🚀 Dijital dönüşümünüze bugün başlayın! İlk 3 imza ücretsiz - Hemen deneyin!

6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve AB Genel Veri Koruma Tüzüğü ("GDPR") uyarınca, kişisel verilerinizin işlenmesine ilişkin olarak aşağıdaki hususları bilgilerinize sunarız.

1. Veri Sorumlusu

Unvan: Codeck Yazılım Anonim Şirketi

Adres: Maslak Mah. Aos 55. Sk. 42 Maslak No: 4 İç Kapı No: 556 Sarıyer / İstanbul

VKN: 2111145165, Maslak Vergi Dairesi

KEP Adresi: [email protected]

Telefon: +90 850 309 51 26

İrtibat Kişisi (KVKK / GDPR DPO): [email protected] veya [email protected]

Kişisel verileriniz veri sorumlusu sıfatıyla Codeck Yazılım A.Ş. ("Şirket", "imzala.org") tarafından aşağıda açıklanan kapsamda işlenebilecektir.

1.1 Veri Sorumlusu / Veri İşleyen İlişkisi

Platform Kullanıcıları, sözleşme tarafları ve imzacılar gibi üçüncü kişilerin kişisel verilerini Platform'a girdiklerinde, bu veriler bakımından KVKK kapsamında bağımsız Veri Sorumlusu statüsündedir. imzala.org bu verileri, Kullanıcı adına Veri İşleyen sıfatıyla işlemektedir.

Kullanıcıların Dikkatine

Platforma girdiğiniz sözleşme taraflarının (imzacıların) kişisel verileri bakımından siz Veri Sorumlusu, imzala.org ise Veri İşleyen konumundadır. Bu kişilere ait verilerin hukuka uygunluğundan ve KVKK m.10 uyarınca aydınlatılmasından münhasıran siz sorumlusunuz.

2. İşlenen Kişisel Veri Kategorileri

Aşağıda işlenebilecek kişisel veri kategorileri detaylı şekilde listelenmiştir:

2.1 Kimlik Verileri

  • Ad, soyad
  • Doğum tarihi
  • TC kimlik numarası (imza süreçlerinde kimlik doğrulaması ve imza sürecinin güvenilirliği ile ispat değerinin desteklenmesi için; ayrıca kurumsal faturalandırma ve fatura sözleşmesi tarafı tanımlama için)

2.2 İletişim Verileri

  • E-posta adresi
  • Telefon numarası
  • Posta adresi (fatura için)

2.3 Hesap ve Kimlik Doğrulama Verileri

  • Şifre (bcrypt hash, asla düz metin değil)
  • Doğrulama kodları (OTP, 5 dakika içinde otomatik silinir)
  • OAuth üçüncü taraf kimlikleri (Google / Facebook / Twitter, yalnızca dış kimlik doğrulayıcı tarafından sağlanan ID)
  • Şifre sıfırlama tokenları (1 saat içinde otomatik silinir)
  • Refresh / magic link tokenları (süre sonu sonrası otomatik silinir)

2.4 Sözleşme ve İmza Verileri

  • Sözleşme metadatası (başlık, taraflar, tarih)
  • İmza görseli (S3 referansı)
  • Dijital imza hash (KMS imza)
  • İmza zaman damgası (TÜBİTAK KAMU SM RFC 3161)
  • İmza IP adresi, görüntüleme IP adresi
  • İmza coğrafi konum verisi (tarayıcı/GPS tam konumu açık rıza ile; IP adresinden türetilen il/ülke düzeyinde yaklaşık konum meşru menfaat ile; ayrıntı §2.12)
  • İmza cihaz bilgisi (tarayıcı user-agent)

2.5 Özel Nitelikli Kişisel Veriler: Biyometrik (KVKK m.6)

Biyometrik veri TOPLAMIYORUZ

imzala.org platformu, KVKK Madde 6 anlamında özel nitelikli kişisel veri kategorisinde sayılan biyometrik veri (parmak izi, yüz tanıma vektörü, retina/iris, ses kaydı, el yazısı dinamikleri vb.) toplamaz, işlemez ve saklamaz.

İmza ekranında çizdiğiniz el yazısı imza yalnızca bir PNG bitmap görseli olarak kaydedilir. Bu görsel, basınç / hız / ivme / açı gibi davranışsal biyometrik parametreler içermez; tek başına KVKK m.6 anlamında biyometrik veri niteliğinde değildir.

İlerleyen dönemde biyometrik doğrulama özelliği eklenirse, bu aydınlatma metni güncellenir ve açık rızanız olmadan herhangi bir biyometrik veri toplanmaz.

2.6 Ödeme Verileri

  • Fatura bilgileri (ad, adres, vergi no; kurumsal müşteriler için)
  • Ödeme servis sağlayıcısı (PayTR) kullanıcı tokenı (kart numarası DEĞİLDİR)
  • Tekrarlı ödeme tokenı: Abonelik yenilemesi ve ücretsiz deneme sonunda otomatik tahsilat yapabilmek için, PayTR tarafından üretilen ödeme tokenı (kart referansı) ile birlikte kartınızın yalnızca son 4 hanesi, kart markası (Visa / Mastercard vb.) ve son kullanma ay/yılı
  • Ödeme ve işlem geçmişi metadatası (tutar, tarih, durum)
  • Ücretsiz deneme verileri: deneme başlangıç / bitiş tarihi, otomatik tahsilat tarihi, doğrulama provizyonu kaydı ve iptal durumu

Kart bilgileriniz hakkında

Kartınızın tam numarası (PAN) ve güvenlik kodu (CVV) doğrudan PayTR (PCI-DSS Level 1) tarafından işlenir ve saklanır; imzala.org bu iki bilgiyi hiçbir zaman görmez veya saklamaz.

Tekrarlı ödemeyi (abonelik yenilemesi ve ücretsiz deneme sonu otomatik tahsilatı) gerçekleştirebilmek için imzala.org, PayTR'nin ürettiği ödeme tokenını ve kartınızı tanımanıza yardımcı olan son 4 hane + marka + son kullanma tarihi bilgisini saklar. Bu bilgilerle kart üzerinden bağımsız bir işlem yapılamaz; yalnızca sizin başlattığınız abonelik / deneme kapsamındaki tahsilat için PayTR'ye iletilir.

Hukuki sebep: Tekrarlı ödeme tokenının saklanması, aboneliğin / denemenin ifası amacıyla sözleşmenin ifası (KVKK m.5/2-c) hukuki sebebine dayanır (açık rıza değildir). Aboneliğinizi / denemenizi iptal ettiğinizde veya hesabınızı sildiğinizde bu token silinir, kartınızı ileride kullanmak üzere saklamaya yönelik ayrı bir "kartımı sakla" açık rızası vermediyseniz; bu rızayı dilediğiniz an geri çekebilirsiniz.

Ücretsiz deneme nasıl işler?

7 günlük ücretsiz deneme kart bilgisi girilerek başlatılır. Başlangıçta kartın geçerliliğini doğrulamak için 1 TL tutarında doğrulama provizyonu alınır ve anında iade edilir; bu bir ücret değildir. Denemeyi süre sonundan önce iptal etmezseniz, 7. günde seçtiğiniz planın tam tutarı kayıtlı kartınızdan otomatik tahsil edilir. Denemeyi dilediğiniz an hesabınızdan iptal edebilirsiniz.

2.7 İşlem Güvenliği Verileri

  • IP adresi, son giriş IP'si
  • Cihaz bilgisi ve tarayıcı sürümü
  • Audit log (KMS, K8s, uygulama)
  • Oturum bilgileri

2.8 Davranış ve Tercih Verileri

  • Kullanıcı aktivite geçmişi (UserActivity)
  • Bildirim tercihleri (UserPreferences)
  • Pazarlama e-postaları opt-in durumu

2.9 Pazarlama ve Analitik Verileri (Çerez tabanlı, açık rıza ile)

  • Çerez kimliği (cookie ID)
  • Anonim kullanıcı kimliği (GA4 client ID, Clarity ID, Meta browser ID)
  • Sayfa görüntülemeleri, tıklamalar
  • Coğrafi konum (il/ülke seviyesinde)

Detay: Çerez Politikası

2.10 Bilgilendirilecek Kişiler (CC) Verileri

Kullanıcı, oluşturduğu sözleşmeye, imza sürecinden bilgilendirilmek üzere üçüncü kişilerin e-posta adreslerini ("Bilgilendirilecek Kişiler") ekleyebilir. Bu kişilere yalnızca sözleşmenin gönderim ve tamamlanma aşamalarında bilgilendirme e-postası iletilir; bu kişiler imza atmaz.

  • İşlenen veri: e-posta adresi, varsa ad; "gizli" işaretlenmemişse diğer taraflara görünür ad / e-posta.
  • Hukuki sebep: sözleşmenin ifası (KVKK m.5/2-c) ve meşru menfaat (KVKK m.5/2-f).
  • Sorumluluk: Bu kişileri ekleyen kullanıcı, eklemeye yetkili olduğunu beyan eder (uygulama içi onay). imzala.org veri işleyen sıfatıyla yalnızca iletimi gerçekleştirir.
  • Alıcı hakları: Her bilgilendirme e-postasında bilgilendirmeyi durdurma (opt-out) bağlantısı ve bu aydınlatma metnine erişim sunulur. Opt-out talebi anında uygulanır.
  • Saklama: Bilgilendirilecek Kişi kaydı ilgili sözleşmeyle birlikte saklanır; sözleşme silindiğinde otomatik silinir. Bağımsız saklama üst sınırı 3 yıldır (sonra otomatik anonimleştirme / silme).
  • Aktarım: E-posta iletimi, mevcut DPA kapsamındaki alt-işleyen Mailgun (Frankfurt / AB) üzerinden gerçekleştirilir.

2.11 Organizasyon Davet Verileri

Bir organizasyon sahibi/yöneticisi, ekibine üye eklemek için davet gönderdiğinde davet edilen kişinin iletişim bilgisi işlenir. Davet edilen kişi, kendi kişisel hesabıyla daveti kabul eder ("İmza Kişiye Özeldir").

  • İşlenen veri: e-posta ve/veya telefon (en az biri), varsa ad. TC kimlik / kimlik numarası toplanmaz (veri minimizasyonu).
  • Hukuki sebep: meşru menfaat (KVKK m.5/2-f): organizasyonun ekip kurma ihtiyacı.
  • Veri sorumlusu: davet eden organizasyon; imzala.org veri işleyen sıfatıyla yalnızca daveti iletir.
  • Alıcı hakları: Daveti tek tıkla reddedebilirsiniz; her davet e-posta/SMS'inde bu aydınlatmaya erişim ve [email protected] başvuru adresi yer alır. Davet ticari ileti değildir (pazarlama içermez).
  • Saklama: Yanıtlanmayan davet 7 gün sonra silinir; reddedilen/iptal edilen/süresi dolan davetlerin kişisel verisi en geç 8 gün içinde silinir (her gün çalışan otomatik silme görevi); kabul edilen davette iletişim verisi kabul anında temizlenir.
  • GDPR (AB'de ikamet edenler için): Verileriniz sizden değil organizasyondan alındığından GDPR Art.14 uyarınca bu bildirim yapılmaktadır; hukuki sebep Art.6(1)(f) meşru menfaattir.
  • Aktarım: Yalnız davet iletimi için e-posta (Mailgun, Frankfurt/AB) ve/veya SMS sağlayıcısı; başka aktarım yoktur.

2.12 İmza Konum Verisi (Coğrafi Konum)

İmza ekranında, imzanın atıldığı yerin doğrulanması ve imza sürecinin güvenilirliği ve delil değerinin desteklenmesi amacıyla konum verisi işlenebilir. Konum paylaşımı zorunlu değildir; izin vermeseniz dahi imzayı tamamlayabilirsiniz.

  • İşlenen veri: (1) tarayıcınızın sağladığı tam konum (GPS enlem/boylam koordinatları ve doğruluk değeri); (2) bunu paylaşmadığınızda, IP adresinizden türetilen il/ülke düzeyinde yaklaşık konum. GPS iznini vermemeniz hâlinde yalnızca IP'den türetilen yaklaşık konum işlenir; "Konum olmadan devam et" ile açıkça reddederseniz hiçbir konum işlenmez.
  • Hukuki sebep (tam konum / GPS): açık rıza (KVKK m.5/1, GDPR Art.6(1)(a)). İmza ekranında konum izni istenir; yalnızca "İzin ver" seçtiğinizde tarayıcınızın tam konumu kaydedilir.
  • Hukuki sebep (IP tabanlı yaklaşık konum): meşru menfaat (KVKK m.5/2-f, GDPR Art.6(1)(f)); imza IP adresinizle aynı çerçevede, güvenlik, dolandırıcılık önleme ve delil bütünlüğü amacıyla.
  • Reddetme ve özgür irade: Konumu "Konum olmadan devam et" ile açıkça reddederseniz ne tam ne de yaklaşık konum saklanır; yalnızca zaten açıklanan imza IP adresiniz tutulur. Konum, hizmetin ön koşulu değildir. Açık rızanızı dilediğiniz zaman geri çekebilirsiniz (bkz. §13).
  • Saklama: Konum verisi, ilgili imza/sözleşme kaydıyla birlikte ve onunla aynı süreyle (10 yıl) saklanır; saklama, uyuşmazlık hâlinde delil değerinin korunması (meşru menfaat), tacir tarafında TTK m.82 ve genel zamanaşımı süresi (TBK m.146) çerçevesindedir.
  • Aktarım: IP tabanlı yaklaşık konum, mevcut DPA kapsamındaki altyapı sağlayıcımız Cloudflare tarafından IP adresinden türetilir; tam konum (GPS) yalnızca tarayıcınızdan alınır. Konum verisi için yeni veya ayrı bir alıcı yoktur.

2.13 Anonim İmza Doğrulama Aracı Verileri

Herkese açık İmza Doğrulama Aracı'nda işlenenler: yüklediğiniz imzalı belge (ve gerektiğinde orijinal belge) içeriği — belge imzacıya/üçüncü kişilere ait kişisel veri içerebilir; işlem güvenliği verileri (son okteti maskelenmiş IP, istek zamanı, dosya biçimi/uzantısı/boyutu, doğrulama sonucu, bot/anti-virüs sonucu). Sonuç ekranında T.C. Kimlik No varsa maskelenir; denetim kaydına imzacı adı, sertifika içeriği veya ham dosya adı yazılmaz. Hukuki sebep: meşru menfaat (KVKK m.5/2-f).

3. Kişisel Verilerin İşlenme Amaçları

  • Hizmetlerimizin sunulması (e-imza, sözleşme yönetimi, zaman damgası)
  • Sözleşmenin kurulması ve ifası
  • Kullanıcı kimlik doğrulaması ve hesap yönetimi
  • İmza sürecinin yasal geçerliliğini sağlama (audit trail)
  • Yasal yükümlülüklerin yerine getirilmesi (TTK m.82, VUK m.253, 5070 sayılı kanun)
  • Müşteri memnuniyeti, destek ve şikayet yönetimi
  • Güvenlik, dolandırıcılık önleme ve audit
  • Herkese açık imza doğrulama hizmetinin sunulması ve aracın kötüye kullanımının önlenmesi (hizmet güvenliği)
  • Pazarlama faaliyetleri (yalnızca açık rıza ile)
  • Site geliştirme ve analitik (anonim çerez verileri ile)

4. Toplama Yöntemleri ve Hukuki Sebep

4.1 Toplama Yöntemleri

  • Hesap kayıt formu, profil bilgi formu
  • OAuth üzerinden (Google / Facebook / Twitter API)
  • İmza ekranı (el yazısı imza görseli, PNG bitmap; davranışsal biyometrik parametre toplanmaz)
  • Ödeme webhook'ları (PayTR)
  • Kimlik doğrulama sorgusu (NVİ / KPS: ad, soyad, TC kimlik numarası ve doğum yılının Nüfus kayıtlarıyla eşleştirilmesi)
  • Çerez ve analitik scriptleri (consent ile)

4.2 Hukuki Sebep (KVKK m.5 ve 6)

  • Sözleşmenin kurulması veya ifası (m.5/2-c): Hesap, ödeme, hizmet sunma; abonelik ve ücretsiz deneme kapsamında tekrarlı ödeme tokenının (kart referansı + son 4 hane + marka + son kullanma) saklanması ve otomatik tahsilatın yürütülmesi
  • Hukuki yükümlülük: Fatura, vergi, audit log, ihtilaf çözümü
  • Meşru menfaat: Dolandırıcılık önleme, audit, güvenlik, imza IP adresinden türetilen yaklaşık konum; anonim imza doğrulama hizmetinin sunulması (KVKK m.5/2-f)
  • Açık rıza: Pazarlama iletişimi, çerez tabanlı analitik / pazarlama; abonelik / deneme iptalinden sonra kartınızı ileride kullanmak üzere saklamaya yönelik "kartımı sakla" tercihi (dilediğiniz an geri çekilebilir); imza ekranında tarayıcı (GPS) tam konumu

5. Kişisel Verilerin Aktarıldığı Taraflar

5.1 Yurt İçi Aktarımlar

  • TÜBİTAK KAMU SM: Nitelikli zaman damgası hizmeti (RFC 3161)
  • PayTR: Ödeme işlemleri (Türkiye, BDDK denetimli, PCI-DSS Level 1)
  • NetGSM, Kobikom: SMS gönderimi (organizasyon bazlı seçim)
  • Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü (NVİ / KPS): TC kimlik bilgilerinin doğrulanması (ad–soyad–TC kimlik numarası–doğum yılı eşleştirmesi); kimlik doğruluğunun teyidi ve imza sürecinin güvenilirliğinin sağlanması amacıyla (5070 sayılı Kanun ve ilgili mevzuat çerçevesinde). Yalnızca doğrulama sorgusu yapılır; NVİ sistemine yeni veri eklenmez.
  • Yetkili kamu kurumları: Yasal yükümlülükler kapsamında (mahkeme, KVKK Kurumu, vergi dairesi)

5.2 Yurt Dışı Aktarımlar

Yurt dışı aktarımlar yalnızca KVKK m.9 kapsamında, açık rıza veya Standart Sözleşme Maddeleri (SCC) ile yapılır:

  • Hetzner Online GmbH (Almanya): Sunucu altyapısı ve veri depolama. Falkenstein veri merkezi, AB GDPR uyumlu, ISO 27001 sertifikalı. Tüm üretim verileriniz burada işlenir ve depolanır.
  • Cloudflare (ABD): CDN, DNS, WAF ve DDoS koruması; ayrıca tam (GPS) konum açık rıza ile paylaşılmadığında imza anında IP adresinden türetilen il/ülke düzeyinde yaklaşık konum bilgisi. EU-Home Region kullanılır, GDPR DPA imzalı.
  • Mailgun (Almanya, EU sunucu): Transactional e-posta gönderimi. EU veri merkezi, GDPR DPA imzalı.
  • Twilio (ABD): Uluslararası SMS (yalnızca seçili organizasyonlar için).
  • GitHub (ABD): Kaynak kodu yönetimi (kullanıcı PII'si depolanmaz, yalnızca uygulama kodu).
  • Cloudflare Turnstile (bot doğrulaması): Anonim imza doğrulama aracında bot/kötüye kullanım kontrolü. Bu, mevcut Cloudflare alt-işleyenimizin yeni bir amacıdır; yeni bir sözleşme veya tüzel kişi doğmaz.
  • OCSP / CRL / AIA (ilgili ESHS sunucuları): İmzanın iptal/zaman damgası kontrolünde imzanın zaten kamuya açık sertifika bilgisi (örn. seri no) ilgili sunuculara iletilir.

5.3 Pazarlama ve Analitik Platformları (yalnızca çerez consent ile)

  • Google Analytics 4 + Google Tag Manager: Site kullanım analitiği (anonim ID)
  • Microsoft Clarity: Isı haritaları, oturum kayıtları (PII otomatik maskelenir)
  • Meta Pixel (Facebook/Instagram): Tarayıcı tarafı reklam dönüşüm takibi
  • Meta Conversions API (CAPI): Sunucu tarafı dönüşüm takibi. E-posta + telefon SHA-256 hashlenmiş aktarılır (ham PII değil)
  • Google Ads + Enhanced Conversions: Reklam dönüşüm takibi. Enhanced Conversions kapsamında e-posta/telefon SHA-256 hashlenmiş aktarılır

5.4 Sunucu Tarafı Ölçüm Altyapısı (sGTM)

Pazarlama ve analitik trafiği önce kx7m2.imzala.org alt etki alanımız (Hetzner Almanya, AB-içi veri merkezi) üzerinden geçer, oradan Google Analytics 4 / Meta CAPI / Google Ads servislerine aktarılır. Tarayıcınız bu üçüncü taraflara doğrudan bağlanmaz; tüm aktarımlar sunucumuz tarafından denetlenerek (consent kontrolü, PII hashleme) yapılır. AB-içi transfer olduğundan KVKK m.9 ek güvence şartı gerekmez.

Yurt Dışı Veri Aktarımı Güvenceleri

Yurt dışına aktarılan verileriniz, AB Genel Veri Koruma Tüzüğü (GDPR) standartlarında korunmakta, üçüncü taraflarla Standart Sözleşme Maddeleri (SCC) Modül 2 (Controller-to-Processor) imzalanmaktadır.

Üretim verileriniz AB içinde (Almanya) bulunan Hetzner Falkenstein veri merkezinde tutulmaktadır.

6. Kişisel Veri Sahibinin Hakları (KVKK m.11 / GDPR Art.15-22)

Aşağıdaki haklara sahipsiniz:

  • Kişisel verilerinizin işlenip işlenmediğini öğrenme
  • İşlenmişse buna ilişkin bilgi talep etme (erişim hakkı)
  • İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
  • Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme
  • Eksik veya yanlış işlenmişse düzeltilmesini isteme
  • Şartların ortadan kalkması halinde silinmesini veya yok edilmesini isteme (unutulma hakkı, GDPR Art.17)
  • Verilerinizi yapılandırılmış ve makine okunabilir formatta indirme (taşınabilirlik, GDPR Art.20)
  • Düzeltme veya silme işlemlerinin aktarıldığı üçüncü kişilere bildirilmesini isteme
  • Münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhinize sonuç doğmasına itiraz etme
  • Kanuna aykırı işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini talep etme

6.1 Hesap Üzerinden Doğrudan Kullanılabilen Haklar

Aşağıdaki hakları hesap ayarlarınızdan doğrudan kullanabilirsiniz:

  • Verilerinizi indirme: Hesap ayarları → Gizlilik → "Verilerimi indir" (JSON + ZIP, GDPR Art.20)
  • Hesabımı sil: Hesap ayarları → "Hesabımı sil": 24 saat e-posta onay + 30 gün geri alma süresi sonrasında kalıcı silme
  • Pazarlama opt-out: Hesap ayarları → Bildirimler → Pazarlama e-postaları
  • Çerez tercihi revoke: Sayfa altındaki "Çerez Ayarları" linki

7. Başvuru Yöntemi

KVKK kapsamındaki taleplerinizi aşağıdaki yöntemlerle iletebilirsiniz:

Başvurularınız en geç 30 gün içinde yanıtlanır (KVKK m.13). Başvurularınız ücretsizdir; ancak Kurum tarafından belirlenen tarife uygulanabilir.

8. Veri Güvenliği

8.1 Teknik Önlemler

  • Şifreleme (transit): TLS 1.2 / 1.3 (Cloudflare + Let's Encrypt sertifikası)
  • Şifreleme (off-site backup): AES-256 (rclone crypt, Hetzner Storage Box)
  • Dijital imza: RSA-2048 (anahtar yönetim sistemi, KMS)
  • Hash: SHA-256 (belge bütünlük doğrulaması)
  • Zaman damgası: TÜBİTAK KAMU SM (RFC 3161 nitelikli)
  • Erişim kontrolü: Rol tabanlı erişim (RBAC) + tüm yönetim panelleri için iki faktörlü kimlik doğrulama (MFA)
  • Ağ güvenliği: Kubernetes NetworkPolicy ile namespace izolasyonu, Cloudflare WAF
  • Antivirüs: Yüklenen dosyalar için ClamAV taraması
  • Zafiyet taraması: Trivy ile sürekli (CI/CD entegrasyonlu)
  • Audit log: 5 yıl saklama (uygulama + KMS + Kubernetes API)
  • İzleme: 24/7 Prometheus + Grafana + Loki + GlitchTip

8.2 Operasyonel Önlemler

  • Personel için yıllık güvenlik farkındalık eğitimi
  • Kritik personel için NDA imzası
  • 4 katmanlı yedekleme stratejisi (Velero + PostgreSQL dump + Proxmox VM snapshot + Hetzner Storage Box off-site mirror)
  • Şifreli off-site yedek (AES-256, AB lokasyon)
  • Düzenli felaket kurtarma tatbikatı (son test: Nisan 2026, başarılı)
  • İhlal yanıt prosedürü ve VERBİS bildirim şablonu

8.3 Veri Saklama Lokasyonu

Üretim verileriniz AB içindedir

  • Birincil veri merkezi: Hetzner Online GmbH, Falkenstein, Almanya (AB)
  • Off-site şifreli yedek: Hetzner Storage Box (AB lokasyon, AES-256 client-side şifrelenmiş)
  • CDN / edge: Cloudflare global ağ (EU-Home Region tercih edilir)

Veri merkezi seçimimiz GDPR uyumluluğu ve AB veri egemenliği için yapılmıştır.

9. Saklama Süreleri

Saklama süresi sona eren veriler otomatik silme veya anonimleştirme prosedürü ile imha edilir. Silme talepleri 30 gün içinde işleme alınır.

10. Sertifikalar ve Uyumluluk

10.1 Sahip Olduğumuz Uyumluluklar

  • 5070 sayılı Elektronik İmza Kanunu uyumlu altyapı (TÜBİTAK KAMU SM nitelikli zaman damgası ile)
  • eIDAS 910/2014 Art.25 / 5070 m.4: Basit Elektronik İmza (SES) altyapısı (kullanıcı imza görseli + sistem ticari sertifika + PAdES B-LTA + RFC 3161 zaman damgası); kimlik doğrulama (telefon OTP + TC Kimlik/NVI) açıkken Gelişmiş Elektronik İmza (AES, Art.26) niteliği kazanır
  • KVKK Veri Sorumluları Sicili (VERBİS) kayıtlı veri sorumlusu
  • GDPR uyumu: AB içinde (Hetzner Almanya) veri işleme, SCC ile yurt dışı aktarım
  • PCI-DSS SAQ A kapsamı: kartınızın tam numarası (PAN) ve güvenlik kodu (CVV) yalnızca PayTR (PCI-DSS Level 1) tarafından işlenir ve saklanır; imzala.org bu bilgileri saklamaz. Tekrarlı ödeme için saklanan ödeme tokenı ile kartın son 4 hanesi PCI-DSS SAQ A kapsamıyla uyumludur (tam kart verisi içermez)

10.2 Yol Haritası (henüz alınmamış sertifikalar)

Aşağıdaki sertifikalar şu an itibariyle alınmamış olup, hedef tarihlerde sertifikasyon süreçleri başlatılacaktır.

  • ISO 9001:2015 Kalite Yönetim Sistemi (Hedef: 2026 Q3)
  • ISO 27001:2022 Bilgi Güvenliği Yönetim Sistemi (Hedef: 2027 Q1)
  • SOC 2 Type II (Hedef: 2027 Q4)

Mevcut altyapımız bu sertifikaların gerektirdiği teknik ve operasyonel kontrollerin önemli bölümünü zaten karşılamaktadır; sertifikasyon süreçleri formal denetim ve dokümantasyon kapsamındadır.

11. Veri İhlali Bildirimi

Kişisel verilerinizin güvenliğini etkileyebilecek bir ihlal durumunda:

  • İhlal tespitinden itibaren 72 saat içinde Kişisel Verileri Koruma Kurumu'na bildirim yapılır (KVKK m.12, GDPR Art.33)
  • Risk değerlendirmesi sonucuna göre etkilenen kullanıcılar e-posta ile bilgilendirilir (GDPR Art.34)
  • İhlalden etkilenen veri kategorileri, alınan önlemler ve önerilen aksiyonlar bildirilir
  • İhlal yanıt prosedürümüz: 5 fazlı yanıt (containment, eradication, recovery, lessons learned, communication)

12. Çocukların Kişisel Verileri

Hizmetlerimiz 18 yaş altı bireylere yönelik değildir. 18 yaş altı bireylerden bilerek kişisel veri toplamayız. Ebeveyn veya vasi onayı olmadan çocuklardan veri toplandığını tespit etmemiz halinde, bu veriler derhal silinir.

13. Açık Rıza Geri Çekme

KVKK m.5/1 kapsamında verdiğiniz açık rızayı istediğiniz zaman geri çekebilirsiniz:

  • Pazarlama rızası: Hesap ayarları → Bildirimler → "Pazarlama e-postaları" toggle off, veya her e-postanın altındaki "abonelikten çık" linki.
  • Çerez rızası: Sayfa altındaki "Çerez Ayarları" linki üzerinden tercihler tekrar düzenlenebilir.
  • Konum rızası: İmza ekranında verdiğiniz tam (GPS) konum açık rızasını sonraki imzalamalar için geri çekebilirsiniz; bu durumda yeni imzalarda tam konum istenmez. Tamamlanmış bir imza kaydına işlenmiş konum ise donmuş bir delil kaydıdır ve yukarıdaki saklama dayanağı çerçevesinde saklanmaya devam eder. Geri çekme gelecekteki toplamayı durdurur, geçmiş tamamlanmış imza kaydındaki konumu otomatik silmez.

Açık rıza geri çekildikten sonra, ilgili veri yalnızca başka bir hukuki sebep (sözleşmenin ifası, hukuki yükümlülük) varsa işlenmeye devam edebilir.

14. Politika Güncellemeleri

Bu aydınlatma metni, mevzuat değişiklikleri ve uygulama güncellemelerini yansıtmak amacıyla zaman zaman güncellenir. Önemli değişiklikler:

  • Web sitesinde duyurulur
  • Kayıtlı kullanıcılara e-posta ile bildirilir
  • Önemli değişiklikler için yeni açık rıza istenebilir

Son güncelleme: 29 Haziran 2026

Versiyon: 3.6 (anonim imza doğrulama aracı verileri/aktarım/saklama eklendi)

Bu metin, 6698 sayılı Kişisel Verilerin Korunması Kanunu, AB Genel Veri Koruma Tüzüğü (GDPR) ve ilgili ikincil mevzuat uyarınca hazırlanmıştır.

Demo Talep Et

15 dakikalık ücretsiz demo ile imzala.org'un kurumunuza nasıl uyduğunu birlikte görelim.

E-posta veya telefondan en az birini doldurun.