Gizlilik Politikası

Son Güncelleme: 29 Nisan 2026 — Versiyon 3.0

Bu politika, imzala.org platformunu (Codeck Yazılım Anonim Şirketi tarafından işletilen) kullandığınızda kişisel verilerinizin nasıl toplandığını, işlendiğini, saklandığını ve paylaşıldığını açıklar. KVKK, GDPR ve CCPA gerekliliklerine uygun olarak hazırlanmıştır.

Resmi KVKK Aydınlatma Metni için: /kvkk

1. Topladığımız Bilgiler

1.1 Doğrudan Sağladığınız Bilgiler

• Kimlik: Ad, soyad, doğum tarihi
• İletişim: E-posta, telefon, posta adresi
• Kurumsal: Şirket adı, vergi numarası, ticaret sicil bilgileri
• Hesap: Şifre (bcrypt hash, asla düz metin), profil fotoğrafı
• Sözleşme içerik ve tarafları: Yüklediğiniz belgeler, imzacı bilgileri, taraf rolleri
• Ödeme: Fatura adresi (kart bilgileri PayTR'da, bizde değil)

1.2 Üçüncü Taraf Kimlik Doğrulayıcılarından Gelen Bilgiler

• OAuth (Google / Facebook / Twitter): Bu sağlayıcıların API'sinden e-posta adresi, ad-soyad ve harici kimlik (third_party_id) bilgileri
• Bu sağlayıcıların kendi gizlilik politikalarına da tabi olursunuz

1.3 Özel Nitelikli Kişisel Veriler — Biyometrik (yalnızca açık rıza ile)

1.4 Otomatik Toplanan Teknik Veriler

• IP adresi (giriş, imza, görüntüleme)
• Coğrafi konum (yalnızca açık rıza ile, detaylı koordinat)
• Tarayıcı türü ve sürümü
• Cihaz bilgisi ve işletim sistemi
• Sayfa kullanım istatistikleri (anonim çerez consent ile)
• Audit log — uygulama, KMS imza, Kubernetes API olayları
• Oturum ve token bilgileri

1.5 Hesap Üzerinden Üreyen Davranış Verileri

• Kullanıcı aktivite geçmişi (UserActivity tablosu)
• Bildirim tercihleri
• Pazarlama opt-in durumu
• Webhook delivery log (yalnızca kurumsal kullanıcılar için)

2. Bilgileri Nasıl Kullanıyoruz

Topladığımız kişisel bilgiler aşağıdaki amaçlarla kullanılır:

• Hesabınızı yönetmek ve kimlik doğrulamak
• Sözleşme süreçlerinizi işlemek (oluşturma, gönderim, imzalama, arşivleme)
• Belgelere TÜBİTAK KAMU SM nitelikli zaman damgası eklemek
• Sözleşmenin yasal geçerliliği için kapsamlı audit trail oluşturmak
• İmzalanmış belgeleri ve bildirimleri taraflarınıza iletmek
• Faturalama ve ödeme işlemleri
• Müşteri destek talepleri ve şikayetler
• Güvenlik, dolandırıcılık önleme ve denetim
• Platformu geliştirme ve hata ayıklama (anonim, agregasyonlu veri)
• Pazarlama (yalnızca açık rıza vermişseniz)
• Yasal yükümlülüklerin yerine getirilmesi (TTK, VUK, KVKK, GDPR)

3. Bilgilerinizin Paylaşımı

Kişisel bilgilerinizi üçüncü şahıslara satmaz, takas etmez veya kiralamayız. Yalnızca hizmetin sunulması için zorunlu olan iş ortaklarımızla, sözleşme ile sınırlı kapsamda paylaşırız. Tüm 3rd party'lerle GDPR uyumlu Veri İşleme Sözleşmesi (DPA) imzalıdır.

3.1 Altyapı ve Hosting

• Hetzner Online GmbH (Almanya): Birincil sunucu altyapısı ve veri depolama, Falkenstein veri merkezi (AB), ISO 27001 sertifikalı, GDPR DPA imzalı
• Hetzner Storage Box (Almanya): Off-site şifreli yedek (AES-256 client-side encryption)
• Cloudflare, Inc. (ABD): CDN, DNS, WAF, DDoS koruması — EU-Home Region tercih edilir, GDPR DPA + Standart Sözleşme Maddeleri (SCC) imzalı

3.2 İletişim

• Mailgun (Almanya — EU sunucu): E-posta gönderimi, EU veri merkezi, GDPR DPA imzalı
• NetGSM (Türkiye): SMS gönderimi (varsayılan)
• Kobikom (Türkiye): SMS gönderimi (organizasyon seçimine göre)
• Twilio (ABD): Uluslararası SMS (yalnızca seçili organizasyonlar için)

3.3 Ödeme ve Belge Servisleri

• PayTR (Türkiye): Ödeme işlemleri, BDDK denetimli, PCI-DSS Level 1 sertifikalı. Kart bilgileriniz doğrudan PayTR tarafından saklanır, imzala.org tarafından görüntülenmez ve saklanmaz.
• TÜBİTAK KAMU SM (Türkiye): Nitelikli zaman damgası hizmeti (RFC 3161). Belge hash değerleri zaman damgası alınması için iletilir; belge içeriği iletilmez.

3.4 Geliştirme ve İzleme Araçları

• GitHub (ABD): Kaynak kodu yönetimi (yalnızca kod, kullanıcı PII'si depolanmaz)

3.5 Pazarlama ve Analitik (yalnızca çerez consent ile)

• Google Tag Manager + Google Analytics 4: Site kullanım analitiği, anonim kullanıcı kimliği
• Microsoft Clarity: Isı haritaları ve oturum kayıtları (PII otomatik maskelenir)
• Meta Pixel (Facebook / Instagram): Reklam dönüşüm takibi
• Google Ads: Reklam dönüşüm takibi

3.6 Yasal Zorunluluk Halinde Paylaşım

Yasalar gereği veya yasal anlaşmazlıklarda, yetkili kurumlara (mahkemeler, KVKK Kurumu, vergi dairesi vb.) bilgi sağlamak zorunda kalabiliriz. Bu durumlarda yalnızca ilgili talebin gerektirdiği veri sağlanır.

4. Veri Güvenliği

4.1 Teknik Önlemler

• TLS 1.2 / 1.3: Cloudflare + Let's Encrypt, uçtan uca şifreli iletişim
• AES-256: Off-site yedeklerde client-side şifreleme (rclone crypt)
• RSA-2048: Dijital imza için anahtar yönetim sistemi (KMS)
• SHA-256: Hash algoritması (belge bütünlüğü)
• Biyometrik veri: ISO/IEC 19794-7:2014 standardı
• İki faktörlü kimlik doğrulama (MFA): Tüm yönetim panellerinde zorunlu
• Rol tabanlı erişim kontrolü (RBAC): Kullanıcı ve operatör seviyesinde
• Ağ izolasyonu: Kubernetes NetworkPolicy ile namespace bazında izolasyon
• Web Application Firewall (WAF): Cloudflare
• Antivirüs: Yüklenen dosyalar için ClamAV taraması
• Zafiyet taraması: Trivy ile sürekli (CI/CD entegre)
• 24/7 izleme: Prometheus + Grafana + Loki + GlitchTip

4.2 Operasyonel Önlemler

• Personel için yıllık güvenlik farkındalık eğitimi
• Kritik personel için NDA ve gizlilik sözleşmeleri
• Erişim hakları periyodik gözden geçirilir (3 ayda bir)
• Düzenli felaket kurtarma tatbikatı (son test: Nisan 2026 — başarılı)
• Yapılandırılmış incident response prosedürü (5 fazlı yanıt)
• Kanıtlanmış 4 katmanlı yedekleme: Velero (Kubernetes) + PostgreSQL dump + Proxmox VM snapshot + Hetzner Storage Box (off-site, AES-256 şifreli)

4.3 Biyometrik Veri Ek Korumaları

• Yalnızca açık rıza ile toplanır
• Üçüncü taraflarla paylaşılmaz (yasal zorunluluk hariç)
• Pazarlama amaçlı kullanılmaz
• Profilleme veya otomatik karar verme süreçlerinde kullanılmaz
• 1 yıl sonra otomatik anonimleştirilir
• Açık rızayı geri çektiğinizde anlık silinir

Kullanıcılarımızın güçlü şifre kullanmasını ve hesap ayarlarından iki faktörlü kimlik doğrulamayı etkinleştirmesini öneririz.

5. Veri Saklama Lokasyonları

6. Sertifikalar ve Uyumluluk Yol Haritası

6.1 Mevcut Uyumluluklar

• 5070 sayılı Elektronik İmza Kanunu — TÜBİTAK KAMU SM nitelikli zaman damgası altyapısı
• KVKK Veri Sorumluları Sicil Sistemi (VERBİS) kayıtlı veri sorumlusu
• ISO/IEC 19794-7:2014 biyometrik veri formatı uyumu
• GDPR uyumlu — AB içinde (Hetzner Almanya) veri işleme + SCC Modül 2 (Controller-to-Processor) ile yurt dışı aktarım
• PCI-DSS SAQ A kapsamı — kart bilgileri PayTR (PCI-DSS Level 1) tarafından işlenir

6.2 Sertifikasyon Yol Haritası

7. Kullanıcı Hakları

7.1 KVKK m.11 / GDPR Art.15-22 Hakları

• Kişisel verilerinizin işlenip işlenmediğini öğrenme
• İşlenmişse buna ilişkin bilgi talep etme (erişim hakkı)
• İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
• Aktarıldığı üçüncü kişileri bilme
• Eksik veya yanlış işlenmişse düzeltilmesini isteme
• Şartların ortadan kalkması halinde silinmesini veya yok edilmesini isteme — unutulma hakkı
• Verilerinizi yapılandırılmış ve makine okunabilir formatta indirme — taşınabilirlik hakkı
• Düzeltme/silme işlemlerinin üçüncü kişilere bildirilmesini isteme
• Otomatik karar verme süreçlerine itiraz etme
• Kanuna aykırı işlenme sebebiyle zarar tazmini
• Pazarlama opt-out

7.2 Hesap Üzerinden Doğrudan Kullanılabilen Haklar

Aşağıdaki hakları hesabınızdan tek tıkla kullanabilirsiniz:

• Verilerimi indir (Hesap → Gizlilik) — JSON + ZIP olarak tüm kullanıcı verisi indirilir (GDPR Art.20 taşınabilirlik)
• Hesabımı sil (Hesap → Gizlilik) — 24 saat e-posta onay → 30 gün geri alma süresi → kalıcı silme. Yasal saklama zorunlu olan veriler (sözleşme metadatası, fatura) anonimleştirilir.
• Pazarlama opt-out (Hesap → Bildirimler) — Tüm pazarlama e-postalarından çık
• Çerez tercihleri (sayfa altı "Çerez Ayarları" linki)
• Biyometrik açık rıza geri çekme (Mobil uygulama → Profil → Biyometrik veriler) — Anlık silme

7.3 California Tüketici Hakları (CCPA / CPRA)

Kaliforniya sakinleri için ek haklar:

• Bilme hakkı — toplanan kişisel veri kategorileri
• Erişim hakkı — verilerinizin kopyası
• Silme hakkı
• Düzeltme hakkı (CPRA)
• Hassas kişisel bilginin kullanımını sınırlama hakkı (CPRA)
• Kişisel bilgi satışına itiraz / opt-out

7.4 Başvuru Yöntemi

• E-posta: [email protected] veya [email protected]
• KEP: [email protected]
• Posta: Codeck Yazılım A.Ş. — Maslak Mah. Aos 55. Sk. 42 Maslak No: 4 İç Kapı No: 556 Sarıyer / İstanbul

Başvurularınız 30 gün içinde yanıtlanır.

8. Çerezler

imzala.org, platform deneyiminizi geliştirmek için çerezler ve benzer izleme teknolojileri kullanır. İlk ziyaretinizde size çerez consent banner'ı gösterilir.

8.1 Çerez Türleri

• Zorunlu çerezler: Web sitesinin temel işlevi (oturum, güvenlik, dil tercihi)
• Performans / analitik çerezler: GA4, Microsoft Clarity (anonim site kullanım istatistikleri)
• Pazarlama çerezleri: Meta Pixel, Google Ads (yalnızca consent ile aktif)

Detaylı liste, cookie ID, süre ve sağlayıcı bilgileri için: Çerez Politikası

Çerez tercihlerinizi istediğiniz zaman değiştirebilirsiniz: sayfa altındaki "Çerez Ayarları" linki veya tarayıcı ayarlarınız üzerinden.

9. Uluslararası Veri Aktarımları

Üretim verileriniz AB içinde (Hetzner Almanya) bulunmaktadır. Yurt dışı aktarımları yalnızca aşağıdaki durumlarda gerçekleşir ve yasal güvenceler altındadır:

• AB içine aktarım (Hetzner DE, Mailgun EU sunucu): GDPR kapsamında ek güvence gerekmez
• ABD'ye aktarım (Cloudflare, Twilio, GitHub): Standart Sözleşme Maddeleri (SCC) Modül 2 imzalı
• Türkiye'ye aktarım (PayTR, NetGSM, Kobikom, TÜBİTAK KAMU SM): KVKK m.9 kapsamında, yurt içi sayılır

10. Saklama Süreleri

Veri Kategorisi	Saklama Süresi	Yasal Dayanak
Sözleşme PDF, audit trail, metadata	10 yıl	TTK m.82
Biyometrik veri (yüz, NFC, dinamikler)	1 yıl (sonra anonimize)	KVKK m.6 — minimum saklama
İmza görseli	Hesap silimine kadar	Sözleşmenin ifası
Kullanıcı hesabı	Hesap silimine kadar (30 gün grace)	Sözleşmenin ifası
Audit log	5 yıl	Denetim, ISO 27001
Fatura ve ödeme	10 yıl	VUK m.253
SMS gönderim logu	1 yıl	Operasyonel
Webhook delivery logu	90 gün	Operasyonel
Kullanıcı aktivite	3 yıl	Meşru menfaat
OTP / refresh / magic link tokenları	Süre sonu sonrası anlık silme	Auth güvenliği
Çerez verileri	Maks 2 yıl	KVKK + ePrivacy
5651 sayılı kanun trafik logu	2 yıl	5651 sayılı Kanun

10.1 Veri İmha Politikası

• Saklama süresi sona eren veriler otomatik olarak silinir veya anonimleştirilir
• Silme talepleri 30 gün içinde sonuçlandırılır
• Yedek sistemlerden de tam temizleme yapılır (rotasyon dönemi sonunda)
• İmha işlemleri loglanır ve denetim kayıtlarına eklenir

11. Çocukların Gizliliği

Hizmetimiz 18 yaş altı bireylere yönelik değildir. 18 yaş altındaki kişilerden bilerek kişisel bilgi toplamayız. Tespit etmemiz halinde bu veriler derhal silinir.

12. Veri İhlali Bildirimi

• İhlal tespitinden itibaren 72 saat içinde Kişisel Verileri Koruma Kurumu'na bildirim (KVKK m.12, GDPR Art.33)
• Risk değerlendirmesine göre etkilenen kullanıcılara e-posta bildirimi (GDPR Art.34)
• İhlalden etkilenen veri kategorileri, alınan önlemler ve önerilen aksiyonlar açıklanır

13. Politika Güncellemeleri

Bu Gizlilik Politikası, mevzuat değişiklikleri ve uygulama güncellemelerini yansıtmak için periyodik olarak güncellenir.

• Önemli değişiklikler web sitemizde duyurulur
• Kayıtlı kullanıcılara e-posta ile bildirilir
• Önemli değişiklikler için yeni açık rıza istenebilir
• Politika değişikliği sonrası kullanmaya devam etmeniz, güncellenmiş politikayı kabul ettiğiniz anlamına gelir

14. İletişim Bilgileri