← Ana sayfa

Gizlilik Politikası

Son güncelleme:

Kısa Özet

Marfin, işletmeler için web ve mobil tabanlı finans ve ön muhasebe hizmetleri sunan bir B2B SaaS Platformudur.

Bu Politikanın temel mesajları şunlardır:

  • Hesap, abonelik, ödeme, destek ve Platform güvenliği için gerekli verileri işleriz.
  • Müşterilerin Platforma yüklediği çalışan, müşteri, tedarikçi ve benzeri üçüncü kişi verilerinde kural olarak müşterinin talimatıyla hareket ederiz.
  • Verileri üçüncü kişilere satmayız.
  • Ödeme kartı bilgilerini doğrudan saklamamayı ve ödemeleri yetkili ödeme hizmeti sağlayıcıları üzerinden yürütmeyi hedefleriz.
  • AI ve OCR özelliklerinde yalnızca talebi yerine getirmek için gerekli verileri işlemeyi amaçlarız.
  • AI ve OCR çıktıları hatalı olabilir; kullanıcı kontrolü gerekir.
  • Bulut, güvenlik ve AI hizmetleri nedeniyle kişisel veriler yurt dışına aktarılabilir. Bu aktarımlar yürürlükteki mevzuata uygun mekanizmalarla gerçekleştirilmelidir.
  • Hesap kapandıktan sonra kullanıcıya kural olarak 60 günlük veri erişim ve dışa aktarım süresi verilmesi planlanmaktadır.
  • Yasal saklama zorunluluğu olmayan veriler süre sonunda silinir, yok edilir veya anonim hâle getirilir.
  • Kişisel verilerinizle ilgili haklarınızı kullanmak için Marfin’e başvurabilirsiniz.

Ayrıntılı hükümler aşağıda yer almaktadır.


1. Politikanın Amacı

Bu Gizlilik Politikası, Marfin’in:

  • hangi kişisel verileri toplayabildiğini,
  • bu verileri neden kullandığını,
  • verileri nasıl topladığını,
  • kimlerle paylaşabildiğini,
  • yurt dışına veri aktarımının hangi durumlarda ortaya çıkabileceğini,
  • verileri ne kadar süre sakladığını,
  • güvenlik için hangi yaklaşımı benimsediğini,
  • kullanıcıların hangi hak ve seçeneklere sahip olduğunu

anlaşılır bir dille açıklamak amacıyla hazırlanmıştır.

Bu Politika, Marfin web sitesi, web uygulaması, mobil uygulaması, API’leri, destek kanalları ve bağlantılı hizmetler için genel gizlilik açıklamasıdır.


2. Marfin Hakkında

Marfin, 1453 İstanbul Gıda San. ve Tic. Ltd. Şti. tarafından sunulan bir finans ve ön muhasebe Platformudur.

Ticari unvan: 1453 İstanbul Gıda San. ve Tic. Ltd. Şti.
Marka / uygulama adı: Marfin
MERSİS No: 0001192249400001
Vergi Kimlik No: 0011922494
Vergi Dairesi: İlyasbey Vergi Dairesi
Adres: Mevlana Mah. Yunus Emre Cad. No: 60 İç Kapı No: A, Gebze/Kocaeli
Telefon: +90 (532) 420 66 35
E-posta: info@marfin.com.tr
Web sitesi: https://www.marfin.com.tr
KEP adresi: [KEP ADRESİ VARSA EKLENECEKTİR]

Bu Politikada 1453 İstanbul Gıda San. ve Tic. Ltd. Şti. kısaca “Marfin”, “biz” veya “şirketimiz” olarak anılır.


3. Politikanın Kapsamı

Bu Politika özellikle aşağıdaki hizmet ve temas noktalarını kapsar:

  • Marfin web sitesi,
  • Marfin web uygulaması,
  • Marfin mobil uygulaması,
  • kayıt ve ücretsiz deneme süreçleri,
  • aylık ve yıllık abonelikler,
  • müşteri destek kanalları,
  • e-posta, telefon, WhatsApp ve uygulama içi iletişim,
  • ödeme ve faturalandırma süreçleri,
  • API ve webhook hizmetleri,
  • AI ve OCR özellikleri,
  • banka, e-dönüşüm ve pazaryeri entegrasyonları,
  • güvenlik, loglama ve hata izleme işlemleri,
  • ürün analitiği ve çerezler.

Aşağıdaki faaliyetler için ayrı politika veya aydınlatma metni hazırlanabilir:

  • çalışan ve aday çalışan süreçleri,
  • fiziksel ziyaretçi ve kamera kayıtları,
  • etkinlik ve organizasyon katılımcıları,
  • müşteri referansı veya başarı hikâyesi çalışmaları,
  • ileride bireysel tüketicilere sunulabilecek hizmetler.

4. Bu Politikanın Hukuki Niteliği

Bu Gizlilik Politikası, kullanıcı dostu genel açıklama metnidir.

Bu Politika:

  • KVKK Aydınlatma Metninin,
  • Marfin B2B Kullanıcı ve Abonelik Sözleşmesinin,
  • Veri İşleme Sözleşmesinin (DPA),
  • Çerez Politikasının,
  • açık rıza veya ticari ileti onaylarının

yerine geçmez.

Bir konuda farklı belgelerde farklı ayrıntı seviyeleri bulunabilir. Belge önceliği, ilgili sözleşmede veya politikada belirtilen kurallara göre belirlenir.


5. Veri Sorumlusu ve Veri İşleyen Rollerimiz

Marfin’in kişisel veriler bakımından rolü, verinin neden ve kimin talimatıyla işlendiğine göre değişebilir.

5.1. Marfin’in Veri Sorumlusu Olduğu Durumlar

Aşağıdaki işlemlerde Marfin kural olarak verilerin işlenme amaç ve temel yöntemlerini kendisi belirler:

  • hesap oluşturma,
  • kimlik ve yetki doğrulama,
  • abonelik ve Paket yönetimi,
  • ödeme, faturalandırma ve tahsilat,
  • destek ve şikâyet yönetimi,
  • güvenlik, loglama ve suistimal önleme,
  • yasal yükümlülüklerin yerine getirilmesi,
  • sözleşmenin ve elektronik onayın ispatı,
  • ürün analitiği,
  • izinli pazarlama faaliyetleri.

Bu işlemlerde Marfin veri sorumlusu olarak hareket eder.

5.2. Marfin’in Veri İşleyen Olduğu Durumlar

Kurumsal müşteriler Platforma kendi:

  • çalışanlarının,
  • müşterilerinin,
  • tedarikçilerinin,
  • fatura muhataplarının,
  • cari hesap kişilerinin,
  • iş ortaklarının

verilerini yükleyebilir.

Bu durumda kural olarak:

  • kurumsal müşteri veri sorumlusu,
  • Marfin müşterinin talimatıyla hareket eden veri işleyen

konumunda olabilir.

Bu işlemler Veri İşleme Sözleşmesinde düzenlenir.

5.3. Neden Bu Ayrım Önemlidir?

Veri sorumlusu:

  • işleme amacını,
  • hukuki sebebi,
  • aydınlatma yöntemini,
  • saklama gereksinimini

belirleyen taraftır.

Marfin yalnızca müşterinin talimatıyla veri işliyorsa, ilgili kişinin asıl başvuru muhatabı çoğunlukla ilgili kurumsal müşteridir.


6. Kimlerin Verilerini İşleyebiliriz?

Marfin aşağıdaki kişi gruplarına ait verileri işleyebilir:

  • gerçek kişi tacirler,
  • serbest meslek erbapları,
  • şahıs işletmesi sahipleri,
  • müşteri şirketlerin ortakları ve yöneticileri,
  • şirket temsilcileri ve irtibat kişileri,
  • Yetkili Kullanıcılar,
  • mali müşavirler ve danışmanlar,
  • potansiyel müşteriler,
  • demo veya teklif talep eden kişiler,
  • destek başvurusu sahipleri,
  • web sitesi ve uygulama ziyaretçileri,
  • tedarikçi ve iş ortağı temsilcileri,
  • ticari ileti izni veren kişiler,
  • KVKK başvurusu sahipleri.

Müşterilerin Platforma yüklediği veriler kapsamında ayrıca:

  • çalışanlar,
  • müşteriler,
  • potansiyel müşteriler,
  • tedarikçiler,
  • cari hesap yetkilileri,
  • fatura alıcıları ve göndericileri,
  • teslimat kişileri

gibi üçüncü kişilere ait veriler işlenebilir.


7. Hangi Verileri Toplayabiliriz?

Topladığımız veri, kullandığınız özelliğe ve Marfin ile ilişkinize göre değişir.

7.1. Kimlik Bilgileri

  • ad ve soyadı,
  • kullanıcı adı,
  • temsil ve yetki bilgisi,
  • imza bilgisi,
  • gerekli olduğu durumlarda doğum tarihi,
  • mevzuat veya kimlik doğrulama gerektiriyorsa T.C. kimlik numarası veya yabancı kimlik bilgisi.

7.2. İletişim Bilgileri

  • e-posta adresi,
  • telefon numarası,
  • iş veya fatura adresi,
  • KEP adresi,
  • tercih edilen iletişim kanalı.

7.3. Şirket ve Mesleki Bilgiler

  • ticari unvan,
  • vergi numarası,
  • vergi dairesi,
  • MERSİS ve ticaret sicili bilgileri,
  • şirket türü,
  • sektör,
  • görev ve unvan,
  • yetki ve temsil bilgileri,
  • mali müşavir ilişkisi.

7.4. Hesap ve Abonelik Bilgileri

  • müşteri ve hesap numarası,
  • seçilen Paket,
  • ücretsiz deneme bilgileri,
  • aylık veya yıllık abonelik,
  • Paket değişiklikleri,
  • yenileme tercihleri,
  • iptal ve kapanış kayıtları,
  • sözleşme sürümü ve elektronik kabul kayıtları.

7.5. Finans ve Ödeme Bilgileri

  • abonelik tutarı,
  • fatura ve dekont bilgileri,
  • tahsilat durumu,
  • ödeme sağlayıcısı işlem referansı,
  • maskelenmiş kart bilgisi,
  • iade ve ters ibraz kayıtları,
  • ödeme hata veya ret bilgisi.

7.6. Platform Kullanım Bilgileri

  • kullanılan modül ve özellikler,
  • oturum süresi,
  • tıklama ve ekran geçişleri,
  • dil ve bölge ayarları,
  • kullanım sıklığı,
  • özellik etkileşimleri,
  • teknik performans bilgileri.

7.7. İşlem Güvenliği Bilgileri

  • IP adresi,
  • giriş ve çıkış zamanı,
  • cihaz ve tarayıcı bilgisi,
  • işletim sistemi,
  • başarısız giriş denemeleri,
  • oturum ve doğrulama kayıtları,
  • rol ve yetki değişiklikleri,
  • kullanıcı ve işlem logları,
  • API ve entegrasyon logları,
  • güvenlik uyarıları.

7.8. Destek ve İletişim Bilgileri

  • destek talebi içeriği,
  • e-posta ve mesaj yazışmaları,
  • telefon veya toplantı notları,
  • ekran görüntüleri,
  • kullanıcının destek için gönderdiği belgeler,
  • çözüm ve işlem geçmişi,
  • geri bildirim ve memnuniyet verileri.

7.9. Çerez ve Analitik Bilgileri

  • çerez kimliği,
  • cihaz tanımlayıcısı,
  • oturum bilgisi,
  • yönlendirme kaynağı,
  • kampanya etkileşimi,
  • sayfa ve özellik kullanım verisi,
  • performans ve hata verisi.

7.10. AI ve OCR Bilgileri

  • kullanıcı istemleri ve soruları,
  • seçilen finansal kayıt veya rapor bağlamı,
  • yüklenen belge ve görüntüler,
  • OCR ile çıkarılan metin,
  • AI yanıt, öneri ve sınıflandırmaları,
  • model ve işlem bilgisi,
  • kullanıcı geri bildirimleri,
  • hata ve güvenlik kayıtları.

7.11. Müşteri Verisi

Müşterinin Platforma yüklediği:

  • cari hesap kayıtları,
  • müşteri ve tedarikçi bilgileri,
  • faturalar,
  • teklif ve siparişler,
  • banka hareketleri,
  • gelir ve gider kayıtları,
  • sözleşmeler,
  • ürün ve stok bilgileri,
  • serbest metin notları,
  • eklenen belgeler

kişisel veri içerebilir.

Bu verilerin kapsamını esas olarak müşteri belirler.


8. Verileri Hangi Amaçlarla Kullanırız?

Kişisel verileri aşağıdaki amaçlarla kullanabiliriz:

8.1. Hesap ve Hizmet Sunumu

  • hesap oluşturmak,
  • kullanıcıyı doğrulamak,
  • Yetkili Kullanıcıları yönetmek,
  • seçilen Paketi sunmak,
  • Platform özelliklerini çalıştırmak,
  • abonelik ve deneme sürecini yönetmek.

8.2. Finansal ve Ticari İşlemler

  • fatura oluşturmak,
  • ödeme ve tahsilatı takip etmek,
  • muhasebe kayıtlarını yürütmek,
  • mükerrer veya hatalı işlemleri incelemek,
  • iptal ve iade taleplerini yönetmek.

8.3. Destek ve İletişim

  • soruları yanıtlamak,
  • teknik destek sağlamak,
  • hata ve şikâyetleri çözmek,
  • hizmet değişikliklerini bildirmek,
  • güvenlik ve hesap bildirimleri göndermek.

8.4. Güvenlik

  • yetkisiz erişimi önlemek,
  • dolandırıcılık ve kötüye kullanımı tespit etmek,
  • şüpheli işlemleri incelemek,
  • sistem ve hesap güvenliğini sağlamak,
  • güvenlik olaylarına müdahale etmek,
  • delil ve logları korumak.

8.5. Ürün Geliştirme

  • performansı ölçmek,
  • hata gidermek,
  • kullanım eğilimlerini anlamak,
  • kullanıcı deneyimini iyileştirmek,
  • kapasite planlamak,
  • yeni özellikleri değerlendirmek.

8.6. AI ve OCR Hizmeti

  • kullanıcı sorusuna yanıt üretmek,
  • belge alanlarını çıkarmak,
  • rapor ve kayıtları özetlemek,
  • sınıflandırma ve analiz yapmak,
  • kullanıcıya finansal veya operasyonel öneri sunmak.

8.7. Entegrasyonlar

  • banka ve açık bankacılık verilerini aktarmak,
  • e-Fatura ve e-Arşiv süreçlerini yürütmek,
  • pazaryeri sipariş ve satış kayıtlarını eşleştirmek,
  • API ve webhook işlemlerini gerçekleştirmek.

8.8. Hukuki ve Uyum Amaçları

  • mevzuata uymak,
  • resmî talepleri yanıtlamak,
  • sözleşme ve onayları ispatlamak,
  • dava, icra veya uyuşmazlık süreçlerini yürütmek,
  • KVKK başvurularını yanıtlamak,
  • denetim ve kayıt yükümlülüklerini yerine getirmek.

8.9. Pazarlama

Yalnızca gerekli izin veya başka bir geçerli hukuki sebep bulunduğunda:

  • kampanya ve ürün duyuruları göndermek,
  • bülten sunmak,
  • iletişim tercihlerini yönetmek,
  • pazarlama performansını ölçmek.

9. Verileri Hangi Hukuki Sebeplerle İşleriz?

Kişisel verileri, somut işlem için uygun olan hukuki sebebe dayanarak işleriz.

Başlıca hukuki sebepler şunlardır:

  • sözleşmenin kurulması veya ifası için gerekli olması,
  • kanunlarda açıkça öngörülmesi,
  • hukuki yükümlülüğümüzü yerine getirmemiz,
  • bir hakkın tesisi, kullanılması veya korunması,
  • temel hak ve özgürlüklere zarar vermemek kaydıyla meşru menfaatimiz,
  • gerekli olduğu durumlarda açık rıza.

Açık rıza gereken bir işlemde:

  • rızayı ayrı olarak isteriz,
  • rıza vermemeyi mümkün olduğunca temel hizmete erişim şartı yapmayız,
  • rızanın geri alınabilmesini sağlarız.

Ticari elektronik ileti izni ile kişisel veri işleme açık rızası aynı şey değildir ve ayrı süreçlerle yönetilebilir.


10. Verileri Nasıl Toplarız?

Verileri aşağıdaki yöntemlerle toplayabiliriz:

  • kayıt ve hesap formları,
  • abonelik ve ödeme ekranları,
  • uygulama içi işlemler,
  • elektronik sözleşme ve onay kutuları,
  • destek kanalları,
  • e-posta, telefon ve WhatsApp,
  • toplantılar ve demo görüşmeleri,
  • ödeme hizmeti sağlayıcıları,
  • banka ve e-dönüşüm entegrasyonları,
  • pazaryeri bağlantıları,
  • çerezler ve SDK’lar,
  • loglama ve güvenlik sistemleri,
  • kamuya açık ticaret sicili veya resmî kayıtlar,
  • müşteri şirketin hesap yöneticisi,
  • kullanıcının yüklediği belge ve dosyalar.

Veriler otomatik, kısmen otomatik veya bir veri kayıt sisteminin parçası olan otomatik olmayan yöntemlerle işlenebilir.


11. Ücretsiz Deneme ve Abonelik Süreçleri

11.1. Ücretsiz Deneme

Marfin’in planlanan ücretsiz deneme süresi 14 gündür.

Ücretsiz deneme:

  • kredi kartı verilmesini gerektirmez,
  • kendiliğinden ücretli aboneliğe dönüşmez,
  • kullanıcı açıkça ücretli Paket seçmedikçe tahsilat başlatmaz.

Deneme sırasında:

  • hesap ve iletişim bilgileri,
  • şirket bilgileri,
  • Platform kullanım bilgileri,
  • destek kayıtları

işlenebilir.

11.2. Ücretli Abonelik

Kullanıcı ücretli Pakete geçtiğinde:

  • Paket türü,
  • abonelik dönemi,
  • faturalandırma bilgileri,
  • ödeme sonucu,
  • yenileme tercihi

işlenebilir.

11.3. Otomatik Yenileme

Otomatik yenileme, kullanıcıya açıkça bilgi verilmesi ve kullanıcının yenileme tercihini kabul etmesi hâlinde uygulanır.

Yenileme tercihleri hesap ayarlarından veya destek kanallarından yönetilebilir.


12. Ödeme İşlemleri ve Kart Bilgileri

12.1. Ödeme Sağlayıcısı

Marfin, ödeme işlemleri için yetkili bir ödeme hizmeti sağlayıcısı kullanabilir.

Planlanan sağlayıcı İyzico’dur. Üretim öncesinde güncel sağlayıcı doğrulanacaktır.

12.2. Kart Bilgileri

Tam kart numarası, kart güvenlik kodu ve benzeri hassas ödeme doğrulama bilgilerinin Marfin tarafından doğrudan saklanmaması hedeflenmektedir.

Bu bilgiler ödeme sağlayıcısının güvenli sisteminde işlenebilir.

Marfin’e aşağıdaki sınırlı bilgiler iletilebilir:

  • ödeme sonucu,
  • işlem referansı,
  • maskelenmiş kart numarası,
  • kart veya banka türü,
  • ödeme tutarı,
  • taksit bilgisi,
  • hata veya ret kodu,
  • saklı kart tokenı.

12.3. Tekrarlayan Ödemeler

Saklı kart veya tokenizasyon altyapısı kullanılması hâlinde kartın kendisi yerine ödeme sağlayıcısının oluşturduğu referans kullanılabilir.

Tekrarlayan ödeme yalnızca kullanıcının ilgili abonelik ve yenileme onayına göre işletilir.


13. Yapay Zekâ Özellikleri

Marfin, yapay zekâ destekli:

  • soru-cevap,
  • rapor açıklama,
  • finansal analiz,
  • nakit akış tahmini,
  • kârlılık analizi,
  • kayıt sınıflandırma,
  • chatbot

özellikleri sunabilir.

13.1. AI’a Hangi Veriler Gidebilir?

Kullanıcının yaptığı seçime göre:

  • soru ve istem metni,
  • seçilen rapor,
  • ilgili finansal kayıt,
  • belge içeriği,
  • OCR ile çıkarılan metin,
  • sınırlı hesap ve işlem bağlamı

AI sağlayıcısına gönderilebilir.

13.2. AI Sağlayıcıları

Planlanan sağlayıcılar:

  • OpenAI,
  • Anthropic,
  • ileride kullanılabilecek diğer kurumsal AI sağlayıcılarıdır.

Güncel sağlayıcılar Alt İşleyenler Listesinde açıklanır.

13.3. Model Eğitiminde Kullanım

Marfin, mümkün olduğu ölçüde:

  • müşteri verilerinin genel model eğitiminde kullanılmadığı,
  • kurumsal veya API erişimi sunan,
  • eğitim kullanımını kapatma seçeneği sağlayan,
  • sınırlı veri saklama seçenekleri bulunan

planları tercih eder.

Ancak her sağlayıcının güncel:

  • saklama süresi,
  • kötüye kullanım izleme politikası,
  • insan incelemesi ihtimali,
  • model eğitim ayarı,
  • alt işleyenleri

üretim öncesinde ayrıca doğrulanmalıdır.

13.4. AI Çıktılarının Sınırları

AI çıktıları:

  • yanlış,
  • eksik,
  • güncel olmayan,
  • belgeyle uyuşmayan,
  • bağlamı yanlış yorumlayan

sonuçlar içerebilir.

AI çıktıları:

  • mali müşavirlik hizmeti,
  • vergi danışmanlığı,
  • hukuk danışmanlığı,
  • yatırım danışmanlığı,
  • bağımsız denetim görüşü,
  • resmî kurum görüşü

değildir.

Kullanıcı, nihai finansal, vergisel veya ticari karardan önce çıktıyı kontrol etmelidir.


14. OCR ve Belge İşleme

OCR, yüklenen belge üzerindeki bilgileri otomatik olarak okumaya ve alanlara ayırmaya yardımcı olur.

OCR kapsamında:

  • belge görüntüsü,
  • metin,
  • tarih,
  • tutar,
  • para birimi,
  • vergi oranı,
  • vergi numarası,
  • belge türü,
  • tedarikçi veya müşteri bilgisi

işlenebilir.

OCR sonuçları hatalı olabilir. Özellikle:

  • tutar,
  • vergi oranı,
  • tarih,
  • belge türü,
  • vergi kimlik numarası,
  • muhasebe sınıflandırması

kullanıcı tarafından doğrulanmalıdır.

Kullanıcı, belge yüklemeden önce belgeyi işlemek ve Platforma aktarmak için gerekli hukuki yetkiye sahip olmalıdır.


15. Banka, E-Dönüşüm ve Pazaryeri Entegrasyonları

Marfin üçüncü taraf entegrasyonları sunabilir.

15.1. Banka ve Açık Bankacılık

Kullanıcı yetki verdiğinde:

  • hesap bilgileri,
  • işlem ve hareket kayıtları,
  • bakiye bilgileri,
  • banka referansları,
  • işlem açıklamaları

işlenebilir.

Kesin veri kapsamı kullanılan banka veya açık bankacılık sağlayıcısına göre değişir.

15.2. E-Dönüşüm

e-Fatura, e-Arşiv Fatura ve ileride e-İrsaliye veya e-Defter hizmetlerinde:

  • fatura tarafları,
  • vergi bilgileri,
  • mal ve hizmet kalemleri,
  • tutar ve vergi alanları,
  • gönderim ve durum bilgileri

yetkili entegratörle paylaşılabilir.

15.3. Pazaryeri

Pazaryeri bağlantılarında:

  • sipariş,
  • ürün,
  • alıcı,
  • teslimat,
  • ödeme,
  • komisyon ve iade

bilgileri işlenebilir.

15.4. Kullanıcı Yetkilendirmesi

Bir entegrasyonu etkinleştiren kullanıcı:

  • ilgili hesaba bağlanmaya yetkili olduğunu,
  • erişim izninin kapsamını kontrol ettiğini,
  • gereksiz izin vermediğini

teyit etmelidir.

15.5. Entegrasyonun Kapatılması

Kullanıcı entegrasyonu kapatabilir veya tokenı iptal edebilir.

Entegrasyonun kapatılması, daha önce hukuka uygun olarak alınmış ve yasal saklama gerektiren kayıtların kendiliğinden silinmesi anlamına gelmeyebilir.


16. API, Webhook ve Geliştirici İşlemleri

API veya webhook kullanan müşterilerde:

  • API anahtarı,
  • token,
  • istek ve yanıt zamanı,
  • IP adresi,
  • uç nokta,
  • işlem sonucu,
  • hata kodu,
  • oran sınırlama bilgisi

işlenebilir.

Müşteri:

  • API anahtarlarını gizli tutmalı,
  • gereksiz yetki vermemeli,
  • webhook doğrulamasını uygulamalı,
  • açığa çıkan anahtarları yenilemeli,
  • üçüncü taraf geliştiricilerin erişimini kontrol etmelidir.

API logları güvenlik, destek, kötüye kullanım önleme ve hata giderme amacıyla saklanabilir.


17. Çerezler ve Benzeri Teknolojiler

Marfin web sitesi ve uygulamalarında aşağıdaki teknoloji türleri kullanılabilir:

  • zorunlu çerezler,
  • oturum ve güvenlik çerezleri,
  • tercih ve işlevsellik çerezleri,
  • analitik çerezleri,
  • performans ve hata izleme araçları,
  • pazarlama çerezleri,
  • mobil SDK’lar.

17.1. Zorunlu Teknolojiler

Zorunlu teknolojiler:

  • oturum açma,
  • güvenlik,
  • kullanıcı tercihinin saklanması,
  • ödeme ve form işlemleri

için gerekli olabilir.

17.2. Zorunlu Olmayan Teknolojiler

Analitik, profilleme veya pazarlama amacı taşıyan zorunlu olmayan teknolojiler, gerekli olduğu ölçüde kullanıcının tercihine veya onayına göre çalıştırılır.

17.3. Ayrıntılı Envanter

Aşağıdaki bilgiler ayrı Çerez Politikasında açıklanacaktır:

  • çerez veya SDK adı,
  • sağlayıcı,
  • amacı,
  • türü,
  • süresi,
  • birinci veya üçüncü taraf niteliği,
  • yurt dışı aktarım durumu,
  • tercih yöntemi.

Gerçek çerez ve SDK envanteri üretim ortamı kurulunca tamamlanacaktır.


18. Analitik, Hata İzleme ve Ürün Geliştirme

Marfin, ürünün nasıl kullanıldığını anlamak ve güvenli çalışmasını sağlamak için:

  • özellik kullanım oranları,
  • performans,
  • çökme ve hata kayıtları,
  • cihaz ve tarayıcı türleri,
  • anonim veya toplulaştırılmış istatistikler

işleyebilir.

Mümkün olduğunda analizlerde:

  • veri minimizasyonu,
  • maskeleme,
  • toplulaştırma,
  • anonimleştirme

yöntemleri kullanılır.

Belirli bir kişiyle ilişkilendirilemeyen gerçek anonim veriler kişisel veri sayılmaz.

Takma adlandırılmış veriler ise yeniden ilişkilendirme mümkün olduğu sürece kişisel veri olmaya devam eder.


19. Verileri Kimlerle Paylaşabiliriz?

Kişisel veriler, amaç için gerekli ve ölçülü olduğu ölçüde aşağıdaki alıcı gruplarıyla paylaşılabilir:

19.1. Teknik Hizmet Sağlayıcıları

  • bulut ve veritabanı sağlayıcıları,
  • CDN ve güvenlik sağlayıcıları,
  • yedekleme sağlayıcıları,
  • e-posta ve iletişim sağlayıcıları,
  • hata izleme ve analitik sağlayıcıları,
  • AI ve OCR sağlayıcıları.

19.2. Ticari ve Operasyonel Sağlayıcılar

  • ödeme hizmeti sağlayıcıları,
  • e-dönüşüm entegratörleri,
  • banka ve açık bankacılık sağlayıcıları,
  • pazaryeri bağlantıları,
  • destek ve mesajlaşma sağlayıcıları.

19.3. Danışmanlar

  • avukatlar,
  • mali müşavirler,
  • denetçiler,
  • bilgi güvenliği danışmanları,
  • teknik danışmanlar.

19.4. Yetkili Makamlar

Hukuki yükümlülük veya usulüne uygun talep hâlinde:

  • mahkemeler,
  • savcılıklar,
  • kolluk,
  • vergi makamları,
  • Kişisel Verileri Koruma Kurumu,
  • diğer yetkili kamu kurumları

ile veri paylaşılabilir.

19.5. Kurumsal İşlemler

Bir yatırım, birleşme, bölünme, hisse veya varlık devri gibi kurumsal işlem gündeme gelirse gerekli bilgiler gizlilik yükümlülüğü altındaki:

  • yatırımcılar,
  • alıcılar,
  • finans kuruluşları,
  • danışmanlar

ile sınırlı olarak paylaşılabilir.


20. Alt İşleyenler ve Hizmet Sağlayıcılar

Marfin, Hizmetleri sunmak için farklı hizmet sağlayıcılarından yararlanabilir.

Planlanan veya değerlendirilmekte olan başlıca sağlayıcılar:

  • Supabase,
  • Cloudflare,
  • İyzico,
  • Zoho veya güncel e-posta sağlayıcısı,
  • OpenAI,
  • Anthropic,
  • analitik ve hata izleme sağlayıcıları,
  • e-dönüşüm entegratörü,
  • banka veya açık bankacılık sağlayıcısı,
  • pazaryeri altyapılarıdır.

Kesin sağlayıcılar henüz tamamlanmadığından ana Politika tek bir sağlayıcıya bağımlı yazılmamıştır.

Güncel bilgiler:

Alt İşleyenler Listesi

belgesinde yayımlanacaktır.


21. Yurt Dışına Veri Aktarımı

21.1. Neden Yurt Dışına Aktarım Olabilir?

Aşağıdaki hizmetler nedeniyle veri Türkiye dışındaki sunucu veya hizmet sağlayıcılar üzerinden işlenebilir:

  • Avrupa Birliği bölgesindeki bulut ve veritabanı hizmetleri,
  • küresel CDN ve güvenlik ağı,
  • AI ve OCR sağlayıcıları,
  • e-posta ve iletişim servisleri,
  • analitik ve hata izleme araçları.

21.2. Hukuki Mekanizmalar

Yurt dışına aktarım, somut işlem için yürürlükteki mevzuatta öngörülen uygun mekanizmaya dayanmalıdır.

Bunlar uygulanabilir olduğu ölçüde:

  • yeterlilik kararı,
  • standart sözleşme,
  • bağlayıcı şirket kuralları,
  • uygun güvence içeren taahhüt,
  • kanunda sınırlı şekilde düzenlenen arızi aktarım hâlleri,
  • diğer hukuka uygun aktarım yöntemleri

olabilir.

21.3. Şeffaflık

Güncel:

  • alıcı,
  • ülke veya bölge,
  • veri kategorisi,
  • aktarım amacı,
  • aktarım mekanizması,
  • saklama yaklaşımı

Yurt Dışına Veri Aktarım Ekinde açıklanacaktır.

21.4. Aktarımın Sınırlandırılması

Aktarımda mümkün olduğunda:

  • veri minimizasyonu,
  • erişim sınırlaması,
  • güvenli iletim,
  • maskeleme veya takma adlandırma,
  • kısa saklama süresi,
  • bölgesel barındırma

gibi ek tedbirler değerlendirilir.


22. Verileri Satıyor muyuz?

Marfin kişisel verileri üçüncü kişilere satmaz.

Marfin ayrıca Müşteri Verisini:

  • bağımsız reklam profili oluşturmak,
  • veri simsarlığı yapmak,
  • müşterinin talebi dışında genel pazarlama yapmak

amacıyla kullanmaz.

Hizmet sağlayıcılarla yapılan veri paylaşımı, hizmetin sunulması için gerekli teknik veya operasyonel işleme faaliyetidir ve veri satışı anlamına gelmez.


23. Otomatik İşleme ve İnsan Kontrolü

Marfin:

  • belge sınıflandırması,
  • kayıt önerisi,
  • nakit akış tahmini,
  • kârlılık analizi,
  • anomali tespiti,
  • rapor açıklaması

gibi otomatik araçlar sunabilir.

Mevcut ürün yaklaşımında:

  • AI ve OCR çıktılarının kullanıcı tarafından kontrol edilmesi,
  • nihai mali, vergisel ve ticari kararın kullanıcı tarafından verilmesi,
  • yalnızca otomatik sisteme dayanarak kişi hakkında hukuki sonuç doğuran nihai karar verilmemesi

hedeflenmektedir.

Bu yaklaşımı değiştiren bir özellik sunulursa:

  • işlemin mantığı,
  • muhtemel sonucu,
  • insan müdahalesi talep etme yöntemi,
  • itiraz ve düzeltme seçenekleri

ayrıca açıklanır.


24. Özel Nitelikli Kişisel Veriler

Marfin, standart hesap ve abonelik süreçlerinde özel nitelikli kişisel veri toplamayı amaçlamaz.

Kullanıcılar zorunlu olmadığı sürece Platforma:

  • sağlık verisi,
  • biyometrik veya genetik veri,
  • ceza mahkûmiyeti bilgisi,
  • siyasi düşünce,
  • din veya inanç bilgisi,
  • sendika üyeliği,
  • cinsel hayata ilişkin bilgi

yüklememelidir.

Müşterinin özel nitelikli veri işlemesi gerekiyorsa:

  • geçerli hukuki şartı belirlemeli,
  • ek güvenlik tedbiri almalı,
  • erişimi sınırlandırmalı,
  • Marfin özelliğinin bu veri için uygunluğunu değerlendirmelidir.

25. Veri Minimizasyonu ve Kullanıcı Sorumluluğu

Kullanıcılar, Platforma yalnızca işleme amacı için gerekli verileri yüklemelidir.

Özellikle AI, OCR, destek ve serbest metin alanlarına gereksiz şekilde:

  • T.C. kimlik numarası,
  • kimlik belgesi,
  • tam kart bilgisi,
  • parola,
  • API anahtarı,
  • sağlık veya biyometrik veri,
  • yetkisiz üçüncü kişi verisi,
  • ticari sır

girilmemelidir.

Marfin, ürün tasarımında veri miktarını sınırlandırmayı hedefler; ancak serbest metin ve dosya yükleme alanlarında kullanıcının hangi veriyi gireceğini tamamen kontrol edemeyebilir.


26. Verilerin Doğruluğu

Kullanıcı:

  • hesap bilgilerinin,
  • şirket bilgilerinin,
  • Yetkili Kullanıcıların,
  • finansal ve vergisel kayıtların

doğru ve güncel olmasını sağlamalıdır.

Marfin, müşterinin girdiği veya entegrasyondan gelen verinin maddi doğruluğunu her durumda bağımsız şekilde doğrulamaz.

AI, OCR ve otomatik eşleştirme sonuçları kullanıcı tarafından kaynak belgeyle karşılaştırılmalıdır.


27. Verileri Ne Kadar Süre Saklarız?

Kişisel verileri sonsuza kadar saklamayız.

Saklama süresi belirlenirken:

  • işleme amacı,
  • abonelik süresi,
  • yasal saklama yükümlülüğü,
  • zamanaşımı süresi,
  • uyuşmazlık ihtiyacı,
  • güvenlik gereksinimi

dikkate alınır.

27.1. Planlanan Saklama Yaklaşımı

Kayıt grubuGenel yaklaşım
Hesap ve profilHesap aktif olduğu sürece ve gerekli yasal süre boyunca
Sözleşme ve kabul kayıtlarıSözleşme ve ilgili ispat süresi boyunca
Fatura ve tahsilat kayıtlarıUygulanabilir vergi ve ticaret mevzuatı süreleri boyunca
Destek kayıtları[SAKLAMA SÜRESİ BİLGİSİ TAMAMLANACAK]
Güvenlik ve erişim logları[SAKLAMA SÜRESİ BİLGİSİ TAMAMLANACAK]
AI istemleri ve çıktıları[SAKLAMA SÜRESİ VE AYARLARI TAMAMLANACAK]
Çerez ve analitik verileriGerçek çerez ve SDK envanterindeki süre boyunca
Ticari ileti izin/ret kayıtlarıİzin ve ispat yükümlülüğünün gerektirdiği süre boyunca
YedeklerPlanlanan normal 30 günlük yedek döngüsü içinde

İşleme sebebi sona erdiğinde ve yasal saklama zorunluluğu bulunmadığında veri:

  • silinir,
  • yok edilir veya
  • anonim hâle getirilir.

28. Hesap Kapanışı ve Veri Dışa Aktarımı

Aboneliğin sona ermesi veya hesabın kapanması hâlinde, hukuki veya güvenlik engeli bulunmadıkça:

  1. kullanıcıya 60 gün boyunca verilerine erişme veya dışa aktarma imkânı sağlanır,
  2. veriler desteklenen formatlarda indirilebilir,
  3. 60 gün sonunda yasal saklama gerektirmeyen veriler silinir, yok edilir veya anonim hâle getirilir,
  4. yasal kayıtlar yalnızca ilgili hukuki amaçla saklanır,
  5. yedeklerdeki kopyalar normal yedek döngüsünde kaldırılır.

Planlanan dışa aktarım formatları:

  • CSV,
  • XLSX,
  • PDF,
  • JSON,
  • XML,
  • teknik olarak desteklenen diğer formatlardır.

Her veri türü her formatta sunulmayabilir.

Kullanıcı, 60 günlük süre dolmadan gerekli verileri indirmelidir.


29. Yedekler

Marfin’in planlanan yedekleme yaklaşımı:

  • günlük otomatik yedekleme,
  • yedeklerin 30 gün saklanması,
  • yedeklerin felaket kurtarma ve sistem bütünlüğü için kullanılmasıdır.

Bu yapı üretim öncesinde teknik olarak doğrulanacaktır.

Yedekleme:

  • her silinen tekil kaydın geri getirileceği,
  • sıfır veri kaybı yaşanacağı,
  • her durumda belirli sürede geri dönüş yapılacağı

garantisi vermez.

Aktif sistemden silinen veriler, yedeklerde normal döngü sona erene kadar kalabilir.


30. Verileri Nasıl Koruyoruz?

Marfin, veri türü ve risk seviyesiyle uyumlu teknik ve idari tedbirler almayı hedefler.

Bu tedbirler, üretimde mevcut olduğu ölçüde şunları içerebilir:

  • rol bazlı erişim,
  • e-posta doğrulaması,
  • güçlü parola kuralları,
  • iki aşamalı doğrulama,
  • oturum güvenliği,
  • erişim ve işlem logları,
  • ağ ve iletişim güvenliği,
  • yedekleme,
  • zafiyet ve yama yönetimi,
  • güvenli yazılım geliştirme,
  • çalışan ve tedarikçi gizliliği,
  • olay müdahale süreçleri,
  • veri minimizasyonu,
  • güvenli dışa aktarım.

Hiçbir internet veya bulut sistemi mutlak güvenlik garantisi veremez.

Marfin, teknik olarak doğrulanmayan:

  • ISO 27001 sertifikası,
  • SOC 2 raporu,
  • belirli bir şifreleme standardı,
  • sıfır veri kaybı,
  • kesin RPO/RTO

gibi iddialarda bulunmaz.


31. Kişisel Veri İhlalleri

Kişisel verilerin:

  • yetkisiz kişilerce elde edilmesi,
  • yanlış kişiye açıklanması,
  • kaybolması,
  • değiştirilmesi,
  • erişilemez hâle gelmesi

gibi bir olay ortaya çıkarsa Marfin:

  • olayı kayıt altına alır,
  • kapsam ve etkiyi değerlendirir,
  • gerekli güvenlik önlemlerini alır,
  • delil ve logları korur,
  • yasal bildirim yükümlülüklerini değerlendirir.

Marfin’in veri işleyen olduğu bir olayda, ilgili veri sorumlusu müşteriye gecikmeksizin bilgi verilmesi hedeflenir.

Kullanıcı hesabında şüpheli erişim fark ederse derhâl Marfin’e bildirmelidir.


32. Kullanıcı Hesabı ve Yetkili Kullanıcılar

Kurumsal müşteri:

  • kimlerin hesaba erişeceğini,
  • hangi rol ve yetkiye sahip olacağını,
  • hangi firma ve modülleri görebileceğini

belirler.

Müşteri:

  • ayrılan çalışanın erişimini kaldırmalı,
  • rol değişikliklerini güncellemeli,
  • hesap paylaşımını önlemeli,
  • güçlü parola kullanmalı,
  • sunuluyorsa 2FA’yı etkinleştirmelidir.

Bir Yetkili Kullanıcının işlem ve profil bilgileri, müşteri hesabındaki yetkili yöneticiler tarafından görülebilir.


33. Ticari Elektronik İletiler

Marfin:

  • kampanya,
  • ürün duyurusu,
  • tanıtım,
  • bülten

gibi ticari elektronik iletileri yalnızca gerekli izin ve yasal şartlar çerçevesinde gönderir.

İzin kanalları ayrı ayrı yönetilebilir:

  • e-posta,
  • SMS,
  • telefon,
  • WhatsApp,
  • push bildirim.

Kullanıcı ticari ileti tercihini:

  • ileti içindeki ret bağlantısı,
  • hesap ayarları,
  • Marfin iletişim kanalları,
  • İleti Yönetim Sistemi

üzerinden değiştirebilir.

Ticari ileti reddi, hizmetin sunulması için gerekli operasyonel mesajları engellemez.


34. Bildirimler ve Hizmet Mesajları

Marfin aşağıdaki mesajları pazarlama izninden bağımsız olarak gönderebilir:

  • hesap doğrulama,
  • parola sıfırlama,
  • güvenlik uyarısı,
  • ödeme ve fatura bilgisi,
  • deneme veya abonelik durumu,
  • planlı bakım,
  • hizmet kesintisi,
  • sözleşme veya politika değişikliği,
  • destek yanıtı.

Bu mesajlar Hizmetin güvenli ve düzgün yürütülmesi için gerekli olabilir.


35. Çocukların Gizliliği

Marfin ticari veya mesleki amaçla hareket eden işletme kullanıcılarına yönelik bir B2B Platformudur.

Platform çocuklara yönelik değildir.

Marfin’in bir çocuğa ait veriyi hukuka aykırı şekilde topladığı düşünülüyorsa:

info@marfin.com.tr

adresinden iletişime geçilebilir.

Çocuklara yönelik ayrı bir hizmet sunulması hâlinde:

  • yaş doğrulama,
  • veli bilgilendirmesi,
  • gerekli izinler,
  • çocuklara uygun dil ve tasarım

içeren ayrı süreçler oluşturulur.


36. Diğer Web Siteleri ve Üçüncü Taraf Hizmetler

Marfin, üçüncü taraf:

  • banka,
  • ödeme sağlayıcısı,
  • e-dönüşüm entegratörü,
  • pazaryeri,
  • web sitesi,
  • uygulama

bağlantıları sunabilir.

Kullanıcı üçüncü taraf hizmete geçtiğinde o tarafın:

  • gizlilik politikası,
  • kullanım şartları,
  • güvenlik uygulamaları

geçerli olabilir.

Marfin, üçüncü tarafın kendi bağımsız veri işleme faaliyetlerini kontrol etmez.

Entegrasyonun Marfin adına veri işleme yaptığı durumlar Alt İşleyenler Listesinde açıklanır.


37. Kişisel Verileriniz Üzerindeki Haklarınız

Yürürlükteki mevzuat kapsamında veri sorumlusuna başvurarak:

  1. kişisel verilerinizin işlenip işlenmediğini öğrenme,
  2. işlenmişse buna ilişkin bilgi talep etme,
  3. işlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme,
  4. verilerin yurt içinde veya yurt dışında aktarıldığı kişileri bilme,
  5. eksik veya yanlış verilerin düzeltilmesini isteme,
  6. şartları oluştuğunda verilerin silinmesini veya yok edilmesini isteme,
  7. düzeltme veya silme işleminin verilerin paylaşıldığı üçüncü kişilere bildirilmesini isteme,
  8. yalnızca otomatik sistemlerle yapılan analiz sonucu aleyhinize bir sonuca itiraz etme,
  9. hukuka aykırı işleme nedeniyle zarara uğramanız hâlinde zararın giderilmesini talep etme

haklarına sahip olabilirsiniz.

Hakların uygulanması somut olayın şartlarına, yasal saklama yükümlülüklerine ve Marfin’in ilgili işlemde veri sorumlusu olup olmadığına bağlıdır.


38. Haklarınızı Nasıl Kullanabilirsiniz?

38.1. Başvuru İçeriği

Başvurunuzda mümkün olduğunca:

  • ad ve soyadınız,
  • kimlik veya hesap eşleştirme bilgisi,
  • iletişim bilgileriniz,
  • talebinizin açık açıklaması,
  • varsa ilgili kayıt, işlem veya tarih,
  • tercih ettiğiniz yanıt yöntemi

bulunmalıdır.

Yetkisiz veri açıklanmasını önlemek için ek kimlik veya yetki doğrulaması istenebilir.

38.2. Başvuru Kanalları

Yazılı başvuru

1453 İstanbul Gıda San. ve Tic. Ltd. Şti.
Mevlana Mah. Yunus Emre Cad. No: 60 İç Kapı No: A
Gebze/Kocaeli

Zarf üzerine “KVKK İlgili Kişi Başvurusu” yazılması önerilir.

KEP

[KEP ADRESİ VARSA EKLENECEKTİR]

Kayıtlı e-posta

info@marfin.com.tr

E-posta konu satırına “KVKK İlgili Kişi Başvurusu” yazılması önerilir.

Elektronik imzalı başvuru

[ELEKTRONİK BAŞVURU ADRESİ BİLGİSİ TAMAMLANACAK]

38.3. Müşteri Verisi Hakkındaki Başvurular

Başvurunuz, bir Marfin müşterisinin Platforma yüklediği veriyle ilgiliyse asıl veri sorumlusu ilgili müşteri olabilir.

Bu durumda Marfin:

  • başvuruyu ilgili müşteriye yönlendirebilir,
  • veri sorumlusuna başvurmanız için size bilgi verebilir,
  • müşterinin talimatıyla teknik yardım sağlayabilir.

38.4. Yanıt Süresi ve Ücret

Usulüne uygun başvurular, talebin niteliğine göre mümkün olan en kısa sürede ve kanuni azami süre içinde yanıtlanır.

Başvurular kural olarak ücretsizdir. İşlemin ayrıca maliyet gerektirmesi hâlinde mevzuatta belirlenen ücret uygulanabilir.


39. Tercihleriniz ve Kontrolleriniz

Kullanıcılar aşağıdaki kontrollerden yararlanabilir:

39.1. Hesap Bilgileri

Hesap ayarlarından veya destek üzerinden:

  • iletişim bilgilerini,
  • profil bilgilerini,
  • kullanıcı rollerini

güncelleyebilirsiniz.

39.2. Pazarlama Tercihleri

Ticari ileti izinlerini geri çekebilirsiniz.

39.3. Çerez Tercihleri

Zorunlu olmayan çerezleri tercih panelinden yönetebilirsiniz.

39.4. Entegrasyonlar

Bağlı banka, pazaryeri veya diğer entegrasyonları kapatabilirsiniz.

39.5. AI Özellikleri

Ürün tasarımına göre AI özellikleri:

  • kullanıcı işlemiyle,
  • yönetici ayarıyla,
  • Paket ayarıyla

etkinleştirilebilir veya sınırlandırılabilir.

Kesin kontrol seçenekleri üretim öncesinde doğrulanacaktır.

39.6. Veri Dışa Aktarımı

Aktif hesap sırasında ve hesap kapanışından sonraki desteklenen dönemde verilerinizi dışa aktarabilirsiniz.


40. Politika Değişiklikleri

Bu Politika aşağıdaki nedenlerle güncellenebilir:

  • mevzuat değişikliği,
  • yeni ürün veya özellik,
  • yeni entegrasyon,
  • hizmet sağlayıcısı değişikliği,
  • veri akışında değişiklik,
  • güvenlik gereksinimi.

Her sürümde:

  • sürüm numarası,
  • son güncelleme tarihi,
  • yürürlük tarihi

gösterilir.

Önemli değişiklikler:

  • e-posta,
  • uygulama içi bildirim,
  • web sitesi duyurusu

ile bildirilebilir.

Yeni açık rıza gerektiren bir işlem için yalnızca bu Politikanın güncellenmesi yeterli sayılmaz; gerekli tercih ayrıca alınır.


41. İletişim

Gizlilik ve kişisel veri konularında bizimle iletişime geçebilirsiniz:

1453 İstanbul Gıda San. ve Tic. Ltd. Şti.
Mevlana Mah. Yunus Emre Cad. No: 60 İç Kapı No: A, Gebze/Kocaeli
Telefon: +90 (532) 420 66 35
E-posta: info@marfin.com.tr
Web sitesi: https://www.marfin.com.tr
KEP: [KEP ADRESİ VARSA EKLENECEKTİR]

Güvenlik bildirim e-postası:
[GÜVENLİK İLETİŞİM E-POSTASI BİLGİSİ TAMAMLANACAK]


42. İlgili Belgeler

Bu Politikayla birlikte aşağıdaki belgeler incelenebilir:

  • B2B Kullanıcı ve Abonelik Sözleşmesi
  • KVKK Aydınlatma Metni
  • Çerez Politikası
  • Açık Rıza ve Ticari İleti Onayı
  • Veri İşleme Sözleşmesi (DPA)
  • Veri Saklama ve İmha Politikası
  • İlgili Kişi Başvuru Formu
  • Alt İşleyenler Listesi
  • Yurt Dışına Veri Aktarım Eki
  • AI Kullanım Şartları
  • AI Veri İşleme Politikası
  • AI Sorumluluk Reddi
  • Bilgi Güvenliği Politikası

43. Yayın Öncesi Kontrol Listesi

Bu bölüm yayımlanan kullanıcı sürümünden kaldırılmalı veya iç kontrol belgesinde tutulmalıdır.

43.1. Şirket ve İletişim Bilgileri

  • KEP adresi eklendi.
  • KVKK başvuru e-postasının ayrı olup olmayacağı kararlaştırıldı.
  • Güvenlik bildirim e-postası oluşturuldu.
  • Elektronik imzalı başvuru adresi belirlendi.
  • VERBİS yükümlülüğü ve bilgiler değerlendirildi.

43.2. Ürün ve Veri Akışları

  • Web uygulamasındaki tüm veri alanları envantere işlendi.
  • Mobil uygulama izinleri ve SDK’lar belirlendi.
  • Hesap kayıt formunda T.C. kimlik numarası veya doğum tarihi toplanıp toplanmadığı doğrulandı.
  • Destek görüşmesi veya ekran kaydı alınıp alınmadığı doğrulandı.
  • Kullanıcı ve işlem loglarının gerçek kapsamı belirlendi.
  • Otomatik karar veya profilleme özelliği bulunup bulunmadığı doğrulandı.

43.3. Çerezler ve Analitik

  • Gerçek çerez envanteri çıkarıldı.
  • Mobil SDK envanteri çıkarıldı.
  • Analitik sağlayıcı belirlendi.
  • Hata izleme sağlayıcısı belirlendi.
  • Zorunlu olmayan teknolojiler onay öncesinde engellendi.
  • Çerez tercih paneli test edildi.
  • Her çerez ve SDK için saklama süresi belirlendi.

43.4. Ödeme

  • İyzico veya güncel sağlayıcı kesinleştirildi.
  • Marfin sistemine dönen ödeme alanları belirlendi.
  • Tam kart ve CVV verisinin Marfin tarafından saklanmadığı doğrulandı.
  • Saklı kart ve tokenizasyon akışı doğrulandı.
  • Otomatik yenileme onay kaydı test edildi.
  • 14 günlük denemenin otomatik ücretliye dönüşmediği test edildi.

43.5. AI ve OCR

  • Üretimdeki AI sağlayıcıları belirlendi.
  • Kurumsal/API planlarında model eğitimi ayarı doğrulandı.
  • Sağlayıcıların veri saklama süreleri belirlendi.
  • AI’a gönderilen gerçek alanlar veri akış matrisine işlendi.
  • AI konuşma geçmişinin Marfin’de ne kadar tutulacağı belirlendi.
  • AI özelliğinin varsayılan açık/kapalı ayarı belirlendi.
  • OCR dosyalarının ve çıkarılan metnin saklama süresi belirlendi.
  • Özel nitelikli veri uyarısı veya engelleme mekanizması değerlendirildi.

43.6. Entegrasyonlar

  • E-dönüşüm entegratörü kesinleştirildi.
  • Banka/açık bankacılık sağlayıcısı kesinleştirildi.
  • Pazaryeri entegrasyonları kesinleştirildi.
  • Her entegrasyonun veri kapsamı belirlendi.
  • Token saklama ve yenileme yöntemi doğrulandı.
  • Entegrasyon kapatma ve veri silme davranışı test edildi.

43.7. Alt İşleyenler ve Yurt Dışı Aktarım

  • Supabase üretim bölgesi ve sözleşme tarafı doğrulandı.
  • Cloudflare ürünleri ve veri kapsamı doğrulandı.
  • E-posta sağlayıcısı kesinleştirildi.
  • Alt İşleyenler Listesi tamamlandı.
  • Her sağlayıcının işleme ülkesi veya bölgesi belirlendi.
  • Standart sözleşme veya diğer aktarım mekanizması tamamlandı.
  • Gerekli Kurum bildirimleri ve kayıtları tamamlandı.
  • Yurt Dışına Veri Aktarım Eki yayımlandı.

43.8. Saklama ve Silme

  • Destek kayıtlarının saklama süresi belirlendi.
  • Güvenlik ve işlem loglarının saklama süresi belirlendi.
  • AI kayıtlarının saklama süresi belirlendi.
  • Günlük yedek ve 30 günlük döngü teknik olarak doğrulandı.
  • Hesap kapanışı sonrası 60 günlük erişim akışı test edildi.
  • Veri dışa aktarım formatları gerçek ürünle eşleştirildi.
  • Aktif sistem ve yedek silme süreci test edildi.
  • Veri Saklama ve İmha Politikasıyla süreler eşleştirildi.

43.9. Güvenlik

  • E-posta doğrulaması test edildi.
  • 2FA’nın gerçek durumu doğrulandı.
  • Rol ve yetki yönetimi test edildi.
  • Ayrılan kullanıcı erişiminin kaldırılması test edildi.
  • Şifreleme ifadeleri gerçek teknik mimariyle doğrulandı.
  • İhlal ve olay müdahale süreci oluşturuldu.
  • Hukuk ve teknik ekip iletişim matrisi tamamlandı.

43.10. Belge Uyumu

  • KVKK Aydınlatma Metniyle veri kategorileri eşleştirildi.
  • DPA ile veri sorumlusu/veri işleyen ayrımı eşleştirildi.
  • Çerez Politikasıyla teknoloji kategorileri eşleştirildi.
  • AI Veri İşleme Politikasıyla sağlayıcı ve saklama açıklamaları eşleştirildi.
  • Alt İşleyenler Listesiyle sağlayıcı isimleri eşleştirildi.
  • B2B Kullanıcı ve Abonelik Sözleşmesiyle 60 günlük veri erişimi eşleştirildi.
  • Hukukçu incelemesi tamamlandı.
  • Teknik ekip doğrulaması tamamlandı.
  • Yürürlük tarihi eklendi.
  • Taslak uyarısı ve iç kontrol listesi yayımlanan sürümden kaldırıldı.

Belge Sonu

Bu belge, Marfin Hukuki Dokümantasyon Projesi kapsamında hazırlanmıştır.

Yayın durumu: Taslak
Hukukçu onayı: Bekleniyor
Teknik doğrulama: Bekleniyor
Yürürlük tarihi: [BİLGİ TAMAMLANACAK]