Uyumluluk ve Sertifikalar

Türk hukukunda elektronik imzanın yasal çerçevesi. TÜBİTAK KAMU SM nitelikli zaman damgası altyapısı ile desteklenir.

• ✓ TÜBİTAK KAMU SM RFC 3161 zaman damgası entegrasyonu
• ✓ HMK m.200 takdiri delil niteliği
• ✓ Imzaya bağlı veri bütünlüğü kontrolü

Veri Sorumluları Sicil Bilgi Sistemi'ne (VERBİS) kayıtlı veri sorumlusu. KVKK Aydınlatma Tebliği uyumlu aydınlatma metni, açık rıza akışları, veri sahibi haklarını destekleyen API'ler.

• ✓ KVKK m.10 aydınlatma yükümlülüğü
• ✓ KVKK m.6 özel nitelikli veri için açık rıza (biyometrik)
• ✓ KVKK m.7 silme / unutulma hakkı (24h onay + 30 gün grace)
• ✓ KVKK m.11 veri sahibi hakları (8 hak)
• ✓ KVKK m.12 ihlal bildirim prosedürü (72 saat)
• ✓ Pseudonimizasyon ve anonimleştirme prosedürleri

→ Aydınlatma Metni

Üretim verileri AB içinde (Hetzner Falkenstein, Almanya). 3rd party'lerle Standart Sözleşme Maddeleri (SCC Modül 2) imzalı. Veri taşınabilirlik (Art.20) ve unutulma hakkı (Art.17) implement edilmiştir.

• ✓ Art.13-14 bilgilendirme yükümlülüğü
• ✓ Art.15 erişim hakkı
• ✓ Art.17 silme / right to be forgotten
• ✓ Art.20 veri taşınabilirlik (JSON + ZIP)
• ✓ Art.28 veri işleyen sözleşmesi (DPA template)
• ✓ Art.32 işleme güvenliği (TLS, AES-256, MFA)
• ✓ Art.33-34 ihlal bildirim (72 saat)
• ✓ Art.45-46 yurt dışı aktarım (SCC)

→ Gizlilik Politikası

AB Tüzüğü 910/2014 Art.3(10) ve Art.25 kapsamındaki Basit Elektronik İmza gereksinimleri. 4 koşul karşılanmaktadır: niyet, kimlik atfı, benzersiz bağlantı, bütünlük kontrolü.

• ✓ Imzalayan niyetinin doğrulanması (e-posta + SMS OTP)
• ✓ Kimlik atfı (e-posta, biyometrik, NFC opsiyonel)
• ✓ Benzersiz bağlantı (KMS dijital imza + zaman damgası)
• ✓ Post-imza değişiklik tespiti (SHA-256 hash)

Uniform Electronic Transactions Act (49 eyalet) ve Electronic Signatures in Global and National Commerce Act (federal) gereksinimleri.

• ✓ Intent to sign — onay kutusu + audit log
• ✓ Consent to do business electronically — Consumer Disclosure
• ✓ Association with signed record — KMS imza
• ✓ Record retention — 10 yıl saklama (TTK m.82 ile uyumlu)

California Consumer Privacy Act (2020) ve California Privacy Rights Act (2023) gereksinimleri. Kişisel veri satışı yapmamaktayız.

• ✓ Right to know (§1798.110)
• ✓ Right to delete (§1798.105)
• ✓ Right to opt-out of sale (§1798.120) — N/A: satış yapmıyoruz
• ✓ Right to correct / limit (CPRA)
• ✓ Notice at Collection

Self-Assessment Questionnaire A — kart bilgisi (PAN, CVV, expiry) bizim sunucularımıza hiç gelmez. Tüm ödeme işlemleri PCI-DSS Level 1 sertifikalı PayTR altyapısında yapılır.

• ✓ Kart bilgisi PayTR redirect (e-commerce SAQ A scope)
• ✓ TLS 1.2/1.3 transit encryption
• ✓ Vendor PCI compliance review (PayTR Level 1 AOC)

Biyometrik veri formatı standardı — el yazısı dinamiği (basınç, hız, ivme, açı, X/Y/Z koordinatları) bu standarda uygun olarak yakalanır ve saklanır.