Kullanım Koşulları ve Hizmet Sözleşmesi

Yürürlük Tarihi: 29 Nisan 2026 — Versiyon 3.0

1. Taraflar ve Kapsam

İşbu Kullanım Koşulları ve Hizmet Sözleşmesi ("Sözleşme"), Codeck Yazılım Anonim Şirketi ("imzala.org", "Şirket", "biz") ile imzala.org platformunu kullanan gerçek veya tüzel kişi ("Kullanıcı", "siz") arasında akdedilmiştir.

Bu sözleşme, imzala.org tarafından sunulan dijital biyometrik imza, sözleşme yönetimi, zaman damgası ve ilgili tüm hizmetlerin kullanım koşullarını düzenler. Platformu kullanarak bu koşulları kabul etmiş sayılırsınız.

2. Hizmet Tanımı

imzala.org aşağıdaki hizmetleri sunar:

• Dijital biyometrik belge imzalama ve onaylama
• Belge şablonu oluşturma ve yönetimi
• Toplu imza gönderimi
• Sıralı imza akışları (workflow)
• TÜBİTAK KAMU SM nitelikli zaman damgası hizmetleri (RFC 3161)
• Belge arşivleme ve uzun süreli saklama
• API entegrasyon hizmetleri (REST API)
• Webhook bildirim sistemi
• Kimlik doğrulama servisleri (e-posta, SMS, OTP, biyometrik, NFC)
• Eser tasdikleme (zaman damgası ile fikri mülkiyet kanıtı)

3. Hesap Oluşturma ve Güvenlik

3.1 Hesap Oluşturma

• Hesap oluşturmak için 18 yaşından büyük olmalısınız
• Doğru, güncel ve eksiksiz bilgi sağlamalısınız
• Tüzel kişiler adına hesap açıyorsanız, yetkili olmalısınız
• Her gerçek kişi sadece bir bireysel hesap oluşturabilir (kurumsal hesaplar farklı)

3.2 Hesap Güvenliği

• Şifrenizin gizliliğinden siz sorumlusunuz
• Hesabınızda gerçekleşen tüm aktivitelerden sorumlusunuz
• Yetkisiz kullanımı derhal bildirmelisiniz: [email protected]
• İki faktörlü kimlik doğrulamayı (2FA) aktif etmenizi öneririz
• Şifreleriniz bcrypt hash ile saklanır, biz dahi düz metin şifrenize erişemeyiz

4. Kullanım Kuralları

4.1 Kabul Edilebilir Kullanım

Platformu sadece yasal amaçlarla ve bu sözleşmeye uygun şekilde kullanabilirsiniz.

4.2 Yasaklı Kullanımlar

Aşağıdaki davranışlar kesinlikle yasaktır:

• Yasalara aykırı veya dolandırıcılık amaçlı kullanım
• Sahte veya yanıltıcı bilgi/belge paylaşımı
• Başkalarının haklarını ihlal eden içerik yükleme
• Virüs, truva atı veya zararlı kod yükleme (yüklemeleriniz ClamAV ile taranır)
• Sistemi aşırı yükleyecek otomatik sorgular
• Güvenlik önlemlerini aşmaya çalışma
• Başka kullanıcıların bilgilerine yetkisiz erişim
• Spam veya istenmeyen içerik gönderimi
• Hizmetin işleyişini bozacak davranışlar
• API rate limit'leri aşma veya kötüye kullanım

5. Fikri Mülkiyet Hakları

5.1 Platform Mülkiyeti

imzala.org platformu, logosu, tasarımı, yazılımı ve içeriği Codeck Yazılım Anonim Şirketi'nin mülkiyetindedir ve fikri mülkiyet hakları kanunlarıyla korunmaktadır.

5.2 Kullanıcı İçeriği

• Yüklediğiniz belgelerin mülkiyeti size aittir
• İçeriğinizi sadece hizmet sunmak için kullanırız
• İçeriğinizin yasal olduğunu garanti edersiniz
• Gerekli tüm haklara sahip olduğunuzu beyan edersiniz

5.3 Üçüncü Taraf Kişisel Verileri ve Veri Sorumluluğu

Kullanıcı, Platform aracılığıyla üçüncü kişilere (sözleşme tarafları, imzacılar vb.) ait kişisel verileri işlediğinde:

• Bu kişisel veriler bakımından 6698 sayılı KVKK kapsamında "Veri Sorumlusu" sıfatını taşır.
• İlgili kişilerden gerekli açık rızayı ve/veya yasal dayanağı temin ettiğini, KVKK'nın 5. ve 6. maddelerindeki işleme şartlarından en az birini sağladığını beyan ve taahhüt eder.
• İlgili kişileri KVKK Madde 10 uyarınca usulüne uygun şekilde aydınlattığını kabul eder.
• Platforma girilen üçüncü kişi verilerinin doğruluğundan, güncelliğinden ve hukuka uygunluğundan münhasıran sorumludur.
• Bu yükümlülüklerin ihlalinden doğan her türlü idari para cezası, tazminat ve masraftan imzala.org'u ari tutacağını kabul ve taahhüt eder.

imzala.org, Kullanıcının Veri İşleyeni sıfatıyla, bu verileri yalnızca hizmetin ifası amacıyla ve Kullanıcının talimatları doğrultusunda işler.

5.4 Veri İşleme Sözleşmesi

Kullanıcının Platform aracılığıyla üçüncü kişi verilerini işlemesi halinde, işbu Kullanım Koşulları aynı zamanda KVKK Madde 12(2) ve GDPR Article 28 kapsamında Veri İşleme Sözleşmesi (DPA) hükmündedir. Bu kapsamda imzala.org:

• Verileri yalnızca Kullanıcının belgelediği amaçlar doğrultusunda işler.
• Yeterli teknik ve idari güvenlik tedbirlerini alır.
• Alt veri işleyenleri (altyapı sağlayıcıları) hakkında Kullanıcıyı bilgilendirir.
• Hizmet sona erdiğinde verileri Kullanıcının talimatına göre siler veya iade eder.
• Veri ihlali halinde Kullanıcıyı 48 saat içinde bilgilendirir.

Kurumsal müşteriler için ayrı imzalanabilir DPA ve BAA (HIPAA müşterileri için Business Associate Agreement) şablonları talep üzerine sağlanır: [email protected]

5.5 Lisans

Size, platformu bu sözleşme kapsamında kullanmak için sınırlı, geri alınabilir, devredilemez ve münhasır olmayan bir lisans veriyoruz.

6. Ödeme Koşulları

6.1 Ücretlendirme

• Güncel ücretler için fiyatlandırma sayfamızı ziyaret ediniz
• Tüm ücretler KDV hariçtir, fatura kesimi sırasında KDV eklenir
• Ücretler önceden 30 gün bildirimle değiştirilebilir; mevcut faturalama dönemi etkilenmez
• Promosyonlar ve indirimler sınırlı süreli olabilir, kullanım koşulları ayrıca belirtilir

6.2 Ödeme Yöntemleri

• Kredi/banka kartı (PayTR güvenli ödeme altyapısı, PCI-DSS Level 1)
• Havale/EFT (kurumsal müşteriler için)
• Sanal POS (kurumsal müşteriler için)
• Kurumsal faturalama (onaylı müşteriler için, vade ile)

Kart bilgileriniz doğrudan PayTR (PCI-DSS Level 1 sertifikalı) tarafından saklanır, imzala.org bu bilgileri görmez ve saklamaz.

6.3 Abonelik ve Yenileme

• Abonelikler otomatik olarak yenilenir
• İptal etmediğiniz sürece ücret alınmaya devam eder
• İptal sonrası, ödenmiş dönem sonuna kadar hizmet devam eder
• Kullanılmayan krediler bir sonraki aya devreder (paket koşullarına göre)

6.4 Cayma Hakkı ve İade Politikası

İade talebi: [email protected]. İşlem 5-10 iş günü içinde tamamlanır, orijinal ödeme yöntemine yapılır.

7. Hizmet Seviyesi ve Garanti

7.1 Hizmet Erişilebilirliği

• %99.9 uptime hedefi (planlı bakımlar hariç)
• Planlı bakımlar en az 48 saat önceden duyurulur
• Canlı uptime: status.imzala.org
• Plansız kesintiler için kurumsal SLA müşterileri için kredi telafisi uygulanır

7.2 Teknik Destek

• E-posta desteği: 7/24 ([email protected])
• Telefon desteği: Hafta içi 09:00-18:00 (+90 850 309 51 26)
• Canlı sohbet: chat.imzala.org (Chatwoot)
• Kurumsal müşteriler için öncelikli destek

7.3 Veri Güvenliği

• TLS 1.2 / 1.3 uçtan uca şifreli iletişim
• AES-256 off-site yedek şifreleme
• RSA-2048 dijital imza (KMS)
• 4 katmanlı yedekleme (Velero + PG dump + VM snapshot + off-site mirror)
• Birincil veri merkezi: Hetzner Falkenstein, Almanya (AB GDPR uyumlu)
• WAF + DDoS koruması: Cloudflare
• Antivirus: ClamAV (yüklenen dosyalar için)
• Mevcut uyumluluklar: 5070 sayılı Kanun, KVKK VERBİS, GDPR, ISO/IEC 19794-7:2014, PCI-DSS SAQ A
• Sertifikasyon yol haritası: ISO 9001 (2026 Q3), ISO 27001:2022 (2027 Q1), SOC 2 Type II (2027 Q4) — bu sertifikalar şu an itibariyle alınmamıştır

8. Sorumluluk Sınırlaması

8.1 Genel Sınırlamalar

imzala.org, yasal sınırlar dahilinde, dolaylı, arızi, özel, cezai veya sonuç olarak ortaya çıkan zararlardan (kar kaybı, veri kaybı, itibar kaybı dahil) sorumlu değildir.

8.2 Maksimum Sorumluluk

Her durumda, toplam sorumluluğumuz son 12 ayda tarafınızdan ödenen ücretleri geçmeyecektir.

8.3 Biyometrik İmza Sorumluluk Reddi

imzala.org, aşağıdaki durumlardan sorumlu değildir:

• Biyometrik imzanın yasal geçerlilik gerektiren işlemlerde kabul edilmemesi
• Resmi kurumların biyometrik imzayı reddetmesi
• Üçüncü tarafların biyometrik imzayı tanımaması
• Biyometrik imzanın delil değerinin mahkemelerde takdiri delil olarak değerlendirilmesi
• Kullanıcının yasal işlemler için ıslak imza veya nitelikli e-imza talep edilmesi

Kullanıcı, biyometrik imzanın hukuki sınırlamalarını bilerek ve kabul ederek hizmeti kullandığını beyan eder.

8.4 İstisnalar

Sorumluluk sınırlamaları, ağır kusur, kasıt veya yasal olarak sınırlanamayacak (TKHK m.83 vb.) durumlar için geçerli değildir.

9. Tazminat

Aşağıdaki durumlardan kaynaklanan her türlü talep, zarar ve masraflardan bizi tazmin etmeyi kabul edersiniz:

• Bu sözleşmeyi ihlal etmeniz
• Yasaları ihlal etmeniz
• Üçüncü taraf haklarını ihlal etmeniz (KVKK m.10 aydınlatma yükümlülüğü dahil)
• Platformun kötüye kullanımı
• İçeriğinizden kaynaklanan sorunlar

10. Sözleşmenin Feshi

10.1 Kullanıcı Tarafından Fesih

• Hesabınızı istediğiniz zaman "Hesabımı sil" özelliği ile kapatabilirsiniz
• Hesap silme: e-posta onay (24 saat) → 30 gün geri alma süresi → kalıcı silme
• Verilerinizi silmeden önce indirme süreniz: hesap aktifliği boyunca + 30 gün grace
• Cayma hakkı (14 gün) ve memnuniyet garantisi (30 gün) içinde iadeler 6.4'te belirtildiği gibi

10.2 Şirket Tarafından Fesih

Aşağıdaki durumlarda hesabınızı askıya alabilir veya sonlandırabiliriz:

• Sözleşme ihlali
• Yasal olmayan kullanım
• Ödeme yapılmaması (30 gün gecikme)
• Güvenlik riski oluşturma
• Diğer kullanıcılara zarar verme

10.3 Fesih Sonrası

• İmzalanmış belgeler yasal süre boyunca (10 yıl, TTK m.82) anonimleştirilmiş şekilde saklanır
• Kişisel veriler Gizlilik Politikası ve KVKK Aydınlatma Metni'ne göre işlenir
• Biyometrik veriler 1 yıl içinde otomatik anonimleştirilir
• Ödenmemiş ücretler tahsil edilir

11. Değişiklikler

Bu sözleşmeyi zaman zaman güncelleyebiliriz. Önemli değişiklikleri en az 30 gün önceden e-posta veya platform üzerinden bildiririz. Değişikliklerden sonra kullanıma devam etmeniz, yeni şartları kabul ettiğiniz anlamına gelir.

12. Mücbir Sebepler

Doğal afetler, savaş, terör, grev, yasal düzenlemeler, geniş çaplı internet kesintisi, salgın hastalıklar veya kontrolümüz dışındaki diğer olaylardan kaynaklanan hizmet kesintilerinden sorumlu değiliz.

13. Uygulanacak Hukuk ve Yetkili Mahkeme

Bu sözleşme Türkiye Cumhuriyeti kanunlarına tabidir. Uyuşmazlıklarda İstanbul (Çağlayan) Mahkemeleri ve İcra Daireleri yetkilidir.

Tüketici uyuşmazlıklarında 6502 sayılı Kanun kapsamında, parasal sınırlar dahilinde Tüketici Hakem Heyetleri ve Tüketici Mahkemeleri yetkilidir.

14. İletişim Bilgileri

15. Biyometrik Veri İşleme ve Güvenlik

15.1 Biyometrik Veri Tanımı

Dijital biyometrik imza ve kimlik doğrulama sürecinde aşağıdaki veriler toplanabilir (yalnızca açık rıza ile):

• El yazısı dinamikleri (basınç, hız, ivme, açı, koordinatlar — ISO/IEC 19794-7:2014)
• Yüz tarama vektörü (face descriptor)
• Kimlik kart üzerindeki yüzün vektörü (ID upload face descriptor)
• NFC çipli kimlik kart okuma sonucu

15.2 Güvenlik Standartları

• ISO/IEC 19794-7:2014 biyometrik veri formatı
• AES-256 simetrik şifreleme
• RSA-2048 asimetrik şifreleme (KMS)
• SHA-256 hash algoritması
• TÜBİTAK KAMU SM nitelikli zaman damgası (RFC 3161)

15.3 Veri İmha

• Biyometrik veriler 1 yıl sonra otomatik anonimleştirilir (KVKK m.6 minimum saklama esası)
• Talebiniz üzerine 30 gün içinde silinir (açık rıza geri çekme)
• Hesabınızı kapattığınızda biyometrik veriler anlık silinir

16. Yasal Uyarılar ve Sorumluluk Reddi

17. Resmî Şekle Tabi İşlem İstisnaları (5070 m.5/2)

18. Sınır Ötesi İşlemler (AB / eIDAS Bildirimi)

19. ESHS (Elektronik Sertifika Hizmet Sağlayıcı) Statüsü Beyanı

20. Kabul Beyanı

Bu sözleşmeyi okuduğunuzu, anladığınızı ve tüm hükümleriyle bağlı olmayı kabul ettiğinizi beyan edersiniz. Özellikle dijital biyometrik imzanın yasal sınırlamalarını, resmî şekle tabi işlem istisnalarını (5070 m.5/2), sınır ötesi (eIDAS) tanınmama durumunu ve ESHS statüsü beyanını anladığınızı ve kabul ettiğinizi onaylarsınız.