Gizlilik Politikası — invum.com.tr
Yürürlük: [LANSMAN TARİHİ]
Sürüm: 0.1
Bu Gizlilik Politikası, Invum'un (Cenk Akkaya) sahibi olduğu invum.com.tr web sitesi ve sunduğu "Invum POS Entegratör" hizmetinin kişisel veri işleme uygulamalarını açıklar. KVKK Aydınlatma Metni ile birlikte okunmalıdır: kvkk-aydinlatma-metni.md.
1. Topladığımız Veriler
1.1. Otomatik Toplananlar
- IP adresi (HTTP loglarında, 30 gün)
- User-Agent string (tarayıcı + işletim sistemi)
- Ziyaret edilen sayfalar, gönderilen istekler (analytics, opt-in)
- Çerezler (Bölüm 5)
1.2. Sizin Sağladıklarınız
- İletişim formu: ad, e-posta, mesaj içeriği
- Pro lisans satın alma: ad-soyad, e-posta, fatura adresi, vergi/T.C. kimlik no
- Lisans aktivasyonu (plugin tarafından): site URL, IP (yalnızca aktivasyon anında)
- Destek talebi: e-posta + (opsiyonel) tanı paketi
1.3. Toplamadıklarımız
- Kart numarası, CVV, son kullanma tarihi: Bu bilgiler ödeme sayfası sırasında doğrudan ödeme sağlayıcıya (iyzico/PayTR/vb.) iletilir; bizim sunucularımızda hiçbir zaman saklanmaz.
- Müşteri sitelerindeki kişisel veriler: Plugin'i kullanan e-ticaret işletmelerinin müşteri verileri o işletmenin kendi sunucusunda kalır; bizim sunucularımıza aktarılmaz.
2. Verileri Nasıl Kullanıyoruz
| Amaç | Kullanılan Veri |
|---|---|
| Ürün/hizmet sunumu | E-posta, lisans bilgileri |
| Faturalama + vergi yükümlülüğü | Fatura bilgileri, ödeme makbuzları |
| Otomatik update kanalı | Lisans anahtarı, plugin sürümü |
| Destek talebi yanıtlama | E-posta, mesaj, tanı paketi |
| Güvenlik + fraud önleme | IP, aktivasyon zamanı, beklenmedik aktivasyon paterni |
| Anonim analytics | Ziyaret istatistikleri (kişi tanımlanamaz şekilde) |
| Pazarlama (opt-in) | E-posta listesi (rıza geri çekilebilir) |
Otomatik karar verme: Hiçbir kullanım için otomatik karar verme süreci uygulanmaz; tüm önemli kararlar (lisans verme, fesih) insan denetiminde alınır.
3. Verileri Kimlerle Paylaşıyoruz
3.1. Veri İşleyenler (Processors)
Bu işleyenler bizim talimatımızla, dar bir kapsam dahilinde veri işler. Hepsiyle DPA (Data Processing Agreement) imzalanmıştır:
| İşleyen | Hizmet | Konum | Yasal Dayanak |
|---|---|---|---|
| Hostinger | Web hostingi (invum.com.tr) | Türkiye | Sözleşme ifası |
| Amazon Web Services | E-posta gönderimi (SES) | İrlanda (eu-north-1) | Sözleşme ifası + AWS DPA + SCC |
| ImprovMX | Mail forwarding (support@) | ABD | Sözleşme ifası + SCC |
| GitHub Inc. | Kod + sürüm dağıtımı | ABD | Sözleşme ifası + GitHub DPA |
| Cloudflare | DNS hizmeti | Global | Sözleşme ifası + Cloudflare DPA |
| iyzico / PayTR / Param | Ödeme alımı (Pro lisans satışı) | Türkiye | Sözleşme ifası |
3.2. Yasal Olarak Paylaşmak Zorunda Olduklarımız
- Mahkeme kararı veya yetkili idari merci talebi (KVKK m.5/2/d, m.28)
- Yasal yükümlülük (vergi denetimi, mali müşavir incelemesi)
3.3. Asla Paylaşmadıklarımız
- E-posta listemizi 3rd parties ile satmayız veya kiraya vermeyiz.
- Müşteri tanı paketleri yalnızca destek ekibi tarafından okunur, dış paylaşım yapılmaz.
4. Veri Saklama
| Veri Tipi | Süre |
|---|---|
| Faturalama verileri | 10 yıl (vergi mevzuatı) |
| Aktif lisans + heartbeat | Lisansın aktif olduğu süre + 2 yıl |
| HTTP erişim logları | 30 gün |
| İletişim formu mesajları | 2 yıl |
| Destek talepleri (tanı paketi dahil) | 90 gün sonra silinir |
| Pazarlama listesi | Aboneliği iptal edene kadar |
| Anonim analytics | 2 yıl agregat formda |
Saklama süresi sonunda veriler güvenli şekilde silinir veya anonimize edilir (KVKK Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmeliği uyarınca).
5. Çerezler
5.1. Zorunlu Çerezler
wordpress_,wp-settings-— admin oturumu_invum_csrf— CSRF token (form güvenliği)
Bu çerezler kapatılırsa site işlevsiz hale gelir; bu yüzden açık rıza istemiyoruz (KVKK m.5/2/c).
5.2. Opsiyonel Çerezler
- Performans analytics: kullanıcı davranışı (anonim) — Opt-in (sayfa altındaki çerez banner'ı)
5.3. 3rd Party Çerezler
Şu an 3rd party tracking kullanılmamaktadır.
6. Güvenlik
Verilerinizi korumak için aldığımız tedbirler:
- TLS 1.2+ tüm trafikte
- AES-256-CBC API anahtarları (
wp_options'ta şifreli) - Hassas veri maskeleme loglarda (kart no, CVV, API key)
- Bcrypt/Argon2 WP user şifreleri (WP standart)
- Rate limiting lisans + giriş endpoint'lerinde (10/dk/IP)
- HMAC imzalama lisans API çağrılarında
- Düzenli güvenlik güncellemeleri (WP core, WC, plugin'in kendisi)
- Erişim kontrolü üretim sunucularına 2FA + SSH key
Önemli: Plugin'i kullanan müşterilerimizin kendi sitelerinin güvenliğinden onlar sorumludur. KVKK uyumluluğu için merchant tarafında alınması gerekenler hakkında bilgi: docs/integrations/.
7. Haklarınız (KVKK m.11)
Aşağıdaki haklara sahipsiniz:
- Verilerinizin işlenip işlenmediğini öğrenme
- Verilerinize erişim talep etme
- Yanlış veya eksik verilerin düzeltilmesini isteme
- Verilerinizin silinmesini isteme (yasal saklama yükümlülükleri saklı kalmak kaydıyla)
- Otomatik karar süreçlerine itiraz etme
Başvuru: support@invum.com.tr (sahiplik teyidi sonrası, 30 gün içinde yanıtlanır)
8. Çocukların Verileri
Hizmetlerimiz 18 yaş altındaki kişilere yönelik değildir. Bilerek 18 yaş altı kişilerden veri toplamayız. Eğer bir çocuğun verilerini topladığımızı fark edersek, derhal silinir.
9. AB Vatandaşları (GDPR)
Pro lisansı AB merkezli olarak alıyorsanız, GDPR Article 6 uyarınca işleme dayanaklarımız:
- Article 6(1)(b) — sözleşme ifası
- Article 6(1)(f) — meşru menfaat (fraud önleme, otomatik update)
- Article 6(1)(a) — açık rıza (pazarlama listesi)
GDPR Article 28 DPA için: dpa-template.md
Veri Koruma Yetkilisi (DPO): [TODO — gerekli mi avukat değerlendirmesi]
EU Representative: [TODO — AB satışı için Article 27 yükümlülüğü?]
10. Değişiklikler
Bu politika güncellenirse:
- Sayfanın üst kısmında yeni "yürürlük tarihi" görünür
- Önemli değişikliklerde kayıtlı e-postanıza bildirim gelir
- Eski sürümler
docs/legal/archive/altında erişilebilir tutulur
11. İletişim
| Konu | Kanal |
|---|---|
| Genel | support@invum.com.tr |
| KVKK başvurusu | support@invum.com.tr (KVKK kategorisi) |
| Hukuki | [KEP — TODO] |
| Şikayet | KVKK Kurumu (kvkk.gov.tr) |
Sürüm: 0.1 (taslak — avukat onayı bekliyor)