Ana içeriğe atla

Legal · TR

Gizlilik Politikası

Hangi verileri topladığımız, neden topladığımız, ne kadar sakladığımız ve haklarını nasıl kullanacağın. KVKK + GDPR çerçevesinde hazırlanmıştır.

Son güncelleme: TBD

1. Veri Sorumlusu

Veri sorumlusu: [TBD-Entity], [TBD-Address]. KVKK Veri Sorumluları Sicili (VERBİS) kaydı zorunluluğu kuruluş tamamlandığında değerlendirilir ve burada belirtilir.

Veri koruma sorumlusu (DPO) iletişim: [TBD-Email].

2. Hukuki Çerçeve

Bu politika, başta Türkiye'de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Birliği'nde 2016/679 sayılı Genel Veri Koruma Yönetmeliği (GDPR) olmak üzere uygulanabilir veri koruma mevzuatına göre hazırlanmıştır.

3. Topladığımız Veriler

Aşağıdaki veriler kullanım amacına bağlı olarak işlenir:

  • Hesap verileri: e-posta adresi, görünen ad, parola hash'i (asla parola düz metin değildir), telefon numarası (doğrulama için).
  • Profil ve iletişim: profil resmi (opsiyonel), tercih edilen dil, bildirim ayarları, kullanıcı ile yapılan platform içi sohbet kayıtları.
  • Kimlik doğrulama (KYC): kimlik belgesi, selfie ve doğrulama meta verisi. Bu kategorideki hassas belgeler Stripe Identity tarafından işlenir ve saklanır; Sigmamarkt yalnızca doğrulama sonuç durumunu (başarılı/başarısız/eşleşme skoru) tutar. Belge görüntüleri sunucularımızda tutulmaz.
  • Ödeme verileri: kart numarası, CVV, IBAN VEYA banka hesap numarası Sigmamarkt sunucularında SAKLANMAZ. Tüm kart girişleri Stripe'ın PCI-DSS uyumlu hosted alanları üzerinden gerçekleşir. Sigmamarkt yalnızca Stripe tarafından üretilen token, ödeme durumu, son 4 hane, kart markası ve 3DS sonucunu tutar.
  • İşlem meta verisi: sipariş kayıtları, escrow durumları, dispute kayıtları, refund-to-credit hareketleri.
  • Teknik veriler: IP adresi, cihaz/tarayıcı parmak izi (canvas/WebGL — fraud tespiti için), oturum çerezleri, kullanıcı ajanı, dil tercihi.
  • Güvenlik verileri: oturum açma denemeleri, başarısız doğrulama olayları, risk skoru sinyalleri.
  • Pazarlama: e-posta pazarlama tercihleri (yalnızca opt-in halinde).

4. Hand-off Ceremony ve Yayıncı Hesap Erişimi

Hesap satışı sürecinde özel düzenleme: bir hesap ilan açılışında Sigmamarkt'ın geçici custody'sine devredilir (Hand-off Ceremony). Bu işlem yalnızca satıcının Satıcı Sözleşmesi üzerinden verdiği açık yetkiye dayanır.

Hand-off kapsamında: (a) Sigmamarkt sınırlı süre boyunca satıcının izniyle yayıncı (örn. Riot, Epic) hesabına erişir; (b) bu erişimde kullanılan satıcı kimlik bilgileri (şifre + 2FA backup) sunucularımızda envelope encryption + KMS ile şifreli olarak saklanır; düz metin parola log'a, hata mesajına veya başka bir saklama katmanına ASLA yazılmaz; (c) ilan kapandığında veya satıcı geri çağırdığında Reverse Hand-off ile hesap satıcıya iade edilir ve credential'lar silinir.

Hand-off custody altındaki bir hesabın içeriği yalnızca: (i) ilan oluşturma sırasındaki otomatik tarama, (ii) alıcı satın al butonuna bastığında erişilebilirlik kontrolü (Check Accessibility) ve (iii) gerektiğinde insan moderasyon (dispute incelemesi) için erişilir. Bu erişimlerin her biri audit log'a yazılır.

5. İşleme Amaçları ve Hukuki Dayanak

  • Hizmet sunumu (sözleşmenin ifası — KVKK m. 5/2-c, GDPR md. 6/1-b): üyelik, ilan, ödeme, dispute.
  • Yasal yükümlülük (KVKK m. 5/2-ç, GDPR md. 6/1-c): KYC/AML mevzuatı, mali kayıt saklama, vergi mevzuatı.
  • Meşru menfaat (KVKK m. 5/2-f, GDPR md. 6/1-f): dolandırıcılık önleme, risk skorlama, hesap güvenliği, çift listeleme tespiti, wash trading tespiti.
  • Açık rıza (KVKK m. 5/1, GDPR md. 6/1-a): pazarlama bildirimleri, isteğe bağlı analitik.

6. Üçüncü Taraf Hizmet Sağlayıcılar

Hizmeti sağlamak için aşağıdaki veri işleyiciler ile çalışırız:

  • Supabase (veritabanı ve kimlik doğrulama altyapısı): kullanıcı oturumu, profil, ilan ve sipariş verisi.
  • Stripe (ödeme + kimlik doğrulama): kart verisi, KYC belgeleri, 3DS, payout işlemleri. Hassas veriler doğrudan Stripe'a gider; Sigmamarkt bu verileri görmez/saklamaz.
  • Anthropic (AI dispute pre-resolution): dispute analizinde kullanılır. Modele sunulan veriler kişisel tanımlayıcılardan arındırılmış (anonimleştirilmiş/pseudonymize edilmiş) biçimde gönderilir; modele model eğitimi için veri sağlanmaz.
  • Postmark / Resend (transactional e-posta): bildirimler, doğrulama e-postaları, dispute uyarıları.
  • Smartproxy (residential proxy): yayıncı tarafına yapılan otomatik erişimlerin geo-eşleşmesi için. Kullanıcı kişisel verisi proxy üzerinden geçmez; yalnızca Sigmamarkt sunucularından çıkan yayıncı login trafiği geçer.
  • Sentry (hata izleme — opsiyonel): uygulama hata stack trace'leri. Kullanıcı verileri scrub edilir.
  • Vercel (barındırma): uygulama sunumu; isteklerin teknik metadata'sı (IP, user agent) kısa süreli loglanır.
  • PostHog (analitik — Faz 7+, self-hosted, opsiyonel): kullanım sayfaları ve A/B test ölçümleri; reklam ağı paylaşımı yoktur.

Yukarıdaki sağlayıcıların bir kısmı AB/AEA dışında bulunabilir (örn. ABD). Bu durumda standart sözleşme maddeleri (SCC) ve eşdeğer koruma önlemleri uygulanır.

7. Saklama Süreleri

  • Hesap profili: hesap açık olduğu sürece + hesap kapatıldıktan sonra 90 gün (toparlanma penceresi).
  • İşlem ve ödeme kayıtları (audit log dahil): yasal mali kayıt saklama yükümlülüğü gereği 5 yıl (Türk Vergi Usul Kanunu / ilgili AB mevzuatı uyarınca; kesin süre kuruluş ülkesi onayında netleşir).
  • Sohbet kayıtları: dispute süreci açıkken sürekli; sonrasında 12 ay.
  • Hand-off vault credential'ları: ilan kapanır kapanmaz silinir; yedek (encrypted backup) en geç 30 gün içinde sistemden tamamen düşer.
  • KYC belge görüntüleri: Stripe Identity tarafında Stripe'ın saklama politikasına tabidir; Sigmamarkt sunucusunda saklanmaz.
  • Pazarlama opt-in kayıtları: opt-out yapılana kadar.
  • Güvenlik log'ları: 12 ay.

8. Veri Sahibi Hakları

KVKK ve GDPR kapsamında sahip olduğun haklar:

  • Hangi verilerin işlendiğini öğrenme (erişim hakkı).
  • Yanlış verilerin düzeltilmesini isteme.
  • Belirli şartlarda verilerin silinmesini isteme (unutulma hakkı). Açık dispute, açık mali yükümlülük veya yasal saklama yükümlülüğü varsa silme talebi gecikebilir; bu durumda gerekçesi açıklanır.
  • İşleme kısıtlama ve itiraz hakkı.
  • Veri taşınabilirliği — kendi verini makine-okunabilir formatta isteme.
  • Açık rıza ile başlatılmış işleme için rızanı geri çekme hakkı (geçmiş işleme geçerli kalır).
  • Veri koruma otoritesine (Türkiye'de KVKK Kurumu; AB'de ilgili ulusal otorite) şikayet hakkı.

Talep için: [TBD-Email]. 30 gün içinde yanıtlamayı taahhüt ederiz; karmaşık taleplerde süre 60 güne uzayabilir ve gerekçesi bildirilir.

9. Çerezler

Çerez kullanımı ayrıntıları için Çerez Politikası'na bakınız.

10. Güvenlik Önlemleri

  • Parolalar tek yönlü hash (bcrypt/argon2 ailesi) ile saklanır.
  • Yayıncı hesap credential'ları envelope encryption + KMS ile şifrelenir; düz metin diske yazılmaz, log'a düşürülmez.
  • Veritabanı erişimi Row-Level Security (RLS) ile kullanıcı bazında kısıtlıdır.
  • Tüm trafik HTTPS / TLS üzerinden taşınır.
  • Admin erişimleri çift imza, audit log ve gerekçe zorunluluğu ile yönetilir.
  • Sızıntı şüphesinde KVKK Kurum bildirimi 72 saat içinde yapılır.

11. Çocuklara Yönelik Veri

Hizmetimiz 18 yaş altı kullanıcılara yönelik değildir. 18 yaş altı bir kullanıcıya ait kişisel veri topladığımızı tespit edersek, ilgili veriyi gecikmeksizin sileriz.

12. Politikada Değişiklik

Bu politika güncellenebilir. Önemli değişikliklerde en az 14 gün önceden bildirim yapılır.

Bu metin bir taslaktır. Türk fintech avukatı + KVKK uyum incelemesi tamamlanmadan bağlayıcı değildir. Yürürlük tarihi son onayda netleşecektir.