoruz.
8. Hosting ve Yargı Bölgesi
- Sunucu: Hetzner Cloud, Almanya (AB). GDPR'a tabi.
- Operatör: İNS Yazılım Sanayi ve Ticaret A.Ş., Türkiye.
- Backend (inscada.cloud): Hosting bölgesi için kendi gizlilik politikasına bakın.
AB'deyseniz ve verilerinizin Türkiye-operasyonlu bir servisten geçmesini tercih etmiyorsanız, bağlanmadan önce bizimle iletişime geçin; karar vermenize yardımcı oluruz.
9. Bu Politikadaki Değişiklikler
Veri akışı değiştiğinde (yeni denetim log alanı, yeni üçüncü taraf entegrasyonu, retention değişikliği vb.) bu sayfayı güncelleriz. Üstteki "Yürürlük tarihi" ileri taşınır. Değişiklik maddiyse, bağlı istemcileri mümkün olduğunda chat bildirim akışı üzerinden bilgilendiririz. Politika güncellemeleri için ayrı bir mailing listesi tutmuyoruz.
10. İletişim
- E-posta: info@inscada.com
- Operatör: İNS Yazılım Sanayi ve Ticaret A.Ş.
- Adres: Mustafa Kemal Mah. Dumlupınar Bulv. 266 C Blok No:46 Tepe Prime, Çankaya/Ankara