Legal

Terms of Service

Effective: 3 June 2026 · Version: 1.3 (§9 + §12 consumer-rights refresh — token expiry & bonus-token refund base) · Provider: AssurePort Team (Türkiye) · Governing law: Turkish law + mandatory EU consumer protection

Language: The English version is the authoritative legal text. Türkçe / Deutsch / Français translations are provided for convenience; in case of conflict the English version prevails.

§1 Acceptance

By creating an AssurePort account or running a scan, you (the Customer) accept these Terms of Service and our Privacy Policy. If you are accepting on behalf of an organisation, you warrant that you have authority to bind that organisation.

§2 Service scope

AssurePort currently provides six production scan engines available today (Web Pentest, API Pentest, Mobile APK Test, GitHub SAST, Cloud Pentest covering AWS / Azure / GCP / Kubernetes, and Email Security with SPF/DKIM/DMARC + open relay + phishing kit detection — passive DNS/HTTP only), six subscription / one-time tiers (Hobby monthly, Hobby Annual Founder Rate, Starter one-time, Pro monthly, Business monthly), and on-demand token top-up packs. The free intel toolkit at /tools is provided without warranty for orientation purposes. Quick Scan mode (Hobby / Starter / Pro tiers) does not require Domain Control Verification or Rules of Engagement; Advanced Mode (Business tier default) does.

Features not currently in scope. Features not listed in this Agreement — including but not limited to third-party integrations (Slack, Microsoft Teams, Jira, Linear, GitHub Issues, ZenDesk), Single Sign-On (SAML, SCIM, OIDC), webhook delivery to customer systems, white-label or reseller partner programs, MSSP sub-tenant management, and on-premises or hardware-only deployments — are not part of the current service. We may add such features in the future; material changes will be communicated to active subscribers by email at least 30 days in advance per §18, and any related pricing change will be governed by §7.

The service scope above replaces any earlier representation of features. Marketing material on assureport.com and the public documentation site track the current scope; in case of conflict between marketing copy and these Terms, these Terms govern.

§3 Eligibility

You must be at least 18 years old and legally capable of entering binding contracts. AssurePort is a B2B service; consumers in the legal sense do not normally use it, but where they do, §9 below preserves all mandatory EU consumer rights.

§4 Account & security

Sign-in uses magic-link email with optional TOTP-based two-factor authentication. You are responsible for keeping your email account, recovery codes, and 2FA secret secure. Suspected compromise should be reported to support@assureport.com within 24 hours.

§5 Customer obligations & ROE

Ownership or written authorisation — you confirm you own the target asset or have written authorisation from the owner.
DCV — domain control is validated via DNS TXT record or HTTP file before any paid scan.
ROE acceptance — at scan creation you confirm scope, intensity, and time window. You may not scan third-party assets without their consent — that would be illegal under both Turkish TCK §243-244 and the EU NIS 2 / Computer Misuse equivalents.
No production-disrupting intent — destructive payloads and DDoS tactics are out of scope; AssurePort scans are non-destructive by design.
Lawful targets only — scans of critical national infrastructure, government systems, or assets in jurisdictions with explicit prohibitions are prohibited unless you provide proof of authorisation.

§6 Our obligations (best-effort)

We operate the platform on a best-effort basis. We do not offer a contractual SLA on uptime or scan completion time at the time of writing — this is a deliberate stance for the Starter and Pro tiers. Business tier customers who require an SLA can request a contractual addendum that adds a 99.5% monthly uptime commitment with service credits as the sole remedy.

We commit to: scan engine availability targets published on /status, security patches within reasonable time of disclosure, transparent service updates, and EU data residency.

§7 Pricing & billing

Prices and plan inclusions are published at assureport.com/#pricing and may change with 30 days' notice to active subscribers. Polar.sh acts as Merchant of Record (MoR): Polar.sh owns the transaction, collects and remits VAT in 47+ jurisdictions, issues compliant invoices, and processes disputes. AssurePort does not store card numbers and is out of PCI-DSS cardholder data scope.

Subscriptions grant a monthly token quota; on-demand token packs may be purchased separately. Tokens are consumed on scan completion (success) per §8 or released back to your balance on scan failure per §8.

§8 Refunds — token policy

AssurePort operates a token-based usage model: each scan consumes a defined number of tokens from your account balance. Token charges are released or retained according to the following four cases:

Successful scan — a scan that completes and produces a report (regardless of finding count) consumes tokens in full. No refund is issued because the underlying compute (sandbox runtime, AI inference, evidence storage) was rendered.
Failed scan — a scan that does not produce a report due to platform error (sandbox crash, queue dispatch failure, infrastructure outage, AI agent timeout, internal exception) results in a full token refund to your account balance, automatically and typically within 60 seconds. No support ticket required.
Low-finding scan — a scan that completes with zero or only informational/low-severity findings does not automatically refund, because a clean report is a legitimate outcome (your asset may simply be hardened). If you believe the scan did not adequately cover your asset, you may request a manual review by emailing support@assureport.com within 14 days of scan completion. Our team will review crawl coverage, payload diversity, and engine logs within 5 business days and refund tokens if the scan did not meet our internal quality bar.
Subscription cancellation — when you cancel your subscription, remaining unused tokens stay available for the duration of the current billing cycle. After the cycle ends, any pro-rata unused balance is credited to your account per the rollover policy in effect (see §12).

Token refund ≠ card refund. A "token refund" restores credit to your AssurePort account balance, which you can spend on a subsequent scan. It is not a card-back refund. For card-back refunds (e.g. 14-day cooling-off period, see §9), refunds are processed by Polar.sh, our Merchant of Record, within 5 business days of the request being approved.

§9 EU consumer rights

Where you qualify as a consumer in the legal sense under EU law, the following mandatory rights apply and override any limitation in these Terms to the extent of any conflict.

14-day right of withdrawal (cooling-off period)

Under EU Consumer Rights Directive 2011/83/EU Article 9 (as extended for digital content by Directive 2019/770/EU), you have the right to withdraw from this digital service contract within 14 days of the contract being concluded, without giving any reason. Refunds in this case are issued as follows:

If you have not consumed any tokens within the 14-day period, you receive a full card-back refund via Polar.sh within 5 business days of your withdrawal notice.
If you have consumed some tokens, you receive a pro-rata refund for unused tokens, calculated on the amount actually paid. Bonus tokens are a free incentive and are not part of the refund base: the pro-rata calculation uses your purchased (paid) token count, not bonus tokens granted on top. In formula terms, refund = unused paid tokens / total paid tokens × amount paid; bonus tokens do not inflate, nor reduce, the amount refunded.
If you expressly requested the digital service to begin immediately (acknowledged via the checkout consent checkbox), you waive the withdrawal right under Article 16(m) for tokens already consumed; pro-rata refund still applies to unused tokens at the time of withdrawal.

How to exercise withdrawal

Email support@assureport.com with the subject "Cooling-off withdrawal" and your account email within 14 days of your initial purchase. We respond within 3 business days. Refunds via Polar.sh are processed within 5 business days of approval (subject to Polar.sh card-network rails).

Statutory remedies for non-conformity

Under EU Digital Content Directive 2019/770, you have statutory remedies for digital service non-conformity (e.g. the service does not deliver what was advertised). These remedies include free repair, replacement, or refund. AssurePort honours these obligations independently of our voluntary refund policy in §8.

Alternative dispute resolution

You may access alternative dispute resolution via the EU ODR platform at https://ec.europa.eu/consumers/odr. For consumers resident in Türkiye, the Tüketici Hakem Heyetleri (Consumer Arbitration Boards) are also available.

§10 No integrations, no MSSP

AssurePort does not currently expose webhooks, third-party integrations (Slack, Microsoft Teams, Jira, Linear, GitHub Issues, ZenDesk, etc.), Single Sign-On (SAML, SCIM, OIDC), or white-label / MSSP partner programs. Customer scan data, finding reports, and audit logs are not shared with or transmitted to any third party outside the sub-processor list documented in our Data Processing Addendum. This is a deliberate architectural commitment, not a feature gap. It guarantees that:

Your scan findings, target metadata, and report content remain inside the AssurePort platform boundary.
No customer data flows to any third party beyond the sub-processors listed in Privacy Policy §6.
You do not need to perform vendor risk assessments on integration destinations.
Your GDPR sub-processor list does not change due to AssurePort feature configuration.

If we introduce integrations in the future (e.g. opt-in Slack export, Jira ticket sync, MSSP white-label partnership), we will: (a) add them as opt-in features requiring explicit user consent; (b) treat the destination as a sub-processor where applicable, with full DPA addendum; (c) notify active subscribers at least 30 days in advance per §18. Until then, the integration surface is empty by design.

§11 User limit per tier

Each subscription tier defines a maximum number of authorised users per tenant. Current limits (subject to change with 30 days' notice per §18):

Tier	Max users per tenant	Role types
Starter	1	admin only
Pro	3	admin, member
Business	10	admin, member, viewer

Each tenant is technically isolated: members of one tenant cannot access data of another tenant. Member invitation, role assignment, and access revocation are managed by the tenant admin in the dashboard. Invited users receive their own GDPR transparency notice in the invitation email (Privacy Policy link). Removed users lose access immediately; their personal data (audit log entries) is retained per our retention schedule and may be subject to the right to erasure under Article 17 GDPR.

If your headcount exceeds the tier limit, you may upgrade at any time. We do not pro-rate downgrades during a billing cycle; downgrades take effect at the next billing cycle.

§12 Token-based usage model

AssurePort uses a token-based usage model. Each subscription tier grants you a monthly quota of tokens, and on-demand top-up packs can be purchased separately. Token costs for each scan are displayed in the dashboard at scan dispatch, before you confirm the run.

Scan engine	Token cost	Notes
Web Pentest	varies by crawl depth and finding count	see pricing page for current rate card
API Pentest	varies by endpoint count and request volume	see pricing page for current rate card
Mobile APK Test	varies by APK size and static analysis depth	see pricing page for current rate card
GitHub SAST	varies by repository size and language coverage	see pricing page for current rate card

Token rollover. Pro and Business monthly token grants roll over up to a cap of two times the monthly grant (for example, a Pro tier user with a 40,000 token monthly grant may accumulate up to 80,000 tokens). Tokens accumulated above this cap are forfeited at the end of the billing cycle.

On-demand tokens do not expire. Tokens you purchase through one-time top-up packs or per-scan vouchers — including purchases made without any active subscription (for example, a one-time Starter purchase or a stand-alone voucher) — do not expire and remain available in your account balance until you spend them. This no-expiry policy applies equally to subscribers and to non-subscribers. The monthly rollover cap described above applies only to the recurring monthly token grant of a subscription tier, never to purchased top-up or voucher tokens.

Token consumption is logged in your billing ledger and visible in your dashboard. The current rate card is published at assureport.com/#pricing and is updated with 30 days' notice to active subscribers. Pricing changes do not retroactively re-charge completed scans.

§13 Acceptable use

No scanning of third-party assets without their consent.
No use of AssurePort findings to extort, blackmail, or commit fraud.
No reverse-engineering of the platform itself; security research on AssurePort is welcomed via responsible disclosure to security@assureport.com.
No resale of scan capacity. Reseller / MSSP partnerships are not currently offered (see §10); any future programme will be governed by a separate commercial addendum.

§14 Intellectual property & licence

The AssurePort platform, AI agents, scan-engine rules, report templates, and brand are owned by the AssurePort Team. We grant you a non-exclusive, non-transferable, revocable licence to use the service for your internal security purposes for the duration of your subscription. Scan reports you generate are yours; you own the output and may share it freely with auditors, regulators, customers.

§15 Limitation of liability

To the maximum extent permitted by applicable law, AssurePort's aggregate liability arising out of or in connection with the service in any 12-month period is limited to the total amount you paid us in that 12-month period. This cap does not apply to: liability that cannot be excluded by law, GDPR Article 82 statutory damages, intentional misconduct or gross negligence, and breaches of confidentiality.

§16 Termination

You may terminate at any time by cancelling your subscription in the dashboard. We may terminate with 30 days' written notice in the ordinary course, or immediately for material breach (unauthorised scans, payment fraud, account compromise endangering other tenants). On termination, your data is retained for 30 days for recovery, then purged per §4 of the Privacy Policy.

§17 Disputes & governing law

These Terms are governed by the laws of Türkiye, without prejudice to mandatory consumer-protection laws in your country of residence under Regulation (EU) 1215/2012. The courts of Istanbul shall have non-exclusive jurisdiction; consumers may sue or be sued in the courts of their residence under EU law. The parties shall first attempt good-faith negotiation for 30 days before initiating proceedings.

§18 Changes & contact

We may update these Terms as the service evolves. Material changes are notified by email to active accounts at least 30 days in advance. Continued use after the effective date constitutes acceptance. Contact: legal@assureport.com.

§19 Customer representations and warranties

Customer represents and warrants that:

(a) Ownership or written authorisation — Customer owns, or has explicit written authorisation from the rightful owner, to scan each target URL submitted to the Service. Click-through acceptance of these Terms, combined with the audit log entry recording IP, user-agent and payment fingerprint at scan dispatch, constitutes Customer's affirmative representation of authorisation for that scan.
(b) No violation of law or third-party rights — the scanning activity does not violate any third-party rights, applicable law, or computer-misuse statutes, including without limitation the U.S. Computer Fraud and Abuse Act (CFAA, 18 U.S.C. §1030), the UK Computer Misuse Act 1990, German §202c StGB, French Art. 323-1 to 323-7 Code pénal, and Turkish TCK Madde 243 and 244.
(c) Permitted use only — Customer will not use the Service for unauthorised security testing, competitive intelligence against unrelated parties, denial-of-service attacks, mass enumeration of third-party assets, vulnerability brokering, or any prohibited use enumerated in §20 below.
(d) Accurate identity and payment — Customer maintains accurate contact and payment information for chargeback, fraud and forensic purposes. Material misrepresentation of identity or payment instrument is grounds for immediate termination per §16 and may trigger §20 indemnification.

These representations are made on each scan dispatch and renew each time Customer initiates a scan via the Service.

§20 Prohibited uses and indemnification

Prohibited uses. The following uses are strictly prohibited and constitute material breach of these Terms regardless of any §19 representation made by Customer:

Scanning targets owned by competitors of Customer without express written authorisation from the target's owner.
Scanning critical infrastructure, including without limitation: government and military domains (.gov, .mil, .gov.*, .mil.*), educational institutions (.edu, .ac.*), regulated financial institutions, hospitals and healthcare providers, energy and water utilities, telecommunications carriers and Internet exchange operators.
Scanning brand-protected SaaS platforms operated by major third parties — including but not limited to Google, Microsoft, Amazon Web Services, Cloudflare, Stripe, GitHub, GitLab, Atlassian, Salesforce, Shopify, Apple, Meta, OpenAI, Anthropic — and any other entity published from time to time on AssurePort's Brand Protection List at /legal/brand-protection.html.
Denial-of-service attacks, volumetric or amplification attacks, layer-7 flooding, or any scan configured to degrade target availability rather than to identify defects.
Data exfiltration attempts, mass downloading of personal data, scraping of authenticated content, or any activity that would breach GDPR Article 5(1)(c) data-minimisation when the target's owner is not the Customer itself.
Use of the Service or any output thereof to commit extortion, blackmail, market manipulation, or any criminal offence under EU or Member-State law.

Indemnification. Customer shall indemnify, defend and hold harmless AssurePort, the AssurePort Team, its officers, employees, contractors, sub-processors and agents (each an "Indemnified Party") from and against any and all claims, demands, regulatory fines, supervisory-authority orders, administrative penalties, legal costs, attorney's fees, damages or losses (collectively, "Losses") arising out of or in connection with: (i) Customer's breach of §19 or this §20; (ii) any third-party claim that scanning activity performed by or for Customer caused unauthorised access, service degradation, or data protection harm to that third party; (iii) any regulatory proceeding initiated against an Indemnified Party as a direct consequence of Customer's scan activity; (iv) Customer's misuse of Service output. Indemnification under this §20 covers claims arising under tort, contract, computer-misuse, intellectual-property, and data-protection law of any jurisdiction.

Consumer-protection carve-out. Where Customer qualifies as a consumer in the legal sense under EU or Member-State law (in particular, French Code de la consommation L. 212-1, German §307 BGB, Turkish Tüketici Kanunu 6502), the indemnification obligation in this §20 applies only to the extent permitted by such mandatory consumer-protection law. For business customers (B2B) the indemnification is fully enforceable. AssurePort reserves the right to require B2B-only acceptance of this §20 for Pro and Business tier customers as a condition of service via a separate written addendum.

Procedure. AssurePort will notify Customer in writing of any claim subject to indemnification, allow Customer to control the defence (subject to AssurePort's right to participate with separate counsel at its own expense), and cooperate with reasonable assistance. Customer shall not settle any claim that imposes any obligation on an Indemnified Party without that party's prior written consent.

§21 AI Act Article 50 transparency notice

AssurePort uses artificial-intelligence systems — specifically, large language models supplied by Anthropic (Claude family) and OpenAI (GPT family) and operated under the safeguards documented in §8 of the Data Processing Addendum — to detect, classify, prioritise, and explain security vulnerabilities discovered during scans.

Labelling. Each AI-generated finding is labelled in the report with a confidence score and an explicit "AI-generated" indicator. Findings labelled as AI-generated may require human verification before remediation decisions are taken.
Quarterly transparency report. AssurePort tracks false-positive and false-negative rates per scan engine and publishes them quarterly in the Transparency Report at /transparency. The Transparency Report includes aggregate accuracy metrics, model versions in production, and any material model changes.
Customer acknowledgement. By accepting these Terms, Customer acknowledges receipt of this AI transparency notice in compliance with Article 50 of Regulation (EU) 2024/1689 on artificial intelligence (the "EU AI Act"). This notice is provided in advance of Article 50's full operational application date of 2 August 2026 to ensure continuity of transparency obligations.
Right to human review. Customer may request human review of any AI-generated finding within 30 days of the scan completion by emailing support@assureport.com with the scan identifier and finding reference. A qualified AssurePort analyst will re-assess the finding within 5 business days and either confirm, downgrade, withdraw, or escalate it. Where human review confirms the AI was materially wrong, the affected scan tokens are refunded under §8 (Low-finding scan procedure).
No automated legal decisions. AssurePort's AI does not make consequential decisions about Customer or any third party for the purposes of Article 22 GDPR. All recommendations are advisory; remediation choices remain with Customer.

Last updated: 3 June 2026 · Version: 1.3 · See also: Privacy · DPA · Cookies

Yürürlük tarihi: 3 Haziran 2026 · Sürüm: 1.3 (§9 + §12 tüketici hakları tazeleme — token son kullanma & bonus token iade tabanı) · Sağlayıcı: AssurePort Ekibi (Türkiye) · Uygulanacak hukuk: Türk hukuku + emredici AB tüketici koruması

Dil: İngilizce metin esas hukuki metindir. Türkçe / Almanca / Fransızca çeviriler bilgilendirme amaçlıdır; çelişki halinde İngilizce metin geçerlidir.

§1 Kabul

AssurePort hesabı oluşturarak veya bir tarama başlatarak siz (Müşteri) işbu Hizmet Koşullarını ve Gizlilik Politikamızı kabul etmiş olursunuz. Bir kuruluş adına kabul ediyorsanız, söz konusu kuruluşu bağlama yetkinizin bulunduğunu beyan etmiş sayılırsınız.

§2 Hizmet kapsamı

AssurePort bugün için altı üretim tarama motoru sunmaktadır (Web Pentest, API Pentest, Mobil APK Testi, GitHub SAST, Cloud Pentest — AWS / Azure / GCP / Kubernetes kapsamlı ve Email Security — SPF/DKIM/DMARC + açık röle + phishing kit tespiti, yalnızca pasif DNS/HTTP), altı abonelik / tek seferlik kademe (Hobby aylık, Hobby Yıllık Kurucu Fiyatı, Starter tek seferlik, Pro aylık, Business aylık) ve istek üzerine token paketleri sağlar. /tools adresindeki ücretsiz keşif araç seti, yönlendirme amaçlı olup herhangi bir garanti içermez. Quick Scan modu (Hobby / Starter / Pro kademeleri) Alan Adı Kontrol Doğrulaması veya İşletme Kuralları gerektirmez; Advanced Mode (Business kademesi varsayılan) gerektirir.

Hâlihazırda kapsam dışında olan özellikler. Bu Sözleşmede yer almayan özellikler — bunlarla sınırlı olmaksızın üçüncü taraf entegrasyonları (Slack, Microsoft Teams, Jira, Linear, GitHub Issues, ZenDesk), Çoklu Oturum Açma (SAML, SCIM, OIDC), müşteri sistemlerine webhook iletimi, white-label veya bayi ortaklık programları, MSSP alt kiracı yönetimi ve şirket içi (on-premise) veya yalnızca donanım dağıtımları — mevcut hizmetin parçası değildir. Gelecekte bu özelliklerden bazılarını ekleyebiliriz; esaslı değişiklikler aktif abonelere §18 uyarınca en az 30 gün öncesinden e-posta ile bildirilir; bağlı fiyat değişiklikleri §7 hükümlerine tabidir.

Yukarıdaki hizmet kapsamı, özelliklere ilişkin önceki tüm beyanları geçersiz kılar. assureport.com ve genel dokümantasyon sitesindeki pazarlama materyalleri mevcut kapsamı yansıtmaktadır; pazarlama metinleri ile işbu Koşullar arasında çelişki olması halinde işbu Koşullar geçerlidir.

§3 Uygunluk

En az 18 yaşında ve bağlayıcı sözleşme kurma ehliyetine sahip olmanız gerekir. AssurePort bir B2B hizmettir; tüketici niteliğindeki kullanıcılar genellikle bu hizmeti kullanmaz; ancak kullandıkları takdirde aşağıdaki §9, emredici AB tüketici haklarını saklı tutar.

§4 Hesap ve güvenlik

Oturum açma, isteğe bağlı TOTP tabanlı iki faktörlü kimlik doğrulamayla birlikte sihirli bağlantı (magic-link) e-postası kullanır. E-posta hesabınızı, kurtarma kodlarınızı ve 2FA gizli anahtarınızı güvende tutmaktan siz sorumlusunuz. Şüpheli bir ihlal durumunda 24 saat içinde support@assureport.com adresine bildirim yapılmalıdır.

§5 Müşteri yükümlülükleri ve ROE

Mülkiyet veya yazılı yetkilendirme — hedef varlığın sahibi olduğunuzu veya sahibinden yazılı yetkilendirmeye sahip olduğunuzu beyan edersiniz.
DCV — herhangi bir ücretli tarama öncesinde alan adı kontrolü DNS TXT kaydı veya HTTP dosyası ile doğrulanır.
ROE kabulü — tarama oluştururken kapsamı, yoğunluğu ve zaman aralığını onaylarsınız. Üçüncü tarafların varlıklarını rızaları olmadan tarayamazsınız; bu, Türk Ceza Kanunu §243-244 ve AB NIS 2 / Bilişim Suistimali düzenlemeleri açısından yasadışıdır.
Üretimi sekteye uğratma niyeti yoktur — yıkıcı yükler ve DDoS taktikleri kapsam dışıdır; AssurePort taramaları tasarım gereği tahrip edici değildir.
Yalnızca yasal hedefler — kritik ulusal altyapı, devlet sistemleri veya açıkça yasaklı yargı çevrelerindeki varlıklar, yetkilendirme kanıtı sunmadığınız sürece taranmaz.

§6 Yükümlülüklerimiz (azami özen)

Platformu azami özen esasına göre işletmekteyiz. Bu metnin yayımı itibarıyla uptime veya tarama tamamlama süresi için sözleşmesel bir SLA sunmuyoruz — bu, Starter ve Pro kademeleri için bilinçli bir tercihtir. SLA gereksinimi olan Business kademesi müşterileri, yegâne çözüm olarak servis kredilerini içeren %99,5 aylık çalışma süresi taahhüdünü ekleyen bir sözleşme eki talep edebilir.

Şu hususları taahhüt ediyoruz: /status üzerinde yayımlanan tarama motoru kullanılabilirlik hedefleri, açıklanan güvenlik açıklarına makul süre içinde yamalar, şeffaf hizmet güncellemeleri ve AB veri yerleşimi.

§7 Fiyatlandırma ve faturalama

Fiyatlar ve plan içerikleri assureport.com/#pricing adresinde yayımlanır ve aktif abonelere 30 gün önceden bildirimle değiştirilebilir. Polar.sh, Kayıtlı Satıcı (Merchant of Record - MoR) olarak hareket eder: Polar.sh işlemin sahibidir; 47'den fazla yargı bölgesinde KDV/VAT'i toplar ve aktarır, uyumlu faturaları düzenler ve uyuşmazlıkları yönetir. AssurePort kart numaralarını saklamaz ve PCI-DSS kart sahibi veri kapsamı dışındadır.

Abonelikler aylık token kotası sağlar; talep üzerine token paketleri ayrıca satın alınabilir. Token'lar §8 uyarınca taramanın başarıyla tamamlanmasında tüketilir veya başarısız taramada §8 uyarınca bakiyenize iade edilir.

§8 İade politikası — token

AssurePort, token bazlı bir kullanım modeli işletmektedir: her tarama hesap bakiyenizden belirli sayıda token tüketir. Token tahsilatları, aşağıdaki dört duruma göre tutulur veya iade edilir:

Başarılı tarama — tamamlanıp rapor üreten bir tarama (bulgu sayısından bağımsız olarak) token'ları tam olarak tüketir. Altyapı (sandbox çalışma süresi, AI çıkarımı, kanıt depolama) gerçek olarak harcandığı için iade yapılmaz.
Başarısız tarama — platform hatası (sandbox çökmesi, kuyruk yönlendirme hatası, altyapı kesintisi, AI ajanı zaman aşımı, dahili istisna) nedeniyle rapor üretemeyen bir tarama, tam token iadesinin otomatik olarak hesap bakiyenize aktarılmasıyla sonuçlanır; bu işlem genellikle 60 saniye içinde tamamlanır. Destek kaydı gerekmez.
Düşük bulgulu tarama — sıfır ya da yalnızca bilgilendirme/düşük şiddetli bulgu üreten bir tarama otomatik olarak iade edilmez; çünkü temiz bir rapor meşru bir sonuçtur (varlığınız sağlamlaştırılmış olabilir). Taramanın varlığınızı yeterince kapsamadığını düşünüyorsanız, taramanın tamamlanmasından itibaren 14 gün içinde support@assureport.com adresine e-posta ile manuel inceleme talep edebilirsiniz. Ekibimiz tarama kapsamını, payload çeşitliliğini ve motor kayıtlarını 5 iş günü içinde inceler ve tarama dahili kalite eşiğimizi karşılamıyorsa token'ları iade eder.
Abonelik iptali — aboneliğinizi iptal ettiğinizde, kullanılmamış kalan token'lar mevcut faturalama döngüsü süresince kullanılabilir kalır. Döngü sona erdikten sonra orantılı kullanılmamış bakiye, yürürlükteki devir politikasına göre hesabınıza alacak olarak yansıtılır (bkz. §12).

Token iadesi ≠ kart iadesi. "Token iadesi" AssurePort hesap bakiyenize kredi geri yükler ve sonraki bir taramada kullanılabilir. Kart geri ödemesi değildir. Kart geri ödemeleri için (örneğin 14 günlük cayma hakkı, bkz. §9) iadeler, Kayıtlı Satıcımız Polar.sh tarafından talebin onaylanmasından sonraki 5 iş günü içinde işlenir.

§9 AB tüketici hakları

AB hukuku kapsamında hukuki anlamda tüketici sıfatını taşıdığınız hallerde aşağıdaki emredici haklar uygulanır ve işbu Koşullardaki herhangi bir sınırlamayı, çelişki ölçüsünde geçersiz kılar.

14 günlük cayma hakkı

2011/83/EU sayılı AB Tüketici Hakları Direktifi'nin 9. maddesi (2019/770/EU sayılı Direktif ile dijital içerik için genişletilmiş hali) uyarınca, dijital hizmet sözleşmesinden, sözleşmenin kurulmasını izleyen 14 gün içinde gerekçe göstermeksizin cayma hakkına sahipsiniz. Bu durumda iadeler aşağıdaki şekilde gerçekleştirilir:

14 gün içinde hiç token tüketmediyseniz, cayma bildiriminizi izleyen 5 iş günü içinde Polar.sh üzerinden tam kart geri ödemesi alırsınız.
Bir miktar token tükettiyseniz, kullanılmamış token'lar için orantılı iade alırsınız; iade, fiilen ödenen tutar üzerinden hesaplanır. Bonus token'lar ücretsiz bir teşviktir ve iade tabanına dahil değildir: orantılı hesaplama, satın aldığınız (ücreti ödenen) token sayısını esas alır, üzerine eklenen bonus token'ları değil. Formül olarak: iade = kullanılmamış ödenmiş token / toplam ödenmiş token × ödenen tutar; bonus token'lar iade edilen tutarı ne şişirir ne de azaltır.
Dijital hizmetin derhal başlaması için açıkça talepte bulunduysanız (ödeme adımındaki onay kutusu ile kabul edilmiştir), 16(m) maddesi uyarınca tüketilmiş token'lar için cayma hakkından feragat etmiş olursunuz; cayma anındaki kullanılmamış token'lar için orantılı iade hakkı saklıdır.

Cayma hakkının kullanımı

İlk satın alımdan itibaren 14 gün içinde "Cayma bildirimi" konusu ve hesap e-postanız ile support@assureport.com adresine e-posta gönderin. 3 iş günü içinde yanıt veririz. Onayı izleyen 5 iş günü içinde Polar.sh üzerinden iade işlenir (Polar.sh kart ağı altyapısına tabidir).

Uygunsuzluk halinde yasal çözüm yolları

2019/770/EU sayılı AB Dijital İçerik Direktifi uyarınca, dijital hizmetin uygunsuzluğu (örneğin reklamı yapılan hizmetin sunulmaması) halinde yasal çözüm yollarına sahipsiniz. Bunlar ücretsiz onarım, ikame veya iade hakkını kapsar. AssurePort bu yükümlülükleri §8'deki gönüllü iade politikamızdan bağımsız olarak yerine getirir.

Alternatif uyuşmazlık çözümü

AB ODR platformu üzerinden https://ec.europa.eu/consumers/odr adresinden alternatif uyuşmazlık çözüm yollarına erişebilirsiniz. Türkiye'de ikamet eden tüketiciler için Tüketici Hakem Heyetleri de mevcuttur.

§10 Entegrasyon yok, MSSP yok

AssurePort, hâlihazırda webhook, üçüncü taraf entegrasyonları (Slack, Microsoft Teams, Jira, Linear, GitHub Issues, ZenDesk vb.), Çoklu Oturum Açma (SAML, SCIM, OIDC) veya white-label / MSSP ortaklık programı sunmamaktadır. Müşteri tarama verileri, bulgu raporları ve denetim kayıtları, Veri İşleme Sözleşmemizde belgelenen alt işleyici listesi dışında hiçbir üçüncü tarafla paylaşılmaz veya iletilmez. Bu, bir eksiklik değil bilinçli bir mimari taahhüttür ve şunları güvence altına alır:

Tarama bulgularınız, hedef metaveriniz ve rapor içeriğiniz AssurePort platform sınırı içinde kalır.
Gizlilik Politikası §6'da listelenen alt işleyiciler dışında hiçbir müşteri verisi üçüncü taraflara aktarılmaz.
Entegrasyon hedefleri için satıcı risk değerlendirmesi yapmanıza gerek kalmaz.
AssurePort özellik yapılandırması nedeniyle GDPR alt işleyici listeniz değişmez.

Gelecekte entegrasyonlar sunmamız halinde (örneğin opsiyonel Slack dışa aktarımı, Jira bilet senkronizasyonu, MSSP white-label ortaklık), bunları: (a) açık kullanıcı onayı gerektiren opsiyonel özellikler olarak ekleriz; (b) uygun olduğunda hedef tarafı alt işleyici olarak tanımlar ve eksiksiz DPA ek belgesi düzenleriz; (c) aktif abonelere §18 uyarınca en az 30 gün önceden bildirim yaparız. O ana kadar entegrasyon yüzeyi tasarım gereği boştur.

§11 Plan başına kullanıcı limiti

Her abonelik kademesi, kiracı başına yetkilendirilebilecek azami kullanıcı sayısını tanımlar. Mevcut limitler (§18 uyarınca 30 gün önceden bildirimle değiştirilebilir):

Kademe	Kiracı başına maks. kullanıcı	Rol türleri
Starter	1	yalnızca yönetici
Pro	3	yönetici, üye
Business	10	yönetici, üye, izleyici

Her kiracı teknik olarak izole edilmiştir: bir kiracının üyeleri başka bir kiracının verilerine erişemez. Üye davet, rol atama ve erişim iptali işlemleri kontrol panelinde kiracı yöneticisi tarafından yönetilir. Davet edilen kullanıcılar, davet e-postasında GDPR şeffaflık bilgilendirmesini (Gizlilik Politikası bağlantısı) alır. Kaldırılan kullanıcılar erişimi anında kaybeder; kişisel verileri (denetim günlüğü kayıtları) saklama programımıza göre tutulur ve GDPR'ın 17. maddesi uyarınca silme hakkına konu olabilir.

Kullanıcı sayınız plan limitini aşarsa, her zaman yükseltme yapabilirsiniz. Faturalama döngüsü içinde kademe düşürmeyi orantılı olarak iade etmiyoruz; düşürmeler bir sonraki faturalama döngüsünde yürürlüğe girer.

§12 Token bazlı kullanım modeli

AssurePort, token bazlı bir kullanım modeli kullanır. Her abonelik kademesi size aylık token kotası verir; talep üzerine token paketleri ayrıca satın alınabilir. Her taramanın token maliyeti, taramanın başlatılmasını onaylamadan önce kontrol panelinde gösterilir.

Tarama motoru	Token maliyeti	Notlar
Web Pentest	tarama derinliği ve bulgu sayısına göre değişir	güncel ücret tarifesi için fiyat sayfasına bakınız
API Pentest	uç nokta sayısı ve istek hacmine göre değişir	güncel ücret tarifesi için fiyat sayfasına bakınız
Mobil APK Testi	APK boyutu ve statik analiz derinliğine göre değişir	güncel ücret tarifesi için fiyat sayfasına bakınız
GitHub SAST	depo boyutu ve dil kapsamına göre değişir	güncel ücret tarifesi için fiyat sayfasına bakınız

Token devri. Pro ve Business aylık token tahsisi, aylık tahsisin iki katı üst sınırına kadar bir sonraki döngüye devreder (örneğin 40.000 token aylık tahsisi olan bir Pro kademesi kullanıcısı en fazla 80.000 token biriktirebilir). Bu üst sınırın üzerinde biriken token'lar faturalama döngüsünün sonunda silinir.

Talep üzerine alınan token'lar son kullanma tarihine tabi değildir. Tek seferlik token paketleri veya tarama başına kuponlar yoluyla satın aldığınız token'lar — herhangi bir aktif abonelik olmaksızın yapılan satın alımlar dahil (örneğin tek seferlik bir Starter satın alımı veya bağımsız bir kupon) — son kullanma tarihine sahip değildir ve siz harcayana kadar hesap bakiyenizde kullanılabilir kalır. Bu son-kullanma-tarihi-yok politikası, abone olanlar ve abone olmayanlar için eşit şekilde geçerlidir. Yukarıda açıklanan aylık devir üst sınırı yalnızca bir abonelik kademesinin yinelenen aylık token tahsisi için geçerlidir; satın alınan token paketi veya kupon token'larına asla uygulanmaz.

Token tüketimi faturalama defterinizde kayıt altına alınır ve kontrol panelinizden görüntülenebilir. Güncel ücret tarifesi assureport.com/#pricing adresinde yayımlanır ve aktif abonelere 30 gün önceden bildirimle güncellenir. Fiyat değişiklikleri tamamlanmış taramaları geriye dönük olarak yeniden tahsil etmez.

§13 Kabul edilebilir kullanım

Rızaları olmadan üçüncü taraf varlıklarını taramak yasaktır.
AssurePort bulgularını şantaj, gasp veya dolandırıcılık amacıyla kullanmak yasaktır.
Platformun tersine mühendisliği yasaktır; AssurePort üzerinde güvenlik araştırması security@assureport.com adresine sorumlu açıklama yoluyla memnuniyetle kabul edilir.
Tarama kapasitesinin yeniden satışı yasaktır. Bayi / MSSP ortaklıkları hâlihazırda sunulmamaktadır (bkz. §10); gelecekteki herhangi bir program ayrı bir ticari ek belge ile düzenlenecektir.

§14 Fikri mülkiyet ve lisans

AssurePort platformu, AI ajanları, tarama motoru kuralları, rapor şablonları ve marka AssurePort Ekibi'ne aittir. Aboneliğiniz süresince hizmeti dahili güvenlik amaçlarınız için kullanmanız için münhasır olmayan, devredilemez ve geri alınabilir bir lisans vermekteyiz. Ürettiğiniz tarama raporları size aittir; çıktı sahibisiniz ve denetçiler, düzenleyiciler ve müşterilerle serbestçe paylaşabilirsiniz.

§15 Sorumluluğun sınırlandırılması

Geçerli hukukun izin verdiği azami ölçüde, AssurePort'un hizmetle ilgili olarak herhangi bir 12 aylık dönemdeki toplam sorumluluğu, o 12 ay içinde bize ödediğiniz toplam tutar ile sınırlıdır. Bu sınır şunlara uygulanmaz: hukuken hariç tutulamayan sorumluluk, GDPR'ın 82. maddesi kapsamındaki kanuni tazminat, kasıt veya ağır kusur ve gizlilik ihlalleri.

§16 Fesih

Kontrol panelinden aboneliğinizi iptal ederek istediğiniz zaman sözleşmeyi feshedebilirsiniz. Olağan akışta 30 günlük yazılı bildirim ile veya esaslı ihlal (izinsiz tarama, ödeme dolandırıcılığı, diğer kiracıları tehlikeye atan hesap ihlali) halinde derhal feshedebiliriz. Fesih halinde verileriniz kurtarma için 30 gün saklanır, ardından Gizlilik Politikası §4 uyarınca silinir.

§17 Uyuşmazlıklar ve uygulanacak hukuk

İşbu Koşullar, Tüzük (AB) 1215/2012 uyarınca ikamet ülkenizdeki emredici tüketici koruma hükümleri saklı kalmak kaydıyla, Türkiye hukukuna tabidir. İstanbul mahkemeleri münhasır olmayan yetkiye sahiptir; tüketiciler AB hukuku uyarınca ikametgâhlarının bulunduğu yer mahkemelerinde dava açabilir veya bu mahkemelerde dava edilebilir. Taraflar, dava açmadan önce 30 gün boyunca iyi niyetli müzakere yürütmeye çalışacaktır.

§18 Değişiklikler ve iletişim

Hizmetin gelişmesiyle birlikte işbu Koşulları güncelleyebiliriz. Esaslı değişiklikler en az 30 gün önceden aktif hesaplara e-posta ile bildirilir. Yürürlük tarihinden sonraki kullanım kabul anlamına gelir. İletişim: legal@assureport.com.

§19 Müşteri beyan ve tekeffülleri

Müşteri aşağıdakileri beyan ve taahhüt eder:

(a) Mülkiyet veya yazılı yetkilendirme — Müşteri, Hizmete sunduğu her hedef URL'yi taramak için söz konusu hedefin gerçek sahibidir veya gerçek sahibinden açık yazılı yetkilendirmeye sahiptir. İşbu Koşulların tıklayarak kabulü ile birlikte tarama gönderiminde IP, kullanıcı aracı (user-agent) ve ödeme parmak izini kaydeden denetim günlüğü kaydı, Müşterinin söz konusu tarama için yetkilendirmesinin olumlu bir beyanını oluşturur.
(b) Hukuka ve üçüncü taraf haklarına aykırılık olmaması — tarama faaliyeti herhangi bir üçüncü taraf hakkını, geçerli hukuku veya bilişim suistimali mevzuatını ihlal etmemektedir; bunlara sınırlama olmaksızın: ABD Bilgisayar Dolandırıcılığı ve Suistimali Yasası (CFAA, 18 U.S.C. §1030), Birleşik Krallık Computer Misuse Act 1990, Alman StGB §202c, Fransız Code pénal Madde 323-1 ila 323-7 ve Türk Ceza Kanunu Madde 243 ve 244 dahildir.
(c) Yalnızca izin verilen kullanım — Müşteri, Hizmeti yetkisiz güvenlik testi, ilgisiz taraflara karşı rekabet istihbaratı, hizmet engelleme saldırıları, üçüncü taraf varlıkların toplu sayımı, güvenlik açığı aracılığı veya aşağıdaki §20 maddesinde sayılan herhangi bir yasaklı kullanım için kullanmayacaktır.
(d) Doğru kimlik ve ödeme bilgisi — Müşteri, ters ibraz (chargeback), dolandırıcılık ve adli inceleme amaçlarıyla doğru iletişim ve ödeme bilgilerini güncel tutar. Kimliğin veya ödeme aracının esaslı şekilde yanlış beyanı, §16 uyarınca derhal fesih sebebidir ve §20 tazminat yükümlülüğünü tetikleyebilir.

İşbu beyanlar her tarama gönderiminde verilmiş sayılır ve Müşterinin Hizmet üzerinden başlattığı her tarama için yenilenir.

§20 Yasaklı kullanımlar ve tazminat

Yasaklı kullanımlar. Aşağıdaki kullanımlar — Müşterinin §19 kapsamında yapmış olduğu beyanlardan bağımsız olarak — kesinlikle yasaktır ve işbu Koşulların esaslı ihlalini oluşturur:

Müşterinin rakiplerine ait hedeflerin, hedefin sahibinden açık yazılı yetki olmaksızın taranması.
Kritik altyapıların taranması; bunlara sınırlama olmaksızın: hükümet ve askeri alan adları (.gov, .mil, .gov.*, .mil.*), eğitim kurumları (.edu, .ac.*, .edu.tr), düzenlemeye tabi finans kurumları, hastaneler ve sağlık hizmeti sunucuları, enerji ve su altyapıları, telekomünikasyon işletmecileri ve İnternet değişim operatörleri dahildir.
Büyük üçüncü taraflarca işletilen marka korumalı SaaS platformlarının taranması — bunlara sınırlama olmaksızın Google, Microsoft, Amazon Web Services, Cloudflare, Stripe, GitHub, GitLab, Atlassian, Salesforce, Shopify, Apple, Meta, OpenAI, Anthropic — ve zaman zaman /legal/brand-protection.html adresinde yayımlanan AssurePort Marka Koruma Listesindeki diğer kuruluşlar.
Hizmet engelleme saldırıları, hacimsel veya yansıma (amplification) saldırıları, layer-7 sel saldırıları veya hedefin müsait olma süresini düşürmeye yönelik (kusur tespitine değil) yapılandırılmış herhangi bir tarama.
Veri sızdırma girişimleri, kişisel verinin toplu indirilmesi, kimlik doğrulamalı içeriğin kazınması veya hedefin sahibinin Müşterinin kendisi olmadığı hallerde GDPR Madde 5(1)(c) veri minimizasyonunu ihlal edecek herhangi bir faaliyet.
Hizmetin veya çıktısının şantaj, gasp, piyasa manipülasyonu veya AB veya Üye Devlet hukuku kapsamındaki herhangi bir cezai suç işlemek için kullanılması.

Tazminat. Müşteri, AssurePort'u, AssurePort Ekibini, yetkililerini, çalışanlarını, yüklenicilerini, alt işleyicilerini ve temsilcilerini (her biri "Tazmin Edilecek Taraf") aşağıdakilerden kaynaklanan veya bunlarla bağlantılı her türlü talep, dava, düzenleyici para cezası, denetim makamı kararı, idari yaptırım, hukuki masraf, avukatlık ücreti, zarar veya kayıptan (topluca "Zararlar") tazmin edecek, savunacak ve zarar görmemesini sağlayacaktır: (i) Müşterinin §19 veya işbu §20'yi ihlali; (ii) Müşteri tarafından veya Müşteri için yürütülen tarama faaliyetinin söz konusu üçüncü tarafa yetkisiz erişim, hizmet bozulması veya veri koruma zararı oluşturduğuna ilişkin herhangi bir üçüncü taraf talebi; (iii) Tazmin Edilecek Tarafa karşı doğrudan Müşterinin tarama faaliyeti sonucu açılan herhangi bir düzenleyici inceleme; (iv) Müşterinin Hizmet çıktısını yanlış kullanması. İşbu §20 kapsamındaki tazminat; haksız fiil, sözleşme, bilişim suistimali, fikri mülkiyet ve veri koruma hukuku temelinde herhangi bir yargı bölgesinde doğan talepleri kapsar.

Tüketici koruması istisnası. Müşterinin AB veya Üye Devlet hukuku uyarınca tüketici niteliğinde olduğu hallerde (özellikle 6502 sayılı Tüketicinin Korunması Hakkında Kanun, Fransız Code de la consommation L. 212-1, Alman §307 BGB), işbu §20 tazminat yükümlülüğü ancak söz konusu emredici tüketici koruması hukukunun izin verdiği ölçüde uygulanır. İşletme müşterileri (B2B) için tazminat tam olarak uygulanabilirdir. AssurePort, Pro ve Business kademesi müşterileri için bu §20'nin yalnızca B2B kapsamında kabul edilmesini ayrı yazılı bir ek belge ile hizmet koşulu olarak talep etme hakkını saklı tutar.

Usul. AssurePort, tazminata konu her talebi yazılı olarak Müşteriye bildirir, Müşterinin savunmayı yönetmesine olanak tanır (AssurePort'un kendi masrafıyla ayrı avukatla katılma hakkı saklıdır) ve makul yardımla işbirliği yapar. Müşteri, herhangi bir Tazmin Edilecek Tarafa yükümlülük getiren herhangi bir uzlaşmayı, o tarafın önceden yazılı muvafakati olmaksızın akdedemez.

§21 AI Act Madde 50 şeffaflık bildirimi

AssurePort, taramalar sırasında tespit edilen güvenlik açıklarını saptamak, sınıflandırmak, önceliklendirmek ve açıklamak için yapay zeka sistemleri kullanır — özellikle Anthropic (Claude ailesi) ve OpenAI (GPT ailesi) tarafından sağlanan ve Veri İşleme Sözleşmesi §8'de belgelenen güvenlik tedbirleri altında işletilen büyük dil modelleri.

Etiketleme. Her AI ile üretilen bulgu, raporda bir güven skoru ve açık bir "AI ile üretildi" göstergesi ile etiketlenir. AI ile üretildi etiketli bulgular, giderim kararları alınmadan önce insan doğrulaması gerektirebilir.
Üç aylık şeffaflık raporu. AssurePort, tarama motoru başına yanlış pozitif ve yanlış negatif oranlarını takip eder ve bunları /transparency adresinde üç ayda bir Şeffaflık Raporu olarak yayımlar. Şeffaflık Raporu; toplu doğruluk ölçütlerini, üretimdeki model sürümlerini ve esaslı model değişikliklerini içerir.
Müşteri tasdiki. İşbu Koşulları kabul ederek Müşteri, yapay zekaya ilişkin (AB) 2024/1689 sayılı Tüzük ("AB AI Act") Madde 50'ye uygun olarak bu AI şeffaflık bildiriminin tarafına ulaştığını kabul eder. Bu bildirim, şeffaflık yükümlülüklerinin sürekliliğini sağlamak amacıyla Madde 50'nin tam operasyonel uygulama tarihi olan 2 Ağustos 2026'dan önce sunulmuştur.
İnsan inceleme hakkı. Müşteri, tarama kimliği ve bulgu referansı ile support@assureport.com adresine e-posta göndererek, tarama tamamlandıktan sonraki 30 gün içinde AI ile üretilmiş herhangi bir bulgu için insan incelemesi talep edebilir. Yetkili bir AssurePort analisti, bulguyu 5 iş günü içinde yeniden değerlendirir ve doğrular, alçaltır, geri çeker veya yükseltir. İnsan incelemesinin AI'nin esaslı şekilde hatalı olduğunu doğruladığı hallerde, etkilenen tarama tokenleri §8 (Düşük bulgulu tarama prosedürü) kapsamında iade edilir.
Otomatik hukuki karar yoktur. AssurePort'un AI'si, Madde 22 GDPR amaçları doğrultusunda Müşteri veya herhangi bir üçüncü taraf hakkında sonuç doğurucu kararlar almaz. Tüm tavsiyeler bilgilendirme niteliğindedir; giderim seçimleri Müşterinin tasarrufundadır.

Son güncelleme: 3 Haziran 2026 · Sürüm: 1.3 · Ayrıca bkz.: Gizlilik · DPA · Çerezler

Gültig ab: 3. Juni 2026 · Version: 1.3 (§9 + §12 Verbraucherrechte-Refresh — Token-Verfall & Bonus-Token-Erstattungsgrundlage) · Anbieter: AssurePort-Team (Türkei) · Anwendbares Recht: Türkisches Recht + zwingender EU-Verbraucherschutz

Sprache: Die englische Fassung ist die maßgebliche Rechtsfassung. Die Übersetzungen ins Türkische / Deutsche / Französische dienen Ihrer Bequemlichkeit; im Konfliktfall geht die englische Fassung vor.

§1 Annahme

Mit der Erstellung eines AssurePort-Kontos oder dem Start eines Scans akzeptieren Sie (der Kunde) diese Nutzungsbedingungen und unsere Datenschutzerklärung. Sofern Sie im Namen einer Organisation handeln, sichern Sie zu, befugt zu sein, diese Organisation zu verpflichten.

§2 Leistungsumfang

AssurePort stellt derzeit sechs produktive Scan-Engines bereit (Web Pentest, API Pentest, Mobile APK Test, GitHub SAST, Cloud Pentest für AWS / Azure / GCP / Kubernetes und Email Security mit SPF/DKIM/DMARC + Open-Relay-Erkennung + Phishing-Kit-Erkennung — nur passives DNS/HTTP), sechs Abonnement- / Einmalstufen (Hobby monatlich, Hobby Annual Founder Rate, Starter einmalig, Pro monatlich, Business monatlich) sowie bedarfsbezogene Token-Aufladepakete bereit. Das kostenlose Intel-Toolkit unter /tools wird ohne Gewähr zu Orientierungszwecken bereitgestellt. Quick Scan-Modus (Hobby / Starter / Pro) erfordert keine Domain Control Verification oder Rules of Engagement; Advanced Mode (Business-Standard) erfordert beides.

Nicht im aktuellen Leistungsumfang enthaltene Funktionen. Funktionen, die in diesem Vertrag nicht aufgeführt sind — einschließlich, aber nicht beschränkt auf Integrationen Dritter (Slack, Microsoft Teams, Jira, Linear, GitHub Issues, ZenDesk), Single Sign-On (SAML, SCIM, OIDC), Webhook-Zustellung an Kundensysteme, White-Label- oder Wiederverkäuferpartnerprogramme, MSSP-Mandantenverwaltung sowie On-Premises- oder reine Hardware-Bereitstellungen — sind nicht Teil des aktuellen Leistungsumfangs. Wir können solche Funktionen künftig hinzufügen; wesentliche Änderungen werden aktiven Abonnenten gemäß §18 mindestens 30 Tage vorher per E-Mail mitgeteilt; etwaige damit verbundene Preisänderungen unterliegen §7.

Der vorstehende Leistungsumfang ersetzt jede frühere Funktionsdarstellung. Marketingmaterial auf assureport.com sowie die öffentliche Dokumentationsseite spiegeln den aktuellen Umfang wider; im Konfliktfall zwischen Marketingtext und diesen Bedingungen gehen diese Bedingungen vor.

§3 Berechtigung

Sie müssen mindestens 18 Jahre alt und rechtlich befähigt sein, bindende Verträge abzuschließen. AssurePort ist ein B2B-Dienst; Verbraucher im rechtlichen Sinne nutzen ihn in der Regel nicht. Soweit sie ihn dennoch nutzen, bleiben sämtliche zwingenden EU-Verbraucherrechte gemäß §9 erhalten.

§4 Konto und Sicherheit

Die Anmeldung erfolgt per Magic-Link-E-Mail mit optionaler TOTP-basierter Zwei-Faktor-Authentifizierung. Sie sind für die Sicherheit Ihres E-Mail-Kontos, Ihrer Wiederherstellungscodes und Ihres 2FA-Geheimnisses verantwortlich. Verdachtsfälle sollten innerhalb von 24 Stunden an support@assureport.com gemeldet werden.

§5 Kundenpflichten und ROE

Eigentum oder schriftliche Autorisierung — Sie bestätigen, Inhaber des Ziel-Assets zu sein oder über eine schriftliche Autorisierung des Inhabers zu verfügen.
DCV — die Domain-Kontrolle wird vor jedem kostenpflichtigen Scan über einen DNS-TXT-Eintrag oder eine HTTP-Datei validiert.
ROE-Akzeptanz — bei der Scan-Erstellung bestätigen Sie Umfang, Intensität und Zeitfenster. Sie dürfen Assets Dritter nicht ohne deren Einwilligung scannen — dies wäre nach den türkischen TCK §§243-244 sowie den EU-NIS-2- / Computer-Missbrauchs-Pendants rechtswidrig.
Keine produktionsstörende Absicht — destruktive Payloads und DDoS-Taktiken sind ausgeschlossen; AssurePort-Scans sind designbedingt nicht-destruktiv.
Nur rechtmäßige Ziele — Scans kritischer nationaler Infrastrukturen, staatlicher Systeme oder Assets in Jurisdiktionen mit ausdrücklichem Verbot sind untersagt, sofern Sie keinen Autorisierungsnachweis vorlegen.

§6 Unsere Pflichten (Best Effort)

Wir betreiben die Plattform auf Best-Effort-Basis. Zum Zeitpunkt der Veröffentlichung bieten wir keine vertragliche SLA hinsichtlich Verfügbarkeit oder Scan-Abschlusszeit an — dies ist eine bewusste Haltung für die Tarife Starter und Pro. Business-Kunden mit SLA-Bedarf können einen Vertragszusatz anfordern, der eine monatliche Verfügbarkeit von 99,5 % mit Servicegutschriften als alleiniger Abhilfe einführt.

Wir verpflichten uns zu: den auf /status veröffentlichten Verfügbarkeitszielen der Scan-Engines, Sicherheits-Patches innerhalb angemessener Zeit nach Bekanntwerden, transparenten Dienst-Updates und EU-Datenresidenz.

§7 Preise und Abrechnung

Preise und Tarifinhalte werden unter assureport.com/#pricing veröffentlicht und können mit 30-tägiger Vorankündigung gegenüber aktiven Abonnenten geändert werden. Polar.sh tritt als Merchant of Record (MoR) auf: Polar.sh besitzt die Transaktion, erhebt und führt USt./MwSt. in über 47 Jurisdiktionen ab, stellt rechtskonforme Rechnungen aus und bearbeitet Streitfälle. AssurePort speichert keine Kartennummern und liegt außerhalb des PCI-DSS-Karteninhaber-Datenbereichs.

Abonnements gewähren ein monatliches Token-Kontingent; zusätzliche Token-Pakete können separat erworben werden. Tokens werden gemäß §8 bei erfolgreichem Scan-Abschluss verbraucht oder bei fehlgeschlagenem Scan gemäß §8 wieder Ihrem Guthaben gutgeschrieben.

§8 Rückerstattung — Token-Richtlinie

AssurePort verwendet ein token-basiertes Nutzungsmodell: Jeder Scan verbraucht eine definierte Anzahl an Tokens aus Ihrem Kontoguthaben. Token-Belastungen werden gemäß den folgenden vier Fällen einbehalten oder freigegeben:

Erfolgreicher Scan — ein Scan, der abgeschlossen wird und einen Bericht erstellt (unabhängig von der Anzahl der Befunde), verbraucht Tokens vollständig. Es erfolgt keine Rückerstattung, da die zugrunde liegende Rechenleistung (Sandbox-Laufzeit, KI-Inferenz, Beweisspeicherung) erbracht wurde.
Fehlgeschlagener Scan — ein Scan, der aufgrund eines Plattformfehlers (Sandbox-Absturz, Queue-Dispatch-Fehler, Infrastrukturausfall, KI-Agent-Timeout, interne Ausnahme) keinen Bericht erstellt, führt zur vollständigen Token-Rückerstattung auf Ihr Kontoguthaben, automatisch und in der Regel innerhalb von 60 Sekunden. Kein Support-Ticket erforderlich.
Scan mit wenigen Befunden — ein Scan, der mit null oder ausschließlich informationellen/geringfügigen Befunden abgeschlossen wird, wird nicht automatisch erstattet, da ein sauberer Bericht ein legitimes Ergebnis darstellt (Ihr Asset ist möglicherweise gehärtet). Sollten Sie der Auffassung sein, der Scan habe Ihr Asset nicht angemessen abgedeckt, können Sie binnen 14 Tagen nach Scan-Abschluss per E-Mail an support@assureport.com eine manuelle Prüfung beantragen. Unser Team prüft Crawl-Abdeckung, Payload-Vielfalt und Engine-Protokolle innerhalb von 5 Werktagen und erstattet die Tokens, sofern der Scan unsere interne Qualitätsschwelle nicht erfüllt hat.
Kündigung des Abonnements — wenn Sie Ihr Abonnement kündigen, bleiben verbleibende, nicht verbrauchte Tokens für die Dauer des laufenden Abrechnungszyklus verfügbar. Nach Zyklusende wird ein etwaiges anteiliges, nicht verbrauchtes Guthaben gemäß der jeweils geltenden Rollover-Richtlinie Ihrem Konto gutgeschrieben (siehe §12).

Token-Rückerstattung ≠ Kartenrückerstattung. Eine "Token-Rückerstattung" stellt Guthaben auf Ihrem AssurePort-Konto wieder her, das Sie für einen nachfolgenden Scan einsetzen können. Es handelt sich nicht um eine Rückzahlung an die Karte. Für Kartenrückerstattungen (z. B. 14-tägiges Widerrufsrecht, siehe §9) erfolgt die Erstattung über unseren Merchant of Record Polar.sh binnen 5 Werktagen nach Genehmigung der Anfrage.

§9 EU-Verbraucherrechte

Soweit Sie nach EU-Recht im rechtlichen Sinne Verbraucher sind, gelten die folgenden zwingenden Rechte und gehen Beschränkungen in diesen Bedingungen im Konfliktfall vor.

14-tägiges Widerrufsrecht

Gemäß Artikel 9 der EU-Verbraucherrechterichtlinie 2011/83/EU (in der durch Richtlinie 2019/770/EU für digitale Inhalte erweiterten Fassung) haben Sie das Recht, binnen 14 Tagen nach Vertragsschluss ohne Angabe von Gründen von diesem Vertrag über eine digitale Dienstleistung zurückzutreten. Erstattungen erfolgen wie folgt:

Wenn Sie innerhalb der 14 Tage keine Tokens verbraucht haben, erhalten Sie binnen 5 Werktagen nach Ihrer Widerrufserklärung eine vollständige Rückerstattung auf Ihre Karte über Polar.sh.
Wenn Sie einige Tokens verbraucht haben, erhalten Sie eine anteilige Rückerstattung für nicht verbrauchte Tokens, berechnet auf den tatsächlich gezahlten Betrag. Bonus-Tokens sind ein kostenloser Anreiz und nicht Teil der Erstattungsgrundlage: Die anteilige Berechnung verwendet die Anzahl der von Ihnen gekauften (bezahlten) Tokens, nicht die zusätzlich gewährten Bonus-Tokens. In Formelform: Erstattung = nicht verbrauchte bezahlte Tokens / insgesamt bezahlte Tokens × gezahlter Betrag; Bonus-Tokens erhöhen oder verringern den erstatteten Betrag nicht.
Wenn Sie ausdrücklich verlangt haben, dass die digitale Dienstleistung sofort beginnt (bestätigt durch das Häkchen an der Kasse), verzichten Sie gemäß Artikel 16(m) für bereits verbrauchte Tokens auf das Widerrufsrecht; die anteilige Erstattung gilt weiterhin für die zum Zeitpunkt des Widerrufs nicht verbrauchten Tokens.

Ausübung des Widerrufs

Senden Sie binnen 14 Tagen nach dem ursprünglichen Kauf eine E-Mail an support@assureport.com mit dem Betreff "Cooling-off withdrawal" und Ihrer Konto-E-Mail-Adresse. Wir antworten binnen 3 Werktagen. Erstattungen über Polar.sh werden binnen 5 Werktagen nach Genehmigung verarbeitet (vorbehaltlich der Polar.sh-Kartennetzschienen).

Gesetzliche Gewährleistungsrechte

Gemäß der EU-Richtlinie über digitale Inhalte 2019/770 stehen Ihnen gesetzliche Gewährleistungsrechte zu, falls die digitale Dienstleistung nicht vertragsgemäß ist (z. B. wenn die Leistung nicht das Beworbene liefert). Diese Rechte umfassen kostenfreie Nacherfüllung, Ersatzlieferung oder Erstattung. AssurePort erfüllt diese Pflichten unabhängig von unserer freiwilligen Rückerstattungsregelung in §8.

Alternative Streitbeilegung

Sie können über die EU-ODR-Plattform unter https://ec.europa.eu/consumers/odr alternative Streitbeilegungsstellen erreichen. Verbraucher mit Wohnsitz in der Türkei haben zudem Zugang zu den Tüketici Hakem Heyetleri (Verbraucherschlichtungsausschüssen).

§10 Keine Integrationen, kein MSSP

AssurePort bietet derzeit weder Webhooks, Integrationen Dritter (Slack, Microsoft Teams, Jira, Linear, GitHub Issues, ZenDesk usw.), Single Sign-On (SAML, SCIM, OIDC) noch White-Label-/MSSP-Partnerprogramme an. Kunden-Scandaten, Befundberichte und Audit-Protokolle werden nicht an Dritte außerhalb der in unserer Auftragsverarbeitungsvereinbarung dokumentierten Liste der Unterauftragsverarbeiter weitergegeben oder übermittelt. Dies ist eine bewusste architektonische Verpflichtung, keine Funktionslücke. Sie garantiert Folgendes:

Ihre Scan-Befunde, Ziel-Metadaten und Berichtsinhalte verbleiben innerhalb der AssurePort-Plattformgrenzen.
Es fließen keine Kundendaten an Dritte über die in Datenschutzerklärung §6 gelisteten Unterauftragsverarbeiter hinaus.
Sie müssen keine Lieferanten-Risikobewertungen für Integrationsziele vornehmen.
Ihre GDPR-Unterauftragsverarbeiter-Liste ändert sich nicht aufgrund von AssurePort-Funktionskonfigurationen.

Sollten wir künftig Integrationen einführen (z. B. opt-in Slack-Export, Jira-Ticket-Synchronisation, MSSP-White-Label-Partnerschaft), werden wir: (a) diese als opt-in-Funktionen mit ausdrücklicher Einwilligung anbieten; (b) das Ziel ggf. als Unterauftragsverarbeiter mit vollständigem DPA-Zusatz behandeln; (c) aktive Abonnenten gemäß §18 mindestens 30 Tage im Voraus informieren. Bis dahin ist die Integrationsoberfläche designbedingt leer.

§11 Nutzergrenze je Tarif

Jede Abonnementstufe legt eine maximale Anzahl autorisierter Nutzer pro Mandant fest. Aktuelle Grenzen (mit 30 Tagen Vorankündigung gemäß §18 änderbar):

Tarif	Max. Nutzer je Mandant	Rollentypen
Starter	1	nur Administrator
Pro	3	Administrator, Mitglied
Business	10	Administrator, Mitglied, Betrachter

Jeder Mandant ist technisch isoliert: Mitglieder eines Mandanten können nicht auf Daten eines anderen Mandanten zugreifen. Einladung, Rollenzuweisung und Zugriffsentzug werden vom Mandantenadministrator im Dashboard verwaltet. Eingeladene Nutzer erhalten ihre eigene GDPR-Transparenzhinweis in der Einladungs-E-Mail (Link zur Datenschutzerklärung). Entfernte Nutzer verlieren sofort den Zugriff; ihre personenbezogenen Daten (Audit-Log-Einträge) werden gemäß unserem Aufbewahrungsplan vorgehalten und können dem Recht auf Löschung nach Artikel 17 GDPR unterliegen.

Übersteigt Ihre Nutzerzahl das Tariflimit, können Sie jederzeit hochstufen. Wir erstatten keine anteiligen Beträge bei Herabstufungen innerhalb eines Abrechnungszyklus; Herabstufungen werden zum nächsten Zyklus wirksam.

§12 Token-basiertes Nutzungsmodell

AssurePort verwendet ein token-basiertes Nutzungsmodell. Jede Abonnementstufe gewährt Ihnen ein monatliches Token-Kontingent; bedarfsbezogene Aufladepakete können separat erworben werden. Die Token-Kosten jedes Scans werden vor Ihrer Bestätigung im Dashboard angezeigt.

Scan-Engine	Token-Kosten	Anmerkungen
Web Pentest	variiert je nach Crawl-Tiefe und Befundanzahl	aktuelle Preise siehe Preisseite
API Pentest	variiert je nach Endpunktanzahl und Anfragevolumen	aktuelle Preise siehe Preisseite
Mobile APK Test	variiert je nach APK-Größe und Analysetiefe	aktuelle Preise siehe Preisseite
GitHub SAST	variiert je nach Repository-Größe und Sprachabdeckung	aktuelle Preise siehe Preisseite

Token-Rollover. Monatliche Token-Zuteilungen für Pro und Business werden bis zu einer Obergrenze von dem Zweifachen der monatlichen Zuteilung in den Folgemonat übertragen (z. B. kann ein Pro-Tarif-Nutzer mit einer monatlichen Zuteilung von 40.000 Tokens bis zu 80.000 Tokens ansammeln). Über dieser Obergrenze angesammelte Tokens verfallen am Ende des Abrechnungszyklus.

Bedarfsbezogen gekaufte Tokens verfallen nicht. Tokens, die Sie über einmalige Token-Pakete oder Gutscheine pro Scan erwerben — einschließlich Käufen ohne aktives Abonnement (z. B. ein einmaliger Starter-Kauf oder ein eigenständiger Gutschein) — verfallen nicht und bleiben in Ihrem Kontoguthaben verfügbar, bis Sie sie ausgeben. Diese Verfallsfreiheit gilt gleichermaßen für Abonnenten und Nicht-Abonnenten. Die oben beschriebene monatliche Rollover-Obergrenze gilt ausschließlich für die wiederkehrende monatliche Token-Zuteilung eines Abonnement-Tarifs und niemals für gekaufte Token-Pakete oder Gutschein-Tokens.

Der Token-Verbrauch wird in Ihrem Abrechnungsregister erfasst und ist in Ihrem Dashboard sichtbar. Die aktuelle Preisliste wird unter assureport.com/#pricing veröffentlicht und mit 30-tägiger Vorankündigung gegenüber aktiven Abonnenten aktualisiert. Preisänderungen führen nicht zur rückwirkenden Neubelastung abgeschlossener Scans.

§13 Akzeptable Nutzung

Kein Scannen von Assets Dritter ohne deren Einwilligung.
Keine Nutzung von AssurePort-Befunden zu Erpressung, Nötigung oder Betrug.
Kein Reverse Engineering der Plattform selbst; Sicherheitsforschung an AssurePort ist über verantwortungsvolle Offenlegung an security@assureport.com ausdrücklich willkommen.
Kein Weiterverkauf von Scan-Kapazitäten. Wiederverkäufer-/MSSP-Partnerschaften werden derzeit nicht angeboten (siehe §10); ein etwaiges künftiges Programm unterliegt einem gesonderten kommerziellen Zusatz.

§14 Geistiges Eigentum und Lizenz

Die AssurePort-Plattform, die KI-Agenten, die Scan-Engine-Regeln, die Berichtsvorlagen und die Marke sind Eigentum des AssurePort-Teams. Wir gewähren Ihnen für die Laufzeit Ihres Abonnements eine nicht-ausschließliche, nicht-übertragbare und widerrufliche Lizenz zur Nutzung des Dienstes für Ihre internen Sicherheitszwecke. Die von Ihnen erzeugten Scan-Berichte gehören Ihnen; Sie besitzen die Ausgabe und können sie frei mit Prüfern, Behörden und Kunden teilen.

§15 Haftungsbeschränkung

Soweit gesetzlich zulässig, ist die aggregierte Haftung von AssurePort aus oder im Zusammenhang mit dem Dienst innerhalb eines 12-Monats-Zeitraums auf den Gesamtbetrag, den Sie uns in diesem 12-Monats-Zeitraum gezahlt haben, begrenzt. Diese Begrenzung gilt nicht für: Haftung, die nicht gesetzlich ausgeschlossen werden kann, gesetzliche Schadensersatzansprüche nach Artikel 82 GDPR, vorsätzliches Fehlverhalten oder grobe Fahrlässigkeit sowie Verletzungen der Vertraulichkeit.

§16 Kündigung

Sie können jederzeit durch Kündigung Ihres Abonnements im Dashboard kündigen. Wir können im normalen Geschäftsverlauf mit 30-tägiger schriftlicher Vorankündigung kündigen oder bei wesentlichem Vertragsbruch (unautorisierte Scans, Zahlungsbetrug, Kontokompromittierung, die andere Mandanten gefährdet) mit sofortiger Wirkung. Nach Kündigung werden Ihre Daten 30 Tage zur Wiederherstellung aufbewahrt und anschließend gemäß §4 der Datenschutzerklärung gelöscht.

§17 Streitigkeiten und anwendbares Recht

Diese Bedingungen unterliegen dem Recht der Türkei, unbeschadet zwingender verbraucherschützender Vorschriften des Landes Ihres Wohnsitzes gemäß Verordnung (EU) 1215/2012. Die Gerichte von Istanbul haben nicht-ausschließliche Zuständigkeit; Verbraucher können nach EU-Recht an ihrem Wohnsitzgericht klagen oder verklagt werden. Die Parteien werden vor Einleitung eines Verfahrens 30 Tage lang nach Treu und Glauben verhandeln.

§18 Änderungen und Kontakt

Wir können diese Bedingungen anlässlich der Weiterentwicklung des Dienstes aktualisieren. Wesentliche Änderungen werden aktiven Konten mindestens 30 Tage im Voraus per E-Mail mitgeteilt. Die fortgesetzte Nutzung nach dem Wirksamkeitsdatum gilt als Zustimmung. Kontakt: legal@assureport.com.

§19 Zusicherungen und Gewährleistungen des Kunden

Der Kunde sichert zu und gewährleistet:

(a) Eigentum oder schriftliche Autorisierung — Der Kunde ist Eigentümer jeder an den Dienst übermittelten Ziel-URL oder verfügt über eine ausdrückliche schriftliche Autorisierung des rechtmäßigen Eigentümers, diese zu scannen. Die Annahme dieser Bedingungen per Klick in Verbindung mit dem Eintrag im Audit-Log, der IP, User-Agent und Zahlungs-Fingerabdruck bei Scan-Auslösung erfasst, stellt eine zustimmende Erklärung der Autorisierung des Kunden für den jeweiligen Scan dar.
(b) Keine Verletzung von Recht oder Drittrechten — die Scan-Tätigkeit verletzt keine Rechte Dritter, kein anwendbares Recht und keine Computer-Missbrauchsvorschriften, einschließlich, aber nicht beschränkt auf: den U.S. Computer Fraud and Abuse Act (CFAA, 18 U.S.C. §1030), den UK Computer Misuse Act 1990, deutscher §202c StGB, französischer Code pénal Art. 323-1 bis 323-7 und türkischer TCK Madde 243 und 244.
(c) Nur erlaubte Nutzung — Der Kunde nutzt den Dienst nicht für unautorisierte Sicherheitstests, Wettbewerbsspionage gegenüber nicht verbundenen Parteien, Denial-of-Service-Angriffe, massenhafte Enumeration fremder Assets, Schwachstellen-Vermittlung oder eine im nachfolgenden §20 untersagte Nutzung.
(d) Korrekte Identität und Zahlung — Der Kunde hält Kontakt- und Zahlungsangaben für Chargeback-, Betrugs- und forensische Zwecke korrekt vor. Eine wesentliche unrichtige Angabe von Identität oder Zahlungsmittel ist ein Grund zur sofortigen Kündigung nach §16 und kann die Haftungsfreistellung nach §20 auslösen.

Diese Zusicherungen werden bei jeder Scan-Auslösung gegeben und erneuern sich, wenn der Kunde einen Scan über den Dienst startet.

§20 Untersagte Nutzungen und Haftungsfreistellung

Untersagte Nutzungen. Die folgenden Nutzungen sind — unabhängig von einer Zusicherung des Kunden nach §19 — strikt untersagt und stellen eine wesentliche Verletzung dieser Bedingungen dar:

Scannen von Zielen, die Wettbewerbern des Kunden gehören, ohne ausdrückliche schriftliche Autorisierung des Ziel-Eigentümers.
Scannen kritischer Infrastruktur, einschließlich, aber nicht beschränkt auf: Regierungs- und Militärdomains (.gov, .mil, .bund.de, .gov.*, .mil.*), Bildungseinrichtungen (.edu, .ac.*), regulierte Finanzinstitute, Krankenhäuser und Gesundheitsdienstleister, Energie- und Wasserversorger, Telekommunikationsbetreiber und Internet-Knoten-Betreiber.
Scannen markengeschützter SaaS-Plattformen großer Dritter — einschließlich, aber nicht beschränkt auf Google, Microsoft, Amazon Web Services, Cloudflare, Stripe, GitHub, GitLab, Atlassian, Salesforce, Shopify, Apple, Meta, OpenAI, Anthropic — sowie weiterer Stellen, die jeweils unter /legal/brand-protection.html in der AssurePort-Markenschutzliste veröffentlicht werden.
Denial-of-Service-Angriffe, volumetrische oder Amplifikationsangriffe, Layer-7-Floods oder ein Scan, der darauf ausgelegt ist, die Verfügbarkeit des Ziels zu beeinträchtigen statt Mängel zu identifizieren.
Datenexfiltrationsversuche, massenhaftes Herunterladen personenbezogener Daten, Scraping authentifizierter Inhalte oder jegliche Tätigkeit, die Art. 5 Abs. 1 lit. c DSGVO (Datenminimierung) verletzen würde, wenn nicht der Kunde selbst Eigentümer des Ziels ist.
Nutzung des Dienstes oder seiner Ausgaben zur Begehung von Erpressung, Nötigung, Marktmanipulation oder einer Straftat nach EU- oder mitgliedstaatlichem Recht.

Haftungsfreistellung. Der Kunde stellt AssurePort, das AssurePort-Team, deren Geschäftsführer, Mitarbeiter, Auftragnehmer, Unterauftragsverarbeiter und Vertreter (jeweils eine „freigestellte Partei") von allen Ansprüchen, Forderungen, Aufsichtsbußen, Anordnungen von Aufsichtsbehörden, Verwaltungssanktionen, Rechtskosten, Anwaltsgebühren, Schäden oder Verlusten (gemeinsam „Verluste") frei, die sich aus oder im Zusammenhang mit Folgendem ergeben: (i) einer Verletzung von §19 oder dieses §20 durch den Kunden; (ii) einem Drittanspruch, wonach eine vom Kunden oder für ihn durchgeführte Scan-Tätigkeit unautorisierten Zugriff, Dienstbeeinträchtigung oder Datenschutzschaden bei diesem Dritten verursacht habe; (iii) jedem Aufsichtsverfahren, das gegen eine freigestellte Partei als unmittelbare Folge der Scan-Tätigkeit des Kunden eingeleitet wird; (iv) Missbrauch der Dienstausgaben durch den Kunden. Die Freistellung nach §20 umfasst Ansprüche aus Delikts-, Vertrags-, Computer-Missbrauchs-, Schutzrechts- und Datenschutzrecht jeglicher Rechtsordnung.

Verbraucherschutz-Ausnahme. Soweit der Kunde nach EU- oder mitgliedstaatlichem Recht im rechtlichen Sinne Verbraucher ist (insbesondere §307 BGB, französischer Code de la consommation L. 212-1, türkisches Tüketici Kanunu 6502), gilt die Freistellungspflicht nach §20 nur insoweit, als dies nach zwingendem Verbraucherschutzrecht zulässig ist. Für Geschäftskunden (B2B) ist die Freistellung vollständig durchsetzbar. AssurePort behält sich vor, für Kunden der Tarife Pro und Business die Annahme dieses §20 ausschließlich auf B2B-Basis durch gesonderten schriftlichen Zusatz als Dienstleistungsvoraussetzung zu verlangen.

Verfahren. AssurePort wird den Kunden über jeden freistellungspflichtigen Anspruch schriftlich informieren, dem Kunden gestatten, die Verteidigung zu führen (vorbehaltlich des Rechts von AssurePort, mit eigenem Anwalt auf eigene Kosten teilzunehmen), und mit angemessener Unterstützung kooperieren. Der Kunde wird keinen Anspruch beilegen, der einer freistellungsberechtigten Partei eine Verpflichtung auferlegt, ohne deren vorherige schriftliche Zustimmung.

§21 KI-Verordnung Art. 50 Transparenzhinweis

AssurePort setzt Systeme der künstlichen Intelligenz ein — namentlich von Anthropic (Claude-Familie) und OpenAI (GPT-Familie) bereitgestellte und unter den in §8 der Auftragsverarbeitungsvereinbarung dokumentierten Schutzvorkehrungen betriebene große Sprachmodelle — um während der Scans entdeckte Sicherheitslücken zu erkennen, zu klassifizieren, zu priorisieren und zu erläutern.

Kennzeichnung. Jeder KI-erzeugte Befund wird im Bericht mit einem Konfidenzwert und einer ausdrücklichen Kennzeichnung „KI-generiert" versehen. Mit „KI-generiert" gekennzeichnete Befunde können vor Behebungsentscheidungen eine menschliche Verifizierung erfordern.
Vierteljährlicher Transparenzbericht. AssurePort erfasst False-Positive- und False-Negative-Raten je Scan-Engine und veröffentlicht sie vierteljährlich im Transparenzbericht unter /transparency. Der Bericht enthält aggregierte Genauigkeitsmetriken, eingesetzte Modellversionen sowie wesentliche Modelländerungen.
Kunden-Bestätigung. Mit Annahme dieser Bedingungen bestätigt der Kunde den Erhalt dieses KI-Transparenzhinweises gemäß Artikel 50 der Verordnung (EU) 2024/1689 über Künstliche Intelligenz (die „KI-Verordnung"). Dieser Hinweis wird vor dem vollen operativen Anwendungsdatum des Artikel 50 (2. August 2026) bereitgestellt, um Kontinuität der Transparenzpflichten sicherzustellen.
Recht auf menschliche Überprüfung. Der Kunde kann innerhalb von 30 Tagen nach Scan-Abschluss eine menschliche Überprüfung jedes KI-erzeugten Befundes anfordern, indem er eine E-Mail mit Scan-Identifier und Befundreferenz an support@assureport.com sendet. Ein qualifizierter AssurePort-Analyst bewertet den Befund innerhalb von 5 Werktagen neu und bestätigt, stuft herab, zieht zurück oder eskaliert ihn. Stellt die menschliche Überprüfung fest, dass die KI wesentlich unrichtig lag, werden die betroffenen Scan-Tokens nach §8 (Verfahren bei Scans mit wenigen Befunden) erstattet.
Keine automatisierten rechtlichen Entscheidungen. Die KI von AssurePort trifft keine rechtserheblichen Entscheidungen über den Kunden oder Dritte im Sinne von Art. 22 DSGVO. Alle Empfehlungen haben beratenden Charakter; Behebungsentscheidungen verbleiben beim Kunden.

Zuletzt aktualisiert: 3. Juni 2026 · Version: 1.3 · Siehe auch: Datenschutz · AVV · Cookies

Date d'effet : 3 juin 2026 · Version : 1.3 (§9 + §12 rafraîchissement des droits du consommateur — expiration des jetons & base de remboursement des jetons bonus) · Prestataire : Équipe AssurePort (Turquie) · Droit applicable : droit turc + protection consommateur impérative de l'UE

Langue : La version anglaise fait foi sur le plan juridique. Les traductions en turc / allemand / français sont fournies pour votre commodité ; en cas de conflit, la version anglaise prévaut.

§1 Acceptation

En créant un compte AssurePort ou en lançant un scan, vous (le Client) acceptez les présentes Conditions Générales d'Utilisation et notre Politique de confidentialité. Si vous acceptez au nom d'une organisation, vous garantissez disposer du pouvoir d'engager cette organisation.

§2 Périmètre du service

AssurePort fournit actuellement six moteurs de scan en production (Web Pentest, API Pentest, Mobile APK Test, GitHub SAST, Cloud Pentest couvrant AWS / Azure / GCP / Kubernetes, et Email Security avec SPF/DKIM/DMARC + détection de relais ouvert + détection de kit de phishing — analyse DNS/HTTP passive uniquement), six niveaux d'abonnement / paiement unique (Hobby mensuel, Hobby Annual tarif Fondateur, Starter paiement unique, Pro mensuel, Business mensuel) et des packs de jetons supplémentaires à la demande. La boîte à outils gratuite à /tools est fournie sans garantie à des fins d'orientation. Le mode Quick Scan (Hobby / Starter / Pro) ne nécessite ni Vérification de Contrôle de Domaine ni Règles d'Engagement ; le mode Advanced (par défaut Business) si.

Fonctionnalités hors du périmètre actuel. Les fonctionnalités non listées dans le présent contrat — y compris mais sans s'y limiter, intégrations tierces (Slack, Microsoft Teams, Jira, Linear, GitHub Issues, ZenDesk), authentification unique (SAML, SCIM, OIDC), envoi de webhooks vers les systèmes du client, programmes de partenariat en marque blanche ou revendeur, gestion de sous-locataires MSSP, déploiements sur site (on-premises) ou matériel exclusif — ne font pas partie du service actuel. Nous pourrons ajouter ces fonctionnalités à l'avenir ; les modifications matérielles seront notifiées aux abonnés actifs par e-mail au moins 30 jours à l'avance conformément à §18, et toute évolution tarifaire associée sera régie par §7.

Le périmètre ci-dessus remplace toute représentation antérieure des fonctionnalités. Les supports marketing sur assureport.com et le site de documentation publique reflètent le périmètre courant ; en cas de conflit entre les textes marketing et les présentes Conditions, les présentes Conditions prévalent.

§3 Éligibilité

Vous devez avoir au moins 18 ans et être juridiquement capable de conclure des contrats engageants. AssurePort est un service B2B ; les consommateurs au sens juridique ne l'utilisent normalement pas, mais lorsqu'ils l'utilisent, le §9 ci-dessous préserve l'ensemble des droits consommateurs impératifs prévus par le droit de l'UE.

§4 Compte et sécurité

La connexion s'effectue par e-mail de lien magique (magic-link) avec authentification à deux facteurs (TOTP) optionnelle. Vous êtes responsable de la sécurité de votre compte de messagerie, de vos codes de récupération et de votre secret 2FA. Toute compromission présumée doit être signalée à support@assureport.com sous 24 heures.

§5 Obligations du client et ROE

Propriété ou autorisation écrite — vous confirmez être propriétaire de l'actif cible ou disposer d'une autorisation écrite de son propriétaire.
DCV — le contrôle du domaine est validé via un enregistrement DNS TXT ou un fichier HTTP avant tout scan payant.
Acceptation des ROE — lors de la création du scan, vous confirmez la portée, l'intensité et la fenêtre temporelle. Vous ne pouvez pas scanner des actifs de tiers sans leur consentement — ceci serait illégal tant en vertu des articles 243-244 du Code pénal turc que des équivalents NIS 2 / abus informatique de l'UE.
Aucune intention de perturbation de production — les payloads destructeurs et les tactiques DDoS sont hors périmètre ; les scans AssurePort sont non-destructifs par conception.
Cibles licites uniquement — les scans d'infrastructures nationales critiques, de systèmes gouvernementaux ou d'actifs dans des juridictions explicitement interdites sont proscrits sauf preuve d'autorisation.

§6 Nos obligations (meilleurs efforts)

Nous opérons la plateforme selon un engagement de meilleurs efforts. Au moment de la rédaction, nous n'offrons pas de SLA contractuel sur la disponibilité ou le temps d'achèvement des scans — il s'agit d'une position délibérée pour les formules Starter et Pro. Les clients Business nécessitant un SLA peuvent demander un avenant contractuel ajoutant un engagement de disponibilité mensuelle de 99,5 % avec des crédits de service comme unique recours.

Nous nous engageons à : respecter les objectifs de disponibilité des moteurs de scan publiés sur /status, appliquer les correctifs de sécurité dans un délai raisonnable après divulgation, publier des mises à jour transparentes du service, et maintenir la résidence des données dans l'UE.

§7 Tarification et facturation

Les prix et inclusions des formules sont publiés sur assureport.com/#pricing et peuvent évoluer avec un préavis de 30 jours aux abonnés actifs. Polar.sh agit en qualité de Merchant of Record (MoR) : Polar.sh est titulaire de la transaction, collecte et reverse la TVA dans plus de 47 juridictions, émet les factures conformes et traite les litiges. AssurePort ne stocke aucun numéro de carte et est hors du périmètre des données titulaires PCI-DSS.

Les abonnements octroient un quota mensuel de jetons ; des packs supplémentaires peuvent être achetés à la demande. Les jetons sont consommés en cas de scan réussi conformément à §8 ou restitués au solde en cas d'échec conformément à §8.

§8 Politique de remboursement — jetons

AssurePort fonctionne selon un modèle d'usage par jetons : chaque scan consomme un nombre défini de jetons depuis le solde de votre compte. Les prélèvements de jetons sont retenus ou restitués selon les quatre cas suivants :

Scan réussi — un scan qui se termine et produit un rapport (indépendamment du nombre de constatations) consomme intégralement les jetons. Aucun remboursement n'est accordé car les ressources sous-jacentes (exécution sandbox, inférence IA, stockage des preuves) ont été engagées.
Scan en échec — un scan qui ne produit pas de rapport en raison d'une erreur de la plateforme (crash sandbox, échec d'expédition de file d'attente, panne d'infrastructure, expiration d'un agent IA, exception interne) entraîne une restitution intégrale des jetons sur votre solde de compte, automatiquement et généralement sous 60 secondes. Aucun ticket de support n'est requis.
Scan à faibles constatations — un scan qui se termine sans constatation ou uniquement avec des constatations informationnelles/de faible gravité ne donne pas automatiquement lieu à remboursement, car un rapport propre est un résultat légitime (votre actif est peut-être bien sécurisé). Si vous estimez que le scan n'a pas couvert votre actif de manière adéquate, vous pouvez demander une révision manuelle dans les 14 jours suivant la fin du scan en écrivant à support@assureport.com. Notre équipe examine la couverture de crawl, la diversité des payloads et les journaux du moteur dans un délai de 5 jours ouvrés et rembourse les jetons si le scan ne respecte pas notre seuil de qualité interne.
Résiliation de l'abonnement — lorsque vous résiliez votre abonnement, les jetons inutilisés restants demeurent disponibles pour la durée du cycle de facturation en cours. Après la fin du cycle, tout solde non utilisé proportionnel est crédité à votre compte selon la politique de report en vigueur (voir §12).

Remboursement en jetons ≠ remboursement sur carte. Un « remboursement en jetons » restaure le crédit sur votre solde de compte AssurePort, utilisable pour un scan ultérieur. Il ne s'agit pas d'un remboursement sur carte. Pour les remboursements sur carte (par exemple, période de rétractation de 14 jours, voir §9), les remboursements sont traités par notre Merchant of Record Polar.sh sous 5 jours ouvrés après approbation de la demande.

§9 Droits consommateurs de l'UE

Lorsque vous êtes consommateur au sens juridique du droit de l'UE, les droits impératifs suivants s'appliquent et prévalent sur toute limitation des présentes Conditions dans la mesure du conflit.

Droit de rétractation de 14 jours

En vertu de l'article 9 de la Directive 2011/83/UE relative aux droits des consommateurs (telle qu'étendue pour le contenu numérique par la Directive 2019/770/UE), vous disposez d'un droit de rétractation de 14 jours à compter de la conclusion du contrat de service numérique, sans motif. Les remboursements s'effectuent comme suit :

Si vous n'avez consommé aucun jeton pendant la période de 14 jours, vous bénéficiez d'un remboursement intégral sur carte via Polar.sh dans les 5 jours ouvrés suivant votre notification de rétractation.
Si vous avez consommé certains jetons, vous bénéficiez d'un remboursement au prorata sur les jetons inutilisés, calculé sur le montant effectivement payé. Les jetons bonus constituent une incitation gratuite et ne font pas partie de la base de remboursement : le calcul au prorata utilise le nombre de jetons achetés (payés), et non les jetons bonus attribués en supplément. Sous forme de formule : remboursement = jetons payés inutilisés / total des jetons payés × montant payé ; les jetons bonus n'augmentent ni ne réduisent le montant remboursé.
Si vous avez expressément demandé que le service numérique commence immédiatement (acceptation via la case à cocher à la caisse), vous renoncez au droit de rétractation au sens de l'article 16(m) pour les jetons déjà consommés ; le remboursement au prorata s'applique néanmoins aux jetons inutilisés au moment de la rétractation.

Comment exercer la rétractation

Envoyez un e-mail à support@assureport.com avec pour objet « Cooling-off withdrawal » et l'e-mail de votre compte, dans les 14 jours suivant votre achat initial. Nous répondons sous 3 jours ouvrés. Les remboursements via Polar.sh sont traités sous 5 jours ouvrés après approbation (sous réserve des rails du réseau cartes Polar.sh).

Recours légaux pour non-conformité

En vertu de la Directive 2019/770/UE relative au contenu numérique, vous disposez de recours légaux en cas de non-conformité du service numérique (par exemple, si le service ne fournit pas ce qui était annoncé). Ces recours incluent la mise en conformité gratuite, le remplacement ou le remboursement. AssurePort honore ces obligations indépendamment de notre politique de remboursement volontaire prévue à §8.

Règlement extrajudiciaire des litiges

Vous pouvez accéder à des modes alternatifs de règlement des litiges via la plateforme RLL de l'UE à l'adresse https://ec.europa.eu/consumers/odr. Pour les consommateurs résidant en Turquie, les Tüketici Hakem Heyetleri (commissions d'arbitrage des consommateurs) sont également disponibles.

§10 Aucune intégration, aucun MSSP

AssurePort n'expose actuellement pas de webhooks, d'intégrations tierces (Slack, Microsoft Teams, Jira, Linear, GitHub Issues, ZenDesk, etc.), d'authentification unique (SAML, SCIM, OIDC), ni de programme de partenariat en marque blanche / MSSP. Les données de scan client, les rapports de constatations et les journaux d'audit ne sont partagés ni transmis à aucun tiers en dehors de la liste des sous-traitants ultérieurs documentée dans notre Accord de Traitement des Données. Il s'agit d'un engagement architectural délibéré et non d'un manque de fonctionnalité. Cela garantit :

Vos constatations de scan, métadonnées de cible et contenus de rapport restent dans le périmètre de la plateforme AssurePort.
Aucune donnée client ne circule vers un tiers au-delà des sous-traitants ultérieurs listés à Politique de confidentialité §6.
Vous n'avez pas à procéder à des évaluations de risque fournisseur sur des destinations d'intégration.
Votre liste GDPR de sous-traitants ultérieurs ne change pas en raison d'une configuration fonctionnelle AssurePort.

Si nous introduisons des intégrations à l'avenir (par ex. export Slack opt-in, synchronisation de tickets Jira, partenariat en marque blanche MSSP), nous : (a) les ajouterons en tant que fonctionnalités opt-in nécessitant un consentement explicite ; (b) traiterons la destination comme un sous-traitant ultérieur le cas échéant, avec un avenant DPA complet ; (c) notifierons les abonnés actifs au moins 30 jours à l'avance conformément à §18. Jusque-là, la surface d'intégration est vide par conception.

§11 Limite d'utilisateurs par formule

Chaque niveau d'abonnement définit un nombre maximal d'utilisateurs autorisés par locataire (tenant). Limites actuelles (modifiables avec un préavis de 30 jours selon §18) :

Formule	Utilisateurs max. par locataire	Rôles
Starter	1	administrateur uniquement
Pro	3	administrateur, membre
Business	10	administrateur, membre, lecteur

Chaque locataire est isolé techniquement : les membres d'un locataire ne peuvent pas accéder aux données d'un autre. L'invitation des membres, l'attribution des rôles et la révocation des accès sont gérées par l'administrateur du locataire dans le tableau de bord. Les utilisateurs invités reçoivent leur propre notice de transparence GDPR dans l'e-mail d'invitation (lien vers la Politique de confidentialité). Les utilisateurs retirés perdent l'accès immédiatement ; leurs données personnelles (entrées de journal d'audit) sont conservées selon notre calendrier de conservation et peuvent faire l'objet d'un droit à l'effacement au titre de l'article 17 GDPR.

Si votre effectif dépasse la limite de la formule, vous pouvez mettre à niveau à tout moment. Nous n'effectuons pas de prorata sur les rétrogradations en cours de cycle ; les rétrogradations prennent effet au cycle de facturation suivant.

§12 Modèle d'usage par jetons

AssurePort utilise un modèle d'usage par jetons. Chaque niveau d'abonnement vous octroie un quota mensuel de jetons ; des packs de recharge à la demande peuvent être achetés séparément. Le coût en jetons de chaque scan est affiché dans le tableau de bord au lancement, avant votre confirmation.

Moteur de scan	Coût en jetons	Notes
Web Pentest	variable selon la profondeur de crawl et le nombre de constatations	voir la page tarifs pour la grille actuelle
API Pentest	variable selon le nombre d'endpoints et le volume de requêtes	voir la page tarifs pour la grille actuelle
Mobile APK Test	variable selon la taille de l'APK et la profondeur d'analyse	voir la page tarifs pour la grille actuelle
GitHub SAST	variable selon la taille du dépôt et la couverture linguistique	voir la page tarifs pour la grille actuelle

Report des jetons. Les dotations mensuelles Pro et Business sont reportées jusqu'à un plafond de deux fois la dotation mensuelle (par exemple, un utilisateur Pro avec une dotation mensuelle de 40 000 jetons peut accumuler jusqu'à 80 000 jetons). Les jetons accumulés au-delà de ce plafond sont perdus à la fin du cycle de facturation.

Les jetons achetés à la demande n'expirent pas. Les jetons que vous achetez via des packs de recharge ponctuels ou des bons par scan — y compris les achats effectués sans aucun abonnement actif (par exemple, un achat Starter ponctuel ou un bon autonome) — n'expirent pas et restent disponibles dans le solde de votre compte jusqu'à ce que vous les dépensiez. Cette politique de non-expiration s'applique de manière identique aux abonnés et aux non-abonnés. Le plafond de report mensuel décrit ci-dessus s'applique uniquement à la dotation mensuelle récurrente d'une formule d'abonnement, jamais aux jetons de recharge ou de bons achetés.

La consommation de jetons est consignée dans votre grand-livre de facturation et visible dans votre tableau de bord. La grille tarifaire actuelle est publiée sur assureport.com/#pricing et mise à jour avec un préavis de 30 jours aux abonnés actifs. Les évolutions tarifaires n'entraînent pas de refacturation rétroactive des scans achevés.

§13 Usage acceptable

Aucun scan d'actifs de tiers sans leur consentement.
Aucune utilisation de constatations AssurePort à des fins d'extorsion, de chantage ou de fraude.
Aucune ingénierie inverse de la plateforme ; les recherches de sécurité sur AssurePort sont les bienvenues via une divulgation responsable à security@assureport.com.
Aucune revente de capacité de scan. Les partenariats revendeur / MSSP ne sont pas proposés actuellement (voir §10) ; tout programme futur sera régi par un avenant commercial distinct.

§14 Propriété intellectuelle et licence

La plateforme AssurePort, les agents IA, les règles des moteurs de scan, les modèles de rapport et la marque appartiennent à l'Équipe AssurePort. Nous vous accordons une licence non-exclusive, non-transférable et révocable pour utiliser le service à vos fins de sécurité internes pour la durée de votre abonnement. Les rapports de scan que vous générez sont vôtres ; vous en êtes propriétaire et pouvez les partager librement avec auditeurs, régulateurs et clients.

§15 Limitation de responsabilité

Dans la mesure maximale autorisée par le droit applicable, la responsabilité agrégée d'AssurePort découlant du service ou en lien avec celui-ci sur toute période de 12 mois est limitée au montant total que vous nous avez versé au cours de cette période de 12 mois. Ce plafond ne s'applique pas à : la responsabilité qui ne peut être exclue par la loi, les dommages statutaires au titre de l'article 82 GDPR, la faute intentionnelle ou la négligence grave, et les manquements à la confidentialité.

§16 Résiliation

Vous pouvez résilier à tout moment en annulant votre abonnement depuis le tableau de bord. Nous pouvons résilier moyennant un préavis écrit de 30 jours dans le cours normal, ou immédiatement en cas de manquement matériel (scans non autorisés, fraude au paiement, compromission de compte mettant en danger d'autres locataires). À la résiliation, vos données sont conservées 30 jours à des fins de récupération, puis supprimées conformément à §4 de la Politique de confidentialité.

§17 Litiges et droit applicable

Les présentes Conditions sont régies par le droit de la Turquie, sans préjudice des lois impératives de protection du consommateur de votre pays de résidence au titre du Règlement (UE) 1215/2012. Les tribunaux d'Istanbul sont compétents de manière non-exclusive ; les consommateurs peuvent agir ou être poursuivis devant les juridictions de leur résidence en vertu du droit de l'UE. Les parties tenteront d'abord une négociation de bonne foi pendant 30 jours avant tout recours.

§18 Modifications et contact

Nous pouvons mettre à jour ces Conditions à mesure de l'évolution du service. Les modifications matérielles sont notifiées par e-mail aux comptes actifs au moins 30 jours à l'avance. L'utilisation continue après la date d'effet vaut acceptation. Contact : legal@assureport.com.

§19 Déclarations et garanties du client

Le Client déclare et garantit :

(a) Propriété ou autorisation écrite — Le Client est propriétaire de chaque URL cible soumise au Service, ou dispose d'une autorisation écrite explicite du véritable propriétaire pour la scanner. L'acceptation par clic des présentes Conditions, combinée à l'entrée du journal d'audit enregistrant l'IP, le user-agent et l'empreinte de paiement lors du lancement du scan, constitue une déclaration affirmative d'autorisation du Client pour ce scan.
(b) Aucune violation de la loi ou de droits de tiers — l'activité de scan ne viole aucun droit de tiers, aucune loi applicable, ni aucun texte relatif à l'abus informatique, incluant notamment le U.S. Computer Fraud and Abuse Act (CFAA, 18 U.S.C. §1030), le UK Computer Misuse Act 1990, l'§202c du StGB allemand, les articles 323-1 à 323-7 du Code pénal français, et les articles 243 et 244 du Code pénal turc (TCK).
(c) Usage autorisé uniquement — Le Client n'utilisera pas le Service pour effectuer des tests de sécurité non autorisés, du renseignement concurrentiel à l'encontre de tiers non liés, des attaques par déni de service, de l'énumération de masse d'actifs tiers, du courtage de vulnérabilités, ou tout usage interdit énuméré au §20 ci-dessous.
(d) Identité et paiement exacts — Le Client maintient des informations de contact et de paiement exactes à des fins de chargeback, de fraude et d'enquête forensique. Une fausse déclaration matérielle d'identité ou d'instrument de paiement constitue un motif de résiliation immédiate selon §16 et peut déclencher l'indemnisation prévue au §20.

Ces déclarations sont faites à chaque lancement de scan et renouvelées à chaque fois que le Client initie un scan via le Service.

§20 Usages interdits et indemnisation

Usages interdits. Les usages suivants sont strictement interdits — indépendamment de toute déclaration faite par le Client au titre du §19 — et constituent un manquement matériel aux présentes Conditions :

Scanner des cibles appartenant à des concurrents du Client sans autorisation écrite expresse du propriétaire de la cible.
Scanner des infrastructures critiques, notamment, mais sans s'y limiter : les domaines gouvernementaux et militaires (.gov, .mil, .gouv.fr, .gov.*, .mil.*), les établissements d'enseignement (.edu, .ac.*), les établissements financiers régulés, les hôpitaux et prestataires de soins, les services publics d'énergie et d'eau, les opérateurs de télécommunications et exploitants de points d'échange Internet.
Scanner des plateformes SaaS protégées par marque exploitées par des tiers majeurs — incluant, sans s'y limiter, Google, Microsoft, Amazon Web Services, Cloudflare, Stripe, GitHub, GitLab, Atlassian, Salesforce, Shopify, Apple, Meta, OpenAI, Anthropic — et toute autre entité publiée de temps à autre sur la Liste de Protection des Marques AssurePort à l'adresse /legal/brand-protection.html.
Attaques par déni de service, attaques volumétriques ou par amplification, inondation applicative de couche 7, ou tout scan configuré pour dégrader la disponibilité de la cible plutôt que pour identifier des défauts.
Tentatives d'exfiltration de données, téléchargement massif de données personnelles, moissonnage de contenus authentifiés, ou toute activité qui violerait l'article 5(1)(c) RGPD (minimisation des données) lorsque le Client n'est pas lui-même propriétaire de la cible.
Utilisation du Service ou de toute production qui en résulte pour commettre de l'extorsion, du chantage, de la manipulation de marché ou toute infraction pénale au regard du droit de l'UE ou d'un État membre.

Indemnisation. Le Client indemnisera, défendra et tiendra indemnes AssurePort, l'Équipe AssurePort, ses dirigeants, employés, prestataires, sous-traitants ultérieurs et agents (chacun une « Partie Indemnisée ») de l'ensemble des réclamations, demandes, amendes réglementaires, ordres d'autorités de contrôle, sanctions administratives, frais juridiques, honoraires d'avocat, dommages ou pertes (collectivement les « Pertes ») résultant de ou liés à : (i) un manquement du Client au §19 ou au présent §20 ; (ii) toute réclamation d'un tiers selon laquelle une activité de scan effectuée par le Client ou pour son compte a causé un accès non autorisé, une dégradation de service ou un préjudice de protection des données chez ce tiers ; (iii) toute procédure réglementaire engagée contre une Partie Indemnisée comme conséquence directe de l'activité de scan du Client ; (iv) un usage abusif des sorties du Service par le Client. L'indemnisation au titre du §20 couvre les réclamations fondées sur la responsabilité délictuelle, contractuelle, l'abus informatique, la propriété intellectuelle et le droit de la protection des données de toute juridiction.

Réserve en matière de droit de la consommation. Lorsque le Client est consommateur au sens juridique du droit de l'UE ou d'un État membre (notamment l'article L. 212-1 du Code de la consommation français, l'article 1171 du Code civil français interdisant les clauses créant un déséquilibre significatif dans les contrats d'adhésion, §307 BGB allemand, la loi turque 6502 Tüketici Kanunu), l'obligation d'indemnisation prévue au §20 ne s'applique que dans la mesure permise par ces règles impératives de protection du consommateur. Pour les clients professionnels (B2B), l'indemnisation est pleinement exécutoire. AssurePort se réserve le droit d'exiger l'acceptation du §20 uniquement en B2B pour les clients des formules Pro et Business par un avenant écrit distinct comme condition du service.

Procédure. AssurePort notifiera par écrit au Client toute réclamation faisant l'objet d'une indemnisation, permettra au Client de mener la défense (sous réserve du droit d'AssurePort de participer avec son propre conseil à ses propres frais) et coopérera avec une assistance raisonnable. Le Client ne transigera aucune réclamation imposant une obligation à une Partie Indemnisée sans le consentement écrit préalable de cette partie.

§21 Avis de transparence art. 50 du Règlement IA

AssurePort utilise des systèmes d'intelligence artificielle — en particulier de grands modèles de langage fournis par Anthropic (famille Claude) et OpenAI (famille GPT) et exploités sous les mesures de protection documentées au §8 de l'Accord de Traitement des Données — pour détecter, classer, prioriser et expliquer les vulnérabilités de sécurité découvertes lors des scans.

Étiquetage. Chaque constatation générée par IA est étiquetée dans le rapport avec un score de confiance et un indicateur explicite « généré par IA ». Les constatations étiquetées comme générées par IA peuvent nécessiter une vérification humaine avant toute décision de remédiation.
Rapport de transparence trimestriel. AssurePort suit les taux de faux positifs et faux négatifs par moteur de scan et les publie chaque trimestre dans le Rapport de Transparence à /transparency. Le rapport inclut des métriques agrégées de précision, les versions de modèles en production et toute modification matérielle des modèles.
Reconnaissance par le Client. En acceptant les présentes Conditions, le Client reconnaît la réception du présent avis de transparence IA conformément à l'article 50 du Règlement (UE) 2024/1689 sur l'intelligence artificielle (le « Règlement IA de l'UE »). Cet avis est fourni avant la date d'application opérationnelle complète de l'article 50, fixée au 2 août 2026, afin d'assurer la continuité des obligations de transparence.
Droit à une révision humaine. Le Client peut demander une révision humaine de toute constatation générée par IA dans les 30 jours suivant l'achèvement du scan en envoyant un e-mail à support@assureport.com avec l'identifiant du scan et la référence de la constatation. Un analyste AssurePort qualifié réévaluera la constatation dans un délai de 5 jours ouvrés et la confirmera, l'abaissera, la retirera ou l'escaladera. Si la révision humaine confirme que l'IA s'est matériellement trompée, les jetons du scan concerné sont remboursés au titre de §8 (procédure scan à faibles constatations).
Aucune décision juridique automatisée. L'IA d'AssurePort ne prend aucune décision juridiquement significative concernant le Client ou tout tiers au sens de l'article 22 du RGPD. Toutes les recommandations ont valeur consultative ; les choix de remédiation restent du ressort du Client.

Dernière mise à jour : 3 juin 2026 · Version : 1.3 · Voir aussi : Confidentialité · DPA · Cookies

Terms of Service

Contents

§1 Acceptance

§2 Service scope

§3 Eligibility

§4 Account & security

§5 Customer obligations & ROE

§6 Our obligations (best-effort)

§7 Pricing & billing

§8 Refunds — token policy

§9 EU consumer rights

14-day right of withdrawal (cooling-off period)

How to exercise withdrawal

Statutory remedies for non-conformity

Alternative dispute resolution

§10 No integrations, no MSSP

§11 User limit per tier

§12 Token-based usage model

§13 Acceptable use

§14 Intellectual property & licence

§15 Limitation of liability

§16 Termination

§17 Disputes & governing law

§18 Changes & contact

§19 Customer representations and warranties

§20 Prohibited uses and indemnification

§21 AI Act Article 50 transparency notice

İçindekiler

§1 Kabul

§2 Hizmet kapsamı

§3 Uygunluk

§4 Hesap ve güvenlik

§5 Müşteri yükümlülükleri ve ROE

§6 Yükümlülüklerimiz (azami özen)

§7 Fiyatlandırma ve faturalama

§8 İade politikası — token

§9 AB tüketici hakları

14 günlük cayma hakkı

Cayma hakkının kullanımı

Uygunsuzluk halinde yasal çözüm yolları

Alternatif uyuşmazlık çözümü

§10 Entegrasyon yok, MSSP yok

§11 Plan başına kullanıcı limiti

§12 Token bazlı kullanım modeli

§13 Kabul edilebilir kullanım

§14 Fikri mülkiyet ve lisans

§15 Sorumluluğun sınırlandırılması

§16 Fesih

§17 Uyuşmazlıklar ve uygulanacak hukuk

§18 Değişiklikler ve iletişim

§19 Müşteri beyan ve tekeffülleri

§20 Yasaklı kullanımlar ve tazminat

§21 AI Act Madde 50 şeffaflık bildirimi

Inhaltsverzeichnis

§1 Annahme

§2 Leistungsumfang

§3 Berechtigung

§4 Konto und Sicherheit

§5 Kundenpflichten und ROE

§6 Unsere Pflichten (Best Effort)

§7 Preise und Abrechnung

§8 Rückerstattung — Token-Richtlinie

§9 EU-Verbraucherrechte

14-tägiges Widerrufsrecht

Ausübung des Widerrufs

Gesetzliche Gewährleistungsrechte

Alternative Streitbeilegung

§10 Keine Integrationen, kein MSSP

§11 Nutzergrenze je Tarif

§12 Token-basiertes Nutzungsmodell

§13 Akzeptable Nutzung

§14 Geistiges Eigentum und Lizenz

§15 Haftungsbeschränkung

§16 Kündigung

§17 Streitigkeiten und anwendbares Recht

§18 Änderungen und Kontakt

§19 Zusicherungen und Gewährleistungen des Kunden

§20 Untersagte Nutzungen und Haftungsfreistellung

§21 KI-Verordnung Art. 50 Transparenzhinweis

Sommaire