← Yasal belgeler

API Kullanım Şartları

Son güncelleme:

1. Amaç ve Kapsam

Bu Şartlar aşağıdaki hizmetler için geçerlidir:

  • Marfin REST API'leri,
  • ileride sunulabilecek GraphQL veya diğer API'ler,
  • webhook hizmetleri,
  • OAuth veya benzeri yetkilendirme akışları,
  • API anahtarları ve erişim tokenları,
  • geliştirici paneli,
  • test veya sandbox ortamı,
  • örnek kodlar,
  • SDK ve istemci kütüphaneleri,
  • API dokümantasyonu,
  • müşteriye özel entegrasyon uç noktaları.

API'yi kullanan müşteri, geliştirici, entegrasyon ortağı veya yetkili üçüncü kişi bu Şartlara uymakla yükümlüdür.


2. Hizmet Sağlayıcı

Ticari unvan: 1453 İstanbul Gıda San. ve Tic. Ltd. Şti.
Marka / uygulama adı: Marfin
MERSİS No: 0001192249400001
Vergi Kimlik No: 0011922494
Adres: Mevlana Mah. Yunus Emre Cad. No: 60 İç Kapı No: A, Gebze/Kocaeli
Telefon: +90 (532) 420 66 35
E-posta: info@marfin.com.tr
Web sitesi: https://www.marfin.com.tr
KEP: [KEP ADRESİ VARSA EKLENECEKTİR]


3. Tanımlar

Bu Şartlarda:

  • API: Marfin tarafından sunulan uygulama programlama arayüzlerini,
  • API Anahtarı: API erişimi için oluşturulan gizli kimlik bilgisini,
  • Erişim Tokenı: Belirli kapsam ve süreyle erişim sağlayan teknik kimlik bilgisini,
  • Entegrasyon: API üzerinden Marfin ile bağlantı kuran yazılım veya hizmeti,
  • Geliştirici: API'yi kullanan, yapılandıran veya entegrasyonu yöneten kişiyi,
  • Müşteri: Marfin ile abonelik ilişkisi bulunan işletmeyi,
  • Sandbox: Gerçek üretim işlemlerinden ayrılmış test ortamını,
  • Webhook: Marfin'in belirli bir olay oluştuğunda müşterinin belirlediği uç noktaya yaptığı otomatik bildirimi,
  • Kapsam: Anahtar veya tokenın erişebileceği işlem ve veri sınırını,
  • Oran Sınırı: Belirli sürede yapılabilecek istek sayısı veya kaynak tüketimi sınırını

ifade eder.


4. Şartların Kabulü

API:

  • etkinleştirildiğinde,
  • API anahtarı oluşturulduğunda,
  • geliştirici paneli kullanıldığında,
  • API'ye ilk istek gönderildiğinde

bu Şartlar kabul edilmiş sayılır.

API erişimini müşteri adına kullanan kişi:

  • müşteri adına işlem yapmaya,
  • bu Şartları kabul etmeye,
  • ilgili veri ve sistemlere erişmeye

yetkili olduğunu beyan eder.


5. API'ye Erişim

API erişimi:

  • belirli Paketlere,
  • ek ücrete,
  • kullanım kotasına,
  • teknik yeterliliğe,
  • güvenlik incelemesine,
  • ayrı Sipariş Formuna

tabi tutulabilir.

Marfin:

  • her Pakette aynı API uç noktalarını sunmak,
  • tüm özellikleri API üzerinden açmak,
  • her müşteriye aynı kota vermek

zorunda değildir.

Kesin kapsam Paket ve Özellik Matrisinde veya Sipariş Formunda gösterilir.


6. API Kimlik Bilgileri

API Anahtarı, token, istemci sırrı ve benzeri bilgiler gizlidir.

Müşteri:

  • anahtarları yalnızca yetkili sistemlerde saklar,
  • kaynak koda açık biçimde eklemez,
  • herkese açık depoya yüklemez,
  • istemci tarafı kodunda ifşa etmez,
  • e-posta veya mesajlaşma kanalıyla açık biçimde paylaşmaz,
  • çalışan ve tedarikçi erişimini sınırlar,
  • kullanılmayan anahtarları iptal eder,
  • şüpheli durumda anahtarı derhâl yeniler.

API kimlik bilgileri kişisel kullanıcı parolası gibi paylaşılmamalıdır.


7. Anahtarların Ayrılması

Müşteri mümkün olduğunca:

  • üretim,
  • test,
  • geliştirme,
  • farklı uygulama,
  • farklı müşteri ortamı

için ayrı anahtar kullanmalıdır.

Tek bir yüksek yetkili anahtarın tüm sistemlerde ortak kullanılması önerilmez.

Her anahtar:

  • belirli amaç,
  • belirli uygulama,
  • en düşük gerekli yetki,
  • uygun süre

ile sınırlandırılmalıdır.


8. Erişim Kapsamları

Marfin token veya anahtarlara farklı erişim kapsamları atayabilir.

Örnek kapsamlar:

  • yalnızca okuma,
  • kayıt oluşturma,
  • kayıt güncelleme,
  • kayıt silme,
  • fatura işlemleri,
  • banka hareketleri,
  • dosya veya belge,
  • webhook yönetimi,
  • kullanıcı ve yetki yönetimi.

Müşteri yalnızca gerekli kapsamları etkinleştirmelidir.

Yönetici veya silme yetkisi rutin okuma entegrasyonlarına verilmemelidir.


9. Yetkilendirme Kontrolleri

Entegrasyon:

  • yalnızca yetkili olduğu müşterinin,
  • yalnızca izin verilen şirketin,
  • yalnızca izin verilen kaydın,
  • yalnızca token kapsamındaki alanların

verisine erişebilir.

Kayıt kimliğinin tahmin edilebilmesi, o kayda erişim yetkisi vermez.

Müşteri ve geliştirici:

  • farklı müşterilere ait kayıtları test etmemeli,
  • URL veya nesne kimliği değiştirerek erişim denememeli,
  • rol veya fonksiyon kontrolünü aşmamalıdır.

10. OAuth ve Kullanıcı Yetkilendirmesi

OAuth veya benzeri kullanıcı onaylı erişim sunulursa entegrasyon:

  • kullanıcıyı doğru Marfin yetkilendirme ekranına yönlendirir,
  • parola veya doğrulama kodunu kendi sisteminde toplamaz,
  • istenen kapsamları açıkça gösterir,
  • yönlendirme adresini güvenli tutar,
  • state, PKCE veya uygulanabilir güvenlik mekanizmalarını kullanır,
  • tokenları güvenli saklar,
  • yetki iptalini destekler.

Müşterinin Marfin parolasını entegrasyona vermesi istenmemelidir.


11. Kimlik Bilgilerinin Ele Geçmesi

API anahtarı veya tokenın:

  • kaybolması,
  • yetkisiz kişiye açıklanması,
  • herkese açık depoda görünmesi,
  • kötüye kullanıldığından şüphelenilmesi

hâlinde müşteri:

  1. ilgili anahtarı derhâl iptal eder veya yeniler,
  2. entegrasyon loglarını inceler,
  3. yetkisiz işlemleri tespit eder,
  4. Marfin'e bildirim yapar,
  5. gerekli kullanıcı ve veri sorumlusu bildirimlerini değerlendirir.

Marfin güvenlik amacıyla riskli anahtarı önceden bildirim yapmadan iptal edebilir.


12. Oran ve Kota Sınırları

API kullanımı:

  • istek sayısı,
  • eş zamanlı bağlantı,
  • veri hacmi,
  • dosya boyutu,
  • işlenen kayıt,
  • webhook sayısı,
  • AI veya OCR tüketimi

bakımından sınırlandırılabilir.

Kesin sınırlar:

[API KOTA VE ORAN SINIRLARI BİLGİSİ TAMAMLANACAK]

olarak dokümantasyonda veya Paket Matrisinde açıklanır.

Marfin, sistem güvenliği ve kapasite yönetimi için oran sınırlarını değiştirebilir.


13. Oran Sınırına Uyum

Entegrasyon:

  • oran sınırı yanıtlarını dikkate almalı,
  • uygun geri çekilme yöntemi kullanmalı,
  • aynı isteği kontrolsüz biçimde tekrarlamamalı,
  • mümkünse önbellek ve toplu işlem kullanmalı,
  • hata hâlinde üstel bekleme uygulamalı,
  • istekleri gereksiz yere paralelleştirmemelidir.

429 veya benzeri oran sınırı yanıtı alınması, farklı anahtar veya hesaplarla sınırı aşma hakkı vermez.


14. Kaynak Tüketiminin Kötüye Kullanılması

Aşağıdaki davranışlar yasaktır:

  • gereksiz yüksek hacimli sorgu,
  • sürekli tam veri çekimi,
  • çok kısa aralıkla senkronizasyon,
  • aynı kaydı tekrar tekrar sorgulama,
  • sonsuz döngü oluşturan webhook veya API çağrısı,
  • gereksiz büyük dosya veya veri gönderimi,
  • maliyet veya hizmet engelleme amacıyla otomasyon,
  • kota aşmak için hesap veya anahtar çoğaltma.

Marfin, aşırı kullanımı yavaşlatabilir, kuyruğa alabilir veya geçici olarak durdurabilir.


15. İstek ve Veri Doğrulama

Entegrasyon, Marfin API'sine gönderdiği verilerin:

  • türünü,
  • biçimini,
  • uzunluğunu,
  • zorunlu alanlarını,
  • tarih ve para birimini,
  • iş kuralı uygunluğunu

kontrol etmelidir.

Marfin'in isteği teknik olarak kabul etmesi, içeriğin:

  • muhasebe,
  • vergi,
  • sözleşme,
  • veri koruma,
  • üçüncü kişi hakları

bakımından doğru veya hukuka uygun olduğu anlamına gelmez.


16. API Yanıtlarına Güven

Müşteri, API yanıtlarını kullanmadan önce:

  • HTTP durumunu,
  • hata kodunu,
  • sayfalama bilgisini,
  • işlem durumunu,
  • veri bütünlüğünü,
  • beklenmeyen veya boş alanları

kontrol etmelidir.

Üçüncü taraf API'lerden Marfin'e gelen veri de güvenilir kullanıcı girdisi gibi doğrulanmalıdır.

Entegrasyon, API'den gelen veriyi kontrolsüz biçimde:

  • SQL sorgusuna,
  • HTML çıktısına,
  • komut satırına,
  • dosya yoluna,
  • başka API isteğine

aktarmamalıdır.


17. İdempotency ve Tekrarlanan İşlemler

Ödeme, fatura, kayıt oluşturma veya benzeri işlemlerde tekrar eden istekler mükerrer kayıt veya işlem doğurabilir.

Marfin destekliyorsa entegrasyon:

  • idempotency anahtarı,
  • benzersiz işlem referansı,
  • önceki işlem durumu sorgusu

kullanmalıdır.

Ağ hatası alınması, işlemin kesin olarak gerçekleşmediği anlamına gelmez.

Aynı işlem yeniden gönderilmeden önce durumu kontrol edilmelidir.


18. Sayfalama ve Toplu İşlemler

Büyük veri listelerinde:

  • sayfalama,
  • tarih aralığı,
  • değişiklik zamanı,
  • cursor veya devam tokenı

kullanılmalıdır.

Tüm verinin sürekli yeniden çekilmesi yerine artımlı senkronizasyon tercih edilmelidir.

Toplu işlemlerde:

  • işlem limiti,
  • kısmi başarı,
  • hata listesi,
  • yeniden deneme

davranışı kontrol edilmelidir.


19. Webhook Kullanımı

Webhooklar belirli olaylarda müşterinin tanımladığı uç noktaya bildirim gönderebilir.

Örnek olaylar:

  • fatura oluşturma veya durum değişikliği,
  • ödeme sonucu,
  • banka hareketi,
  • belge işleme sonucu,
  • entegrasyon hatası,
  • abonelik değişikliği.

Webhook teslimi, ilgili iş sürecinin tek ve kesin kayıt kaynağı olarak kullanılmamalıdır.

Entegrasyon gerektiğinde API üzerinden güncel durumu doğrulamalıdır.


20. Webhook Güvenliği

Müşteri webhook uç noktasında:

  • HTTPS kullanmalı,
  • imza veya gizli anahtarı doğrulamalı,
  • zaman damgasını kontrol etmeli,
  • tekrar oynatma saldırısına karşı önlem almalı,
  • kaynak IP'ye tek başına güvenmemeli,
  • payload boyutunu sınırlandırmalı,
  • gelen veriyi doğrulamalı,
  • loglarda hassas veriyi maskelemelidir.

Webhook imza yöntemi:

[WEBHOOK İMZA VE DOĞRULAMA YÖNTEMİ BİLGİSİ TAMAMLANACAK]

olarak teknik dokümantasyonda gösterilir.


21. Webhook Teslimi ve Yeniden Deneme

Marfin başarısız webhook teslimlerini belirli sayıda yeniden deneyebilir.

Taslak yeniden deneme yaklaşımı:
[SAYI, ARALIK VE TOPLAM SÜRE TAMAMLANACAK]

Webhook alıcısı:

  • başarılı kabulde uygun HTTP yanıtı vermeli,
  • işlemi hızlı biçimde kabul edip ağır işi kuyrukta yürütmeli,
  • aynı olayın birden fazla kez gelebileceğini varsaymalı,
  • olay kimliğine göre mükerrer işlem kontrolü yapmalıdır.

Marfin her webhookun kesin olarak teslim edileceğini garanti etmez.


22. Webhook Sırlarının Yenilenmesi

Müşteri:

  • webhook sırrını güvenli saklar,
  • şüpheli durumda yeniler,
  • eski sırrın geçiş süresini yönetir,
  • üretim ve test ortamları için farklı sır kullanır.

Marfin güvenlik nedeniyle webhook sırrını veya teslimatı geçici olarak devre dışı bırakabilir.


23. Sandbox ve Test Ortamı

Sandbox:

  • üretimden ayrı,
  • gerçek işlem oluşturmayan,
  • sınırlı veya temsili veri kullanan

test ortamıdır.

Sandbox:

  • üretimle aynı performans ve özellikleri sunmayabilir,
  • sıfırlanabilir,
  • önceden bildirim olmadan değiştirilebilir,
  • standart SLA kapsamı dışında olabilir.

Müşteri sandbox ortamına gerçek ve gereksiz kişisel veri yüklememelidir.


24. Test Verileri

Test ortamında:

  • yapay,
  • anonim,
  • maskelenmiş,
  • takma adlandırılmış

veriler tercih edilmelidir.

Gerçek müşteri veya çalışan verisinin testte kullanılması gerekiyorsa:

  • hukuki sebep,
  • güvenlik,
  • erişim,
  • kısa saklama süresi,
  • test sonu silme

sağlanmalıdır.


25. Üretim Erişimi

Üretim API erişimi:

  • entegrasyon testinin tamamlanması,
  • müşteri yetkisinin doğrulanması,
  • güvenlik gereksinimlerine uyum,
  • gerekli sözleşme ve ücretlerin tamamlanması

sonrasında etkinleştirilebilir.

Marfin, yüksek riskli entegrasyon için ek teknik bilgi veya güvenlik değerlendirmesi isteyebilir.


26. Veri Koruma Rolleri

API aracılığıyla kişisel veri işlenmesinde rol somut işlemeye göre belirlenir.

Genel olarak:

  • müşteri kendi çalışanı, müşterisi veya tedarikçisi verilerinde veri sorumlusu,
  • Marfin müşteri talimatıyla hizmet sunarken veri işleyen,
  • entegrasyon sağlayıcısı alt işleyen veya bağımsız veri sorumlusu

olabilir.

Rol, yalnızca tarafların verdiği isimle değil gerçek veri kullanımıyla belirlenir.


27. Müşterinin Veri Koruma Yükümlülükleri

Müşteri:

  • API ile çektiği ve gönderdiği veriler için hukuki sebebi belirler,
  • ilgili kişileri aydınlatır,
  • gerekli izinleri alır,
  • yalnızca gerekli veriyi işler,
  • kullanıcı erişimlerini yönetir,
  • saklama ve silme sürelerini uygular,
  • kendi sisteminde uygun güvenliği sağlar,
  • veri ihlalini gerektiğinde bildirir.

Marfin API'sinin teknik olarak veri sağlaması, müşterinin bu yükümlülüklerini ortadan kaldırmaz.


28. Veri Minimizasyonu

Entegrasyon:

  • yalnızca gerekli uç noktaları,
  • yalnızca gerekli alanları,
  • yalnızca gerekli tarih aralığını,
  • yalnızca yetkili kullanıcı verisini

işlemelidir.

Tüm müşteri verisini "ileride gerekebilir" gerekçesiyle sürekli kopyalamak uygun değildir.

Dokümantasyon alan seçimi veya kapsam filtreleme sunuyorsa bunlar kullanılmalıdır.


29. Verilerin Müşteri Sisteminde Saklanması

Müşteri API'den aldığı verilerin:

  • nerede saklandığını,
  • kimlerin erişebildiğini,
  • ne kadar süre tutulduğunu,
  • üçüncü taraflara aktarılıp aktarılmadığını

kontrol eder.

Aboneliğin sona ermesi, müşterinin kendi sistemine daha önce aktardığı verileri otomatik olarak silmez.

Müşteri kendi saklama ve imha yükümlülüklerinden sorumludur.


30. Yurt Dışına Veri Aktarımı

API entegrasyonu nedeniyle veri yurt dışındaki:

  • sunucuya,
  • uygulamaya,
  • geliştirici ekibine,
  • alt hizmet sağlayıcısına

aktarılıyorsa müşteri geçerli aktarım mekanizmasını sağlamalıdır.

Marfin'in kendi yurt dışı Alt İşleyenleri ayrı Yurt Dışına Veri Aktarım Ekinde açıklanır.

Müşterinin kendi entegrasyon mimarisiyle oluşturduğu yurt dışı aktarım, aksi yazılı kararlaştırılmadıkça müşterinin sorumluluğundadır.


31. Özel Nitelikli ve Hassas Veriler

API, özel nitelikli kişisel veri işlemek amacıyla tasarlanmamış olabilir.

Müşteri:

  • özel nitelikli veri alanlarını önceden belirlemeli,
  • gerekli hukuki şart ve ek tedbirleri uygulamalı,
  • gereksiz veriyi aktarmamalı,
  • log ve hata mesajlarında hassas içeriği maskelemelidir.

Parola, tam kart bilgisi, CVV, özel anahtar ve erişim sırrı API veri alanlarında tutulmamalıdır.


32. Loglama ve İzleme

Marfin güvenlik ve hizmet yönetimi için aşağıdaki API kayıtlarını tutabilir:

  • müşteri ve anahtar kimliği,
  • uç nokta,
  • istek zamanı,
  • yanıt durumu,
  • IP ve teknik istemci bilgisi,
  • işlem miktarı,
  • hata ve güvenlik işaretleri.

Tam istek ve yanıt içeriği yalnızca gerekli olduğunda ve sınırlı süreyle loglanmalıdır.

API log saklama süresi:
[BİLGİ TAMAMLANACAK]


33. Müşteri Logları

Müşteri entegrasyonunda:

  • benzersiz işlem referansı,
  • tarih-saat,
  • durum kodu,
  • hata mesajı,
  • yeniden deneme bilgisi

tutmalıdır.

Loglarda:

  • API anahtarı,
  • tam token,
  • parola,
  • tam kart verisi,
  • gereksiz belge veya kişisel veri

bulunmamalıdır.


34. Yasaklı Kullanımlar

Aşağıdaki kullanımlar yasaktır:

  • yetkisiz veriye erişmek,
  • başka müşteri kimliğini denemek,
  • oran sınırını aşmak,
  • veri kazıma veya veri ticareti yapmak,
  • API anahtarını satmak veya açık paylaşmak,
  • güvenlik kontrolünü aşmak,
  • sahte fatura veya işlem üretmek,
  • dolandırıcılık yapmak,
  • zararlı yazılım veya saldırı yürütmek,
  • Marfin API'sini yanıltıcı biçimde taklit etmek,
  • API'yi rakip ürünün izinsiz sistematik kopyası için kullanmak,
  • üçüncü kişi haklarını ihlal etmek,
  • hukuka aykırı ileti veya profilleme yapmak.

Kabul Edilebilir Kullanım Politikası API kullanımına da uygulanır.


35. Tersine Mühendislik ve Tarama

Emredici hukuk dışında kullanıcı:

  • API'nin iç yapısını yetkisiz çözümlemeye,
  • gizli veya belgelenmemiş uç noktaları keşfetmeye,
  • güvenlik taraması yapmaya,
  • üretim sisteminde yük veya sızma testi gerçekleştirmeye,
  • hata mesajlarından yetkisiz veri çıkarmaya

çalışamaz.

Güvenlik testi için Marfin'in önceden yazılı izni gerekir.


36. API Dokümantasyonu

Marfin:

  • uç noktaları,
  • parametreleri,
  • örnekleri,
  • hata kodlarını,
  • sürüm notlarını

dokümantasyonda yayımlamayı hedefler.

Dokümantasyondaki örnek kodlar:

  • garanti verilmeden,
  • yalnızca açıklama amacıyla,
  • müşterinin kendi güvenlik ve hata kontrollerini eklemesi şartıyla

sunulur.

Örnek kodun doğrudan üretimde kullanılması müşterinin sorumluluğundadır.


37. SDK ve İstemci Kütüphaneleri

Marfin SDK sunarsa:

  • belirli dil ve sürümleri destekleyebilir,
  • eski sürümlere desteği sonlandırabilir,
  • güvenlik güncellemesi yayımlayabilir.

Müşteri güncel ve desteklenen sürümü kullanmalıdır.

Üçüncü kişilerce geliştirilen kütüphaneler Marfin tarafından onaylanmış sayılmaz.


38. API Sürümleri

API sürümleri URL, başlık veya başka yöntemle ayrılabilir.

Örnek:

/v1/
/v2/

Marfin:

  • yeni sürüm çıkarabilir,
  • eski sürümü kullanımdan kaldırabilir,
  • güvenlik veya hukuki nedenle acil değişiklik yapabilir.

Aktif sürümler ve kullanımdan kaldırma tarihleri dokümantasyonda gösterilir.


39. Geriye Uyumluluk

Marfin aynı ana sürüm içinde mümkün olduğunca geriye uyumluluğu korumayı hedefler.

Ancak:

  • güvenlik açığı,
  • mevzuat,
  • üçüncü taraf değişikliği,
  • ciddi sistem riski

nedeniyle uyumsuz değişiklik yapılabilir.

Müşteri yalnızca belgelenmemiş davranışlara güvenmemelidir.


40. Kullanımdan Kaldırma Bildirimi

Normal koşullarda önemli bir API sürümünün veya uç noktanın kaldırılması için hedef ön bildirim:

En az 90 gün

olarak planlanabilir.

Kesin süre:

[ÜRÜN VE OPERASYON TARAFINDAN DOĞRULANACAK]

Güvenlik, hukuki zorunluluk veya üçüncü tarafın ani sonlandırması hâlinde daha kısa süre uygulanabilir.

Bildirim:

  • e-posta,
  • geliştirici paneli,
  • dokümantasyon,
  • sürüm notu

üzerinden yapılabilir.


41. Değişikliklere Uyum

Müşteri:

  • sürüm duyurularını takip eder,
  • test ortamında uyumluluk kontrolü yapar,
  • entegrasyonunu süresinde günceller,
  • kaldırılan uç noktaları kullanmayı bırakır.

Eski sürüm sonlandırıldıktan sonra çalışmaya devam edeceği garanti edilmez.


42. Üçüncü Taraf API ve Entegrasyonlar

Marfin'in sunduğu bazı API işlevleri:

  • banka,
  • e-dönüşüm,
  • pazaryeri,
  • ödeme,
  • AI,
  • e-posta

sağlayıcılarına bağlı olabilir.

Üçüncü taraf:

  • API'sini değiştirebilir,
  • kota uygulayabilir,
  • erişimi kesebilir,
  • veri biçimini değiştirebilir.

Marfin üçüncü taraf API'sini tam olarak kontrol etmez.

Bu tür değişiklikler Marfin API davranışını etkileyebilir.


43. Destek

Standart API desteği:

  • dokümantasyon,
  • hata bildirimi,
  • mevcut uç noktalarla ilgili teknik açıklama,
  • doğrulanabilir Marfin kaynaklı hata incelemesi

kapsamında sunulur.

Aşağıdakiler standart desteğe dâhil değildir:

  • müşteri adına entegrasyon yazma,
  • müşterinin kodunu inceleme,
  • üçüncü taraf yazılım sorununu çözme,
  • özel veri dönüşümü,
  • mimari danışmanlık,
  • sınırsız test desteği.

Bu hizmetler ayrıca tekliflendirilebilir.


44. Hata Bildirimi

API hata bildiriminde aşağıdaki bilgiler sağlanmalıdır:

  • müşteri ve entegrasyon adı,
  • ortam,
  • uç nokta,
  • tarih ve saat,
  • istek veya işlem kimliği,
  • HTTP durumu,
  • Marfin hata kodu,
  • beklenen ve gerçekleşen davranış,
  • maskelenmiş örnek veri.

API anahtarı, tam token veya gereksiz kişisel veri destek talebine eklenmemelidir.


45. SLA

API erişilebilirliği, aksi özel Sipariş Formunda belirtilmedikçe genel SLA ve Destek Politikasına tabidir.

Aşağıdaki durumlar API kesintisi sayılmayabilir:

  • oran sınırı,
  • müşterinin hatalı isteği,
  • geçersiz veya süresi dolmuş token,
  • üçüncü taraf API kesintisi,
  • eski ve desteklenmeyen sürüm,
  • sandbox kesintisi,
  • güvenlik nedeniyle engelleme.

46. Askıya Alma ve İptal

Marfin aşağıdaki durumlarda API erişimini geçici veya kalıcı olarak durdurabilir:

  • güvenlik riski,
  • anahtar sızıntısı,
  • yetkisiz erişim,
  • aşırı kaynak tüketimi,
  • dolandırıcılık,
  • yasaklı kullanım,
  • ödeme gecikmesi,
  • sözleşme veya kota ihlali,
  • yetkili makam talebi.

Acil durum dışında müşteriye bildirim ve ihlali giderme fırsatı verilmesi hedeflenir.


47. Sözleşme Sonu

Abonelik veya API erişimi sona erdiğinde:

  • API anahtarları iptal edilir,
  • tokenlar geçersiz hâle getirilir,
  • webhook teslimi durdurulur,
  • yeni veri erişimi kapanır.

Müşterinin kendi sistemine daha önce aktardığı veriler otomatik silinmez.

Müşteri kendi veri saklama ve imha yükümlülüklerini yerine getirir.


48. Ücretlendirme

API kullanımı:

  • Pakete dâhil,
  • belirli kota dâhilinde,
  • kullanım başına,
  • ek Paket veya Sipariş Formuyla

ücretlendirilebilir.

Kesin fiyatlandırma:

[API FİYATLANDIRMA MODELİ BİLGİSİ TAMAMLANACAK]

olarak Fiyatlandırma Kurallarında gösterilir.

Üçüncü taraf API, SMS, AI, OCR veya e-belge maliyetleri ayrıca yansıtılabilir.


49. Kullanım Ölçümü

Faturalandırma ve kota ölçümünde Marfin sistem kayıtları esas alınabilir.

Müşteri, olağan dışı kullanım veya ölçüm itirazını makul süre içinde bildirmelidir.

İtiraz süresi:
[BİLGİ TAMAMLANACAK]

Mükerrer veya hatalı ölçüm doğrulanırsa kayıt ve tahsilat düzeltilir.


50. Fikri Mülkiyet

API, dokümantasyon, SDK, örnek kod ve Marfin markaları üzerindeki haklar Marfin'e veya ilgili hak sahibine aittir.

Müşteriye:

  • sözleşme süresince,
  • devredilemez,
  • münhasır olmayan,
  • yalnızca kendi iş süreçleri için

sınırlı kullanım hakkı verilir.

Bu hak API'yi yeniden satma veya bağımsız bir hizmet gibi sunma yetkisi vermez.


51. Yeniden Satış ve Alt Lisans

Marfin API'sini:

  • başka müşterilere yeniden satmak,
  • beyaz etiketli hizmette kullanmak,
  • alt lisans vermek,
  • ticari entegrasyon ürünü sunmak

ayrı yazılı iş ortaklığı veya çözüm ortağı sözleşmesi gerektirebilir.

Müşterinin yalnızca kendi iç sistemlerini bağlaması yeniden satış sayılmaz.


52. Gizlilik

Taraflar API üzerinden eriştikleri:

  • teknik dokümantasyon,
  • gizli uç nokta,
  • anahtar ve token,
  • müşteri verisi,
  • ticari bilgi

bakımından gizlilik yükümlülüklerine uyar.

Gizli bilgiler yalnızca hizmetin kullanılması için gerekli kişilere açıklanabilir.


53. Sorumluluk

Marfin:

  • API'nin her zaman kesintisiz olacağını,
  • her üçüncü taraf sistemle uyumlu olacağını,
  • tüm belgelenmemiş kullanımları destekleyeceğini,
  • müşteri kodunun hatasız olduğunu

garanti etmez.

Müşteri:

  • entegrasyon kodu,
  • veri eşleştirme,
  • tekrar deneme,
  • kullanıcı yetkisi,
  • kendi güvenliği,
  • API verisinin nihai kullanımından

sorumludur.

Ana Sözleşmedeki sorumluluk sınırları bu Şartlara uygulanır.


54. Tazmin

Müşteri, kusuru ölçüsünde:

  • yetkisiz veri erişimi,
  • hukuka aykırı veri aktarımı,
  • API anahtarı ihmali,
  • yasaklı kullanım,
  • üçüncü kişi hak ihlali

nedeniyle Marfin'in maruz kaldığı talep, zarar ve makul giderlerden sorumlu olabilir.


55. Güvenlik Açığı Bildirimi

API'de güvenlik açığı tespit eden kişi:

  • veriye gereksiz erişim sağlamamalı,
  • üretim verisini indirmemeli,
  • hizmeti aksatmamalı,
  • bulguyu gecikmeksizin bildirmeli,
  • kamuya açıklamadan önce Marfin'e düzeltme imkânı vermelidir.

Güvenlik e-postası:
[GÜVENLİK İLETİŞİM E-POSTASI BİLGİSİ TAMAMLANACAK]

Ayrıntılar Güvenlik Açığı Bildirim Politikasında düzenlenir.


56. Değişiklikler

Marfin bu Şartları:

  • yeni API özelliği,
  • güvenlik gereksinimi,
  • kota ve fiyatlandırma,
  • üçüncü taraf değişikliği,
  • mevzuat

nedeniyle güncelleyebilir.

Esaslı değişiklikler makul süre önce bildirilebilir.

Müşteriye özel sabit API taahhütleri yalnızca Sipariş Formunda açıkça kararlaştırılır.


57. İletişim

API kullanımı ve teknik talepler için:

E-posta: info@marfin.com.tr
API destek: [API DESTEK E-POSTASI BİLGİSİ TAMAMLANACAK]
Güvenlik: [GÜVENLİK İLETİŞİM E-POSTASI BİLGİSİ TAMAMLANACAK]
Telefon: +90 (532) 420 66 35
Adres: Mevlana Mah. Yunus Emre Cad. No: 60 İç Kapı No: A, Gebze/Kocaeli


58. Yayın Öncesi Kontrol Listesi

  • API türü ve temel URL kesinleştirildi.
  • Kimlik doğrulama yöntemi belirlendi.
  • API anahtarı ve OAuth kapsamları belirlendi.
  • Üretim/test anahtarı ayrımı uygulandı.
  • Anahtar yenileme ve iptal akışı test edildi.
  • Nesne ve fonksiyon bazlı yetki kontrolleri test edildi.
  • Oran ve kota sınırları belirlendi.
  • 429 ve geri çekilme davranışı dokümante edildi.
  • Idempotency desteği ve uygulanacak uç noktalar belirlendi.
  • Sayfalama ve artımlı senkronizasyon yöntemi belirlendi.
  • Webhook imza yöntemi oluşturuldu.
  • Webhook tekrar oynatma koruması test edildi.
  • Webhook yeniden deneme takvimi belirlendi.
  • Sandbox gerçek veriden ayrıldı.
  • Test verisi ve sıfırlama kuralları belirlendi.
  • API log alanları ve saklama süresi belirlendi.
  • Loglarda anahtar, token ve hassas veri maskelendi.
  • API sürüm ve kaldırma politikası kesinleştirildi.
  • Kaldırma ön bildirim hedefi doğrulandı.
  • API fiyatlandırma ve ölçüm modeli belirlendi.
  • Kullanım itiraz süresi belirlendi.
  • API destek e-postası oluşturuldu.
  • Güvenlik bildirim kanalı oluşturuldu.
  • Veri koruma rolleri ve DPA'yla uyum doğrulandı.
  • Yurt dışına aktarım etkileri değerlendirildi.
  • Kabul Edilebilir Kullanım Politikasıyla yasaklar eşleştirildi.
  • SLA Politikasıyla erişilebilirlik hükümleri eşleştirildi.
  • Hukukçu incelemesi tamamlandı.
  • Güvenlik testi tamamlandı.
  • Teknik dokümantasyon yayımlandı.
  • Yürürlük tarihi eklendi.
  • Placeholder alanlar dolduruldu.
  • İç kontrol listesi yayımlanan sürümden ayrıldı.

59. İlgili Belgeler

  • B2B Kullanıcı ve Abonelik Sözleşmesi
  • SLA ve Destek Politikası
  • Kabul Edilebilir Kullanım Politikası
  • Üçüncü Taraf Entegrasyon Politikası
  • Veri İşleme Sözleşmesi (DPA)
  • Alt İşleyenler Listesi
  • Yurt Dışına Veri Aktarım Eki
  • Bilgi Güvenliği Politikası
  • Güvenlik Açığı Bildirim Politikası
  • API Limitleri ve Kotalar

BELGE SONU

Bu belge, Marfin Hukuki Dokümantasyon Projesi kapsamında hazırlanmıştır.

Yayın durumu: Taslak
API mimarisi doğrulaması: Bekleniyor
Kota ve fiyatlandırma doğrulaması: Bekleniyor
Güvenlik testi: Bekleniyor
Hukukçu onayı: Bekleniyor
Yürürlük tarihi: [BİLGİ TAMAMLANACAK]