Gizlilik Politikası
Son güncelleme:
Kısa Özet
Marfin, işletmeler için web ve mobil tabanlı finans ve ön muhasebe hizmetleri sunan bir B2B SaaS Platformudur.
Bu Politikanın temel mesajları şunlardır:
- Hesap, abonelik, ödeme, destek ve Platform güvenliği için gerekli verileri işleriz.
- Müşterilerin Platforma yüklediği çalışan, müşteri, tedarikçi ve benzeri üçüncü kişi verilerinde kural olarak müşterinin talimatıyla hareket ederiz.
- Verileri üçüncü kişilere satmayız.
- Ödeme kartı bilgilerini doğrudan saklamamayı ve ödemeleri yetkili ödeme hizmeti sağlayıcıları üzerinden yürütmeyi hedefleriz.
- AI ve OCR özelliklerinde yalnızca talebi yerine getirmek için gerekli verileri işlemeyi amaçlarız.
- AI ve OCR çıktıları hatalı olabilir; kullanıcı kontrolü gerekir.
- Bulut, güvenlik ve AI hizmetleri nedeniyle kişisel veriler yurt dışına aktarılabilir. Bu aktarımlar yürürlükteki mevzuata uygun mekanizmalarla gerçekleştirilmelidir.
- Hesap kapandıktan sonra kullanıcıya kural olarak 60 günlük veri erişim ve dışa aktarım süresi verilmesi planlanmaktadır.
- Yasal saklama zorunluluğu olmayan veriler süre sonunda silinir, yok edilir veya anonim hâle getirilir.
- Kişisel verilerinizle ilgili haklarınızı kullanmak için Marfin’e başvurabilirsiniz.
Ayrıntılı hükümler aşağıda yer almaktadır.
1. Politikanın Amacı
Bu Gizlilik Politikası, Marfin’in:
- hangi kişisel verileri toplayabildiğini,
- bu verileri neden kullandığını,
- verileri nasıl topladığını,
- kimlerle paylaşabildiğini,
- yurt dışına veri aktarımının hangi durumlarda ortaya çıkabileceğini,
- verileri ne kadar süre sakladığını,
- güvenlik için hangi yaklaşımı benimsediğini,
- kullanıcıların hangi hak ve seçeneklere sahip olduğunu
anlaşılır bir dille açıklamak amacıyla hazırlanmıştır.
Bu Politika, Marfin web sitesi, web uygulaması, mobil uygulaması, API’leri, destek kanalları ve bağlantılı hizmetler için genel gizlilik açıklamasıdır.
2. Marfin Hakkında
Marfin, 1453 İstanbul Gıda San. ve Tic. Ltd. Şti. tarafından sunulan bir finans ve ön muhasebe Platformudur.
Ticari unvan: 1453 İstanbul Gıda San. ve Tic. Ltd. Şti.
Marka / uygulama adı: Marfin
MERSİS No: 0001192249400001
Vergi Kimlik No: 0011922494
Vergi Dairesi: İlyasbey Vergi Dairesi
Adres: Mevlana Mah. Yunus Emre Cad. No: 60 İç Kapı No: A, Gebze/Kocaeli
Telefon: +90 (532) 420 66 35
E-posta: info@marfin.com.tr
Web sitesi: https://www.marfin.com.tr
KEP adresi: [KEP ADRESİ VARSA EKLENECEKTİR]
Bu Politikada 1453 İstanbul Gıda San. ve Tic. Ltd. Şti. kısaca “Marfin”, “biz” veya “şirketimiz” olarak anılır.
3. Politikanın Kapsamı
Bu Politika özellikle aşağıdaki hizmet ve temas noktalarını kapsar:
- Marfin web sitesi,
- Marfin web uygulaması,
- Marfin mobil uygulaması,
- kayıt ve ücretsiz deneme süreçleri,
- aylık ve yıllık abonelikler,
- müşteri destek kanalları,
- e-posta, telefon, WhatsApp ve uygulama içi iletişim,
- ödeme ve faturalandırma süreçleri,
- API ve webhook hizmetleri,
- AI ve OCR özellikleri,
- banka, e-dönüşüm ve pazaryeri entegrasyonları,
- güvenlik, loglama ve hata izleme işlemleri,
- ürün analitiği ve çerezler.
Aşağıdaki faaliyetler için ayrı politika veya aydınlatma metni hazırlanabilir:
- çalışan ve aday çalışan süreçleri,
- fiziksel ziyaretçi ve kamera kayıtları,
- etkinlik ve organizasyon katılımcıları,
- müşteri referansı veya başarı hikâyesi çalışmaları,
- ileride bireysel tüketicilere sunulabilecek hizmetler.
4. Bu Politikanın Hukuki Niteliği
Bu Gizlilik Politikası, kullanıcı dostu genel açıklama metnidir.
Bu Politika:
- KVKK Aydınlatma Metninin,
- Marfin B2B Kullanıcı ve Abonelik Sözleşmesinin,
- Veri İşleme Sözleşmesinin (DPA),
- Çerez Politikasının,
- açık rıza veya ticari ileti onaylarının
yerine geçmez.
Bir konuda farklı belgelerde farklı ayrıntı seviyeleri bulunabilir. Belge önceliği, ilgili sözleşmede veya politikada belirtilen kurallara göre belirlenir.
5. Veri Sorumlusu ve Veri İşleyen Rollerimiz
Marfin’in kişisel veriler bakımından rolü, verinin neden ve kimin talimatıyla işlendiğine göre değişebilir.
5.1. Marfin’in Veri Sorumlusu Olduğu Durumlar
Aşağıdaki işlemlerde Marfin kural olarak verilerin işlenme amaç ve temel yöntemlerini kendisi belirler:
- hesap oluşturma,
- kimlik ve yetki doğrulama,
- abonelik ve Paket yönetimi,
- ödeme, faturalandırma ve tahsilat,
- destek ve şikâyet yönetimi,
- güvenlik, loglama ve suistimal önleme,
- yasal yükümlülüklerin yerine getirilmesi,
- sözleşmenin ve elektronik onayın ispatı,
- ürün analitiği,
- izinli pazarlama faaliyetleri.
Bu işlemlerde Marfin veri sorumlusu olarak hareket eder.
5.2. Marfin’in Veri İşleyen Olduğu Durumlar
Kurumsal müşteriler Platforma kendi:
- çalışanlarının,
- müşterilerinin,
- tedarikçilerinin,
- fatura muhataplarının,
- cari hesap kişilerinin,
- iş ortaklarının
verilerini yükleyebilir.
Bu durumda kural olarak:
- kurumsal müşteri veri sorumlusu,
- Marfin müşterinin talimatıyla hareket eden veri işleyen
konumunda olabilir.
Bu işlemler Veri İşleme Sözleşmesinde düzenlenir.
5.3. Neden Bu Ayrım Önemlidir?
Veri sorumlusu:
- işleme amacını,
- hukuki sebebi,
- aydınlatma yöntemini,
- saklama gereksinimini
belirleyen taraftır.
Marfin yalnızca müşterinin talimatıyla veri işliyorsa, ilgili kişinin asıl başvuru muhatabı çoğunlukla ilgili kurumsal müşteridir.
6. Kimlerin Verilerini İşleyebiliriz?
Marfin aşağıdaki kişi gruplarına ait verileri işleyebilir:
- gerçek kişi tacirler,
- serbest meslek erbapları,
- şahıs işletmesi sahipleri,
- müşteri şirketlerin ortakları ve yöneticileri,
- şirket temsilcileri ve irtibat kişileri,
- Yetkili Kullanıcılar,
- mali müşavirler ve danışmanlar,
- potansiyel müşteriler,
- demo veya teklif talep eden kişiler,
- destek başvurusu sahipleri,
- web sitesi ve uygulama ziyaretçileri,
- tedarikçi ve iş ortağı temsilcileri,
- ticari ileti izni veren kişiler,
- KVKK başvurusu sahipleri.
Müşterilerin Platforma yüklediği veriler kapsamında ayrıca:
- çalışanlar,
- müşteriler,
- potansiyel müşteriler,
- tedarikçiler,
- cari hesap yetkilileri,
- fatura alıcıları ve göndericileri,
- teslimat kişileri
gibi üçüncü kişilere ait veriler işlenebilir.
7. Hangi Verileri Toplayabiliriz?
Topladığımız veri, kullandığınız özelliğe ve Marfin ile ilişkinize göre değişir.
7.1. Kimlik Bilgileri
- ad ve soyadı,
- kullanıcı adı,
- temsil ve yetki bilgisi,
- imza bilgisi,
- gerekli olduğu durumlarda doğum tarihi,
- mevzuat veya kimlik doğrulama gerektiriyorsa T.C. kimlik numarası veya yabancı kimlik bilgisi.
7.2. İletişim Bilgileri
- e-posta adresi,
- telefon numarası,
- iş veya fatura adresi,
- KEP adresi,
- tercih edilen iletişim kanalı.
7.3. Şirket ve Mesleki Bilgiler
- ticari unvan,
- vergi numarası,
- vergi dairesi,
- MERSİS ve ticaret sicili bilgileri,
- şirket türü,
- sektör,
- görev ve unvan,
- yetki ve temsil bilgileri,
- mali müşavir ilişkisi.
7.4. Hesap ve Abonelik Bilgileri
- müşteri ve hesap numarası,
- seçilen Paket,
- ücretsiz deneme bilgileri,
- aylık veya yıllık abonelik,
- Paket değişiklikleri,
- yenileme tercihleri,
- iptal ve kapanış kayıtları,
- sözleşme sürümü ve elektronik kabul kayıtları.
7.5. Finans ve Ödeme Bilgileri
- abonelik tutarı,
- fatura ve dekont bilgileri,
- tahsilat durumu,
- ödeme sağlayıcısı işlem referansı,
- maskelenmiş kart bilgisi,
- iade ve ters ibraz kayıtları,
- ödeme hata veya ret bilgisi.
7.6. Platform Kullanım Bilgileri
- kullanılan modül ve özellikler,
- oturum süresi,
- tıklama ve ekran geçişleri,
- dil ve bölge ayarları,
- kullanım sıklığı,
- özellik etkileşimleri,
- teknik performans bilgileri.
7.7. İşlem Güvenliği Bilgileri
- IP adresi,
- giriş ve çıkış zamanı,
- cihaz ve tarayıcı bilgisi,
- işletim sistemi,
- başarısız giriş denemeleri,
- oturum ve doğrulama kayıtları,
- rol ve yetki değişiklikleri,
- kullanıcı ve işlem logları,
- API ve entegrasyon logları,
- güvenlik uyarıları.
7.8. Destek ve İletişim Bilgileri
- destek talebi içeriği,
- e-posta ve mesaj yazışmaları,
- telefon veya toplantı notları,
- ekran görüntüleri,
- kullanıcının destek için gönderdiği belgeler,
- çözüm ve işlem geçmişi,
- geri bildirim ve memnuniyet verileri.
7.9. Çerez ve Analitik Bilgileri
- çerez kimliği,
- cihaz tanımlayıcısı,
- oturum bilgisi,
- yönlendirme kaynağı,
- kampanya etkileşimi,
- sayfa ve özellik kullanım verisi,
- performans ve hata verisi.
7.10. AI ve OCR Bilgileri
- kullanıcı istemleri ve soruları,
- seçilen finansal kayıt veya rapor bağlamı,
- yüklenen belge ve görüntüler,
- OCR ile çıkarılan metin,
- AI yanıt, öneri ve sınıflandırmaları,
- model ve işlem bilgisi,
- kullanıcı geri bildirimleri,
- hata ve güvenlik kayıtları.
7.11. Müşteri Verisi
Müşterinin Platforma yüklediği:
- cari hesap kayıtları,
- müşteri ve tedarikçi bilgileri,
- faturalar,
- teklif ve siparişler,
- banka hareketleri,
- gelir ve gider kayıtları,
- sözleşmeler,
- ürün ve stok bilgileri,
- serbest metin notları,
- eklenen belgeler
kişisel veri içerebilir.
Bu verilerin kapsamını esas olarak müşteri belirler.
8. Verileri Hangi Amaçlarla Kullanırız?
Kişisel verileri aşağıdaki amaçlarla kullanabiliriz:
8.1. Hesap ve Hizmet Sunumu
- hesap oluşturmak,
- kullanıcıyı doğrulamak,
- Yetkili Kullanıcıları yönetmek,
- seçilen Paketi sunmak,
- Platform özelliklerini çalıştırmak,
- abonelik ve deneme sürecini yönetmek.
8.2. Finansal ve Ticari İşlemler
- fatura oluşturmak,
- ödeme ve tahsilatı takip etmek,
- muhasebe kayıtlarını yürütmek,
- mükerrer veya hatalı işlemleri incelemek,
- iptal ve iade taleplerini yönetmek.
8.3. Destek ve İletişim
- soruları yanıtlamak,
- teknik destek sağlamak,
- hata ve şikâyetleri çözmek,
- hizmet değişikliklerini bildirmek,
- güvenlik ve hesap bildirimleri göndermek.
8.4. Güvenlik
- yetkisiz erişimi önlemek,
- dolandırıcılık ve kötüye kullanımı tespit etmek,
- şüpheli işlemleri incelemek,
- sistem ve hesap güvenliğini sağlamak,
- güvenlik olaylarına müdahale etmek,
- delil ve logları korumak.
8.5. Ürün Geliştirme
- performansı ölçmek,
- hata gidermek,
- kullanım eğilimlerini anlamak,
- kullanıcı deneyimini iyileştirmek,
- kapasite planlamak,
- yeni özellikleri değerlendirmek.
8.6. AI ve OCR Hizmeti
- kullanıcı sorusuna yanıt üretmek,
- belge alanlarını çıkarmak,
- rapor ve kayıtları özetlemek,
- sınıflandırma ve analiz yapmak,
- kullanıcıya finansal veya operasyonel öneri sunmak.
8.7. Entegrasyonlar
- banka ve açık bankacılık verilerini aktarmak,
- e-Fatura ve e-Arşiv süreçlerini yürütmek,
- pazaryeri sipariş ve satış kayıtlarını eşleştirmek,
- API ve webhook işlemlerini gerçekleştirmek.
8.8. Hukuki ve Uyum Amaçları
- mevzuata uymak,
- resmî talepleri yanıtlamak,
- sözleşme ve onayları ispatlamak,
- dava, icra veya uyuşmazlık süreçlerini yürütmek,
- KVKK başvurularını yanıtlamak,
- denetim ve kayıt yükümlülüklerini yerine getirmek.
8.9. Pazarlama
Yalnızca gerekli izin veya başka bir geçerli hukuki sebep bulunduğunda:
- kampanya ve ürün duyuruları göndermek,
- bülten sunmak,
- iletişim tercihlerini yönetmek,
- pazarlama performansını ölçmek.
9. Verileri Hangi Hukuki Sebeplerle İşleriz?
Kişisel verileri, somut işlem için uygun olan hukuki sebebe dayanarak işleriz.
Başlıca hukuki sebepler şunlardır:
- sözleşmenin kurulması veya ifası için gerekli olması,
- kanunlarda açıkça öngörülmesi,
- hukuki yükümlülüğümüzü yerine getirmemiz,
- bir hakkın tesisi, kullanılması veya korunması,
- temel hak ve özgürlüklere zarar vermemek kaydıyla meşru menfaatimiz,
- gerekli olduğu durumlarda açık rıza.
Açık rıza gereken bir işlemde:
- rızayı ayrı olarak isteriz,
- rıza vermemeyi mümkün olduğunca temel hizmete erişim şartı yapmayız,
- rızanın geri alınabilmesini sağlarız.
Ticari elektronik ileti izni ile kişisel veri işleme açık rızası aynı şey değildir ve ayrı süreçlerle yönetilebilir.
10. Verileri Nasıl Toplarız?
Verileri aşağıdaki yöntemlerle toplayabiliriz:
- kayıt ve hesap formları,
- abonelik ve ödeme ekranları,
- uygulama içi işlemler,
- elektronik sözleşme ve onay kutuları,
- destek kanalları,
- e-posta, telefon ve WhatsApp,
- toplantılar ve demo görüşmeleri,
- ödeme hizmeti sağlayıcıları,
- banka ve e-dönüşüm entegrasyonları,
- pazaryeri bağlantıları,
- çerezler ve SDK’lar,
- loglama ve güvenlik sistemleri,
- kamuya açık ticaret sicili veya resmî kayıtlar,
- müşteri şirketin hesap yöneticisi,
- kullanıcının yüklediği belge ve dosyalar.
Veriler otomatik, kısmen otomatik veya bir veri kayıt sisteminin parçası olan otomatik olmayan yöntemlerle işlenebilir.
11. Ücretsiz Deneme ve Abonelik Süreçleri
11.1. Ücretsiz Deneme
Marfin’in planlanan ücretsiz deneme süresi 14 gündür.
Ücretsiz deneme:
- kredi kartı verilmesini gerektirmez,
- kendiliğinden ücretli aboneliğe dönüşmez,
- kullanıcı açıkça ücretli Paket seçmedikçe tahsilat başlatmaz.
Deneme sırasında:
- hesap ve iletişim bilgileri,
- şirket bilgileri,
- Platform kullanım bilgileri,
- destek kayıtları
işlenebilir.
11.2. Ücretli Abonelik
Kullanıcı ücretli Pakete geçtiğinde:
- Paket türü,
- abonelik dönemi,
- faturalandırma bilgileri,
- ödeme sonucu,
- yenileme tercihi
işlenebilir.
11.3. Otomatik Yenileme
Otomatik yenileme, kullanıcıya açıkça bilgi verilmesi ve kullanıcının yenileme tercihini kabul etmesi hâlinde uygulanır.
Yenileme tercihleri hesap ayarlarından veya destek kanallarından yönetilebilir.
12. Ödeme İşlemleri ve Kart Bilgileri
12.1. Ödeme Sağlayıcısı
Marfin, ödeme işlemleri için yetkili bir ödeme hizmeti sağlayıcısı kullanabilir.
Planlanan sağlayıcı İyzico’dur. Üretim öncesinde güncel sağlayıcı doğrulanacaktır.
12.2. Kart Bilgileri
Tam kart numarası, kart güvenlik kodu ve benzeri hassas ödeme doğrulama bilgilerinin Marfin tarafından doğrudan saklanmaması hedeflenmektedir.
Bu bilgiler ödeme sağlayıcısının güvenli sisteminde işlenebilir.
Marfin’e aşağıdaki sınırlı bilgiler iletilebilir:
- ödeme sonucu,
- işlem referansı,
- maskelenmiş kart numarası,
- kart veya banka türü,
- ödeme tutarı,
- taksit bilgisi,
- hata veya ret kodu,
- saklı kart tokenı.
12.3. Tekrarlayan Ödemeler
Saklı kart veya tokenizasyon altyapısı kullanılması hâlinde kartın kendisi yerine ödeme sağlayıcısının oluşturduğu referans kullanılabilir.
Tekrarlayan ödeme yalnızca kullanıcının ilgili abonelik ve yenileme onayına göre işletilir.
13. Yapay Zekâ Özellikleri
Marfin, yapay zekâ destekli:
- soru-cevap,
- rapor açıklama,
- finansal analiz,
- nakit akış tahmini,
- kârlılık analizi,
- kayıt sınıflandırma,
- chatbot
özellikleri sunabilir.
13.1. AI’a Hangi Veriler Gidebilir?
Kullanıcının yaptığı seçime göre:
- soru ve istem metni,
- seçilen rapor,
- ilgili finansal kayıt,
- belge içeriği,
- OCR ile çıkarılan metin,
- sınırlı hesap ve işlem bağlamı
AI sağlayıcısına gönderilebilir.
13.2. AI Sağlayıcıları
Planlanan sağlayıcılar:
- OpenAI,
- Anthropic,
- ileride kullanılabilecek diğer kurumsal AI sağlayıcılarıdır.
Güncel sağlayıcılar Alt İşleyenler Listesinde açıklanır.
13.3. Model Eğitiminde Kullanım
Marfin, mümkün olduğu ölçüde:
- müşteri verilerinin genel model eğitiminde kullanılmadığı,
- kurumsal veya API erişimi sunan,
- eğitim kullanımını kapatma seçeneği sağlayan,
- sınırlı veri saklama seçenekleri bulunan
planları tercih eder.
Ancak her sağlayıcının güncel:
- saklama süresi,
- kötüye kullanım izleme politikası,
- insan incelemesi ihtimali,
- model eğitim ayarı,
- alt işleyenleri
üretim öncesinde ayrıca doğrulanmalıdır.
13.4. AI Çıktılarının Sınırları
AI çıktıları:
- yanlış,
- eksik,
- güncel olmayan,
- belgeyle uyuşmayan,
- bağlamı yanlış yorumlayan
sonuçlar içerebilir.
AI çıktıları:
- mali müşavirlik hizmeti,
- vergi danışmanlığı,
- hukuk danışmanlığı,
- yatırım danışmanlığı,
- bağımsız denetim görüşü,
- resmî kurum görüşü
değildir.
Kullanıcı, nihai finansal, vergisel veya ticari karardan önce çıktıyı kontrol etmelidir.
14. OCR ve Belge İşleme
OCR, yüklenen belge üzerindeki bilgileri otomatik olarak okumaya ve alanlara ayırmaya yardımcı olur.
OCR kapsamında:
- belge görüntüsü,
- metin,
- tarih,
- tutar,
- para birimi,
- vergi oranı,
- vergi numarası,
- belge türü,
- tedarikçi veya müşteri bilgisi
işlenebilir.
OCR sonuçları hatalı olabilir. Özellikle:
- tutar,
- vergi oranı,
- tarih,
- belge türü,
- vergi kimlik numarası,
- muhasebe sınıflandırması
kullanıcı tarafından doğrulanmalıdır.
Kullanıcı, belge yüklemeden önce belgeyi işlemek ve Platforma aktarmak için gerekli hukuki yetkiye sahip olmalıdır.
15. Banka, E-Dönüşüm ve Pazaryeri Entegrasyonları
Marfin üçüncü taraf entegrasyonları sunabilir.
15.1. Banka ve Açık Bankacılık
Kullanıcı yetki verdiğinde:
- hesap bilgileri,
- işlem ve hareket kayıtları,
- bakiye bilgileri,
- banka referansları,
- işlem açıklamaları
işlenebilir.
Kesin veri kapsamı kullanılan banka veya açık bankacılık sağlayıcısına göre değişir.
15.2. E-Dönüşüm
e-Fatura, e-Arşiv Fatura ve ileride e-İrsaliye veya e-Defter hizmetlerinde:
- fatura tarafları,
- vergi bilgileri,
- mal ve hizmet kalemleri,
- tutar ve vergi alanları,
- gönderim ve durum bilgileri
yetkili entegratörle paylaşılabilir.
15.3. Pazaryeri
Pazaryeri bağlantılarında:
- sipariş,
- ürün,
- alıcı,
- teslimat,
- ödeme,
- komisyon ve iade
bilgileri işlenebilir.
15.4. Kullanıcı Yetkilendirmesi
Bir entegrasyonu etkinleştiren kullanıcı:
- ilgili hesaba bağlanmaya yetkili olduğunu,
- erişim izninin kapsamını kontrol ettiğini,
- gereksiz izin vermediğini
teyit etmelidir.
15.5. Entegrasyonun Kapatılması
Kullanıcı entegrasyonu kapatabilir veya tokenı iptal edebilir.
Entegrasyonun kapatılması, daha önce hukuka uygun olarak alınmış ve yasal saklama gerektiren kayıtların kendiliğinden silinmesi anlamına gelmeyebilir.
16. API, Webhook ve Geliştirici İşlemleri
API veya webhook kullanan müşterilerde:
- API anahtarı,
- token,
- istek ve yanıt zamanı,
- IP adresi,
- uç nokta,
- işlem sonucu,
- hata kodu,
- oran sınırlama bilgisi
işlenebilir.
Müşteri:
- API anahtarlarını gizli tutmalı,
- gereksiz yetki vermemeli,
- webhook doğrulamasını uygulamalı,
- açığa çıkan anahtarları yenilemeli,
- üçüncü taraf geliştiricilerin erişimini kontrol etmelidir.
API logları güvenlik, destek, kötüye kullanım önleme ve hata giderme amacıyla saklanabilir.
17. Çerezler ve Benzeri Teknolojiler
Marfin web sitesi ve uygulamalarında aşağıdaki teknoloji türleri kullanılabilir:
- zorunlu çerezler,
- oturum ve güvenlik çerezleri,
- tercih ve işlevsellik çerezleri,
- analitik çerezleri,
- performans ve hata izleme araçları,
- pazarlama çerezleri,
- mobil SDK’lar.
17.1. Zorunlu Teknolojiler
Zorunlu teknolojiler:
- oturum açma,
- güvenlik,
- kullanıcı tercihinin saklanması,
- ödeme ve form işlemleri
için gerekli olabilir.
17.2. Zorunlu Olmayan Teknolojiler
Analitik, profilleme veya pazarlama amacı taşıyan zorunlu olmayan teknolojiler, gerekli olduğu ölçüde kullanıcının tercihine veya onayına göre çalıştırılır.
17.3. Ayrıntılı Envanter
Aşağıdaki bilgiler ayrı Çerez Politikasında açıklanacaktır:
- çerez veya SDK adı,
- sağlayıcı,
- amacı,
- türü,
- süresi,
- birinci veya üçüncü taraf niteliği,
- yurt dışı aktarım durumu,
- tercih yöntemi.
Gerçek çerez ve SDK envanteri üretim ortamı kurulunca tamamlanacaktır.
18. Analitik, Hata İzleme ve Ürün Geliştirme
Marfin, ürünün nasıl kullanıldığını anlamak ve güvenli çalışmasını sağlamak için:
- özellik kullanım oranları,
- performans,
- çökme ve hata kayıtları,
- cihaz ve tarayıcı türleri,
- anonim veya toplulaştırılmış istatistikler
işleyebilir.
Mümkün olduğunda analizlerde:
- veri minimizasyonu,
- maskeleme,
- toplulaştırma,
- anonimleştirme
yöntemleri kullanılır.
Belirli bir kişiyle ilişkilendirilemeyen gerçek anonim veriler kişisel veri sayılmaz.
Takma adlandırılmış veriler ise yeniden ilişkilendirme mümkün olduğu sürece kişisel veri olmaya devam eder.
19. Verileri Kimlerle Paylaşabiliriz?
Kişisel veriler, amaç için gerekli ve ölçülü olduğu ölçüde aşağıdaki alıcı gruplarıyla paylaşılabilir:
19.1. Teknik Hizmet Sağlayıcıları
- bulut ve veritabanı sağlayıcıları,
- CDN ve güvenlik sağlayıcıları,
- yedekleme sağlayıcıları,
- e-posta ve iletişim sağlayıcıları,
- hata izleme ve analitik sağlayıcıları,
- AI ve OCR sağlayıcıları.
19.2. Ticari ve Operasyonel Sağlayıcılar
- ödeme hizmeti sağlayıcıları,
- e-dönüşüm entegratörleri,
- banka ve açık bankacılık sağlayıcıları,
- pazaryeri bağlantıları,
- destek ve mesajlaşma sağlayıcıları.
19.3. Danışmanlar
- avukatlar,
- mali müşavirler,
- denetçiler,
- bilgi güvenliği danışmanları,
- teknik danışmanlar.
19.4. Yetkili Makamlar
Hukuki yükümlülük veya usulüne uygun talep hâlinde:
- mahkemeler,
- savcılıklar,
- kolluk,
- vergi makamları,
- Kişisel Verileri Koruma Kurumu,
- diğer yetkili kamu kurumları
ile veri paylaşılabilir.
19.5. Kurumsal İşlemler
Bir yatırım, birleşme, bölünme, hisse veya varlık devri gibi kurumsal işlem gündeme gelirse gerekli bilgiler gizlilik yükümlülüğü altındaki:
- yatırımcılar,
- alıcılar,
- finans kuruluşları,
- danışmanlar
ile sınırlı olarak paylaşılabilir.
20. Alt İşleyenler ve Hizmet Sağlayıcılar
Marfin, Hizmetleri sunmak için farklı hizmet sağlayıcılarından yararlanabilir.
Planlanan veya değerlendirilmekte olan başlıca sağlayıcılar:
- Supabase,
- Cloudflare,
- İyzico,
- Zoho veya güncel e-posta sağlayıcısı,
- OpenAI,
- Anthropic,
- analitik ve hata izleme sağlayıcıları,
- e-dönüşüm entegratörü,
- banka veya açık bankacılık sağlayıcısı,
- pazaryeri altyapılarıdır.
Kesin sağlayıcılar henüz tamamlanmadığından ana Politika tek bir sağlayıcıya bağımlı yazılmamıştır.
Güncel bilgiler:
Alt İşleyenler Listesi
belgesinde yayımlanacaktır.
21. Yurt Dışına Veri Aktarımı
21.1. Neden Yurt Dışına Aktarım Olabilir?
Aşağıdaki hizmetler nedeniyle veri Türkiye dışındaki sunucu veya hizmet sağlayıcılar üzerinden işlenebilir:
- Avrupa Birliği bölgesindeki bulut ve veritabanı hizmetleri,
- küresel CDN ve güvenlik ağı,
- AI ve OCR sağlayıcıları,
- e-posta ve iletişim servisleri,
- analitik ve hata izleme araçları.
21.2. Hukuki Mekanizmalar
Yurt dışına aktarım, somut işlem için yürürlükteki mevzuatta öngörülen uygun mekanizmaya dayanmalıdır.
Bunlar uygulanabilir olduğu ölçüde:
- yeterlilik kararı,
- standart sözleşme,
- bağlayıcı şirket kuralları,
- uygun güvence içeren taahhüt,
- kanunda sınırlı şekilde düzenlenen arızi aktarım hâlleri,
- diğer hukuka uygun aktarım yöntemleri
olabilir.
21.3. Şeffaflık
Güncel:
- alıcı,
- ülke veya bölge,
- veri kategorisi,
- aktarım amacı,
- aktarım mekanizması,
- saklama yaklaşımı
Yurt Dışına Veri Aktarım Ekinde açıklanacaktır.
21.4. Aktarımın Sınırlandırılması
Aktarımda mümkün olduğunda:
- veri minimizasyonu,
- erişim sınırlaması,
- güvenli iletim,
- maskeleme veya takma adlandırma,
- kısa saklama süresi,
- bölgesel barındırma
gibi ek tedbirler değerlendirilir.
22. Verileri Satıyor muyuz?
Marfin kişisel verileri üçüncü kişilere satmaz.
Marfin ayrıca Müşteri Verisini:
- bağımsız reklam profili oluşturmak,
- veri simsarlığı yapmak,
- müşterinin talebi dışında genel pazarlama yapmak
amacıyla kullanmaz.
Hizmet sağlayıcılarla yapılan veri paylaşımı, hizmetin sunulması için gerekli teknik veya operasyonel işleme faaliyetidir ve veri satışı anlamına gelmez.
23. Otomatik İşleme ve İnsan Kontrolü
Marfin:
- belge sınıflandırması,
- kayıt önerisi,
- nakit akış tahmini,
- kârlılık analizi,
- anomali tespiti,
- rapor açıklaması
gibi otomatik araçlar sunabilir.
Mevcut ürün yaklaşımında:
- AI ve OCR çıktılarının kullanıcı tarafından kontrol edilmesi,
- nihai mali, vergisel ve ticari kararın kullanıcı tarafından verilmesi,
- yalnızca otomatik sisteme dayanarak kişi hakkında hukuki sonuç doğuran nihai karar verilmemesi
hedeflenmektedir.
Bu yaklaşımı değiştiren bir özellik sunulursa:
- işlemin mantığı,
- muhtemel sonucu,
- insan müdahalesi talep etme yöntemi,
- itiraz ve düzeltme seçenekleri
ayrıca açıklanır.
24. Özel Nitelikli Kişisel Veriler
Marfin, standart hesap ve abonelik süreçlerinde özel nitelikli kişisel veri toplamayı amaçlamaz.
Kullanıcılar zorunlu olmadığı sürece Platforma:
- sağlık verisi,
- biyometrik veya genetik veri,
- ceza mahkûmiyeti bilgisi,
- siyasi düşünce,
- din veya inanç bilgisi,
- sendika üyeliği,
- cinsel hayata ilişkin bilgi
yüklememelidir.
Müşterinin özel nitelikli veri işlemesi gerekiyorsa:
- geçerli hukuki şartı belirlemeli,
- ek güvenlik tedbiri almalı,
- erişimi sınırlandırmalı,
- Marfin özelliğinin bu veri için uygunluğunu değerlendirmelidir.
25. Veri Minimizasyonu ve Kullanıcı Sorumluluğu
Kullanıcılar, Platforma yalnızca işleme amacı için gerekli verileri yüklemelidir.
Özellikle AI, OCR, destek ve serbest metin alanlarına gereksiz şekilde:
- T.C. kimlik numarası,
- kimlik belgesi,
- tam kart bilgisi,
- parola,
- API anahtarı,
- sağlık veya biyometrik veri,
- yetkisiz üçüncü kişi verisi,
- ticari sır
girilmemelidir.
Marfin, ürün tasarımında veri miktarını sınırlandırmayı hedefler; ancak serbest metin ve dosya yükleme alanlarında kullanıcının hangi veriyi gireceğini tamamen kontrol edemeyebilir.
26. Verilerin Doğruluğu
Kullanıcı:
- hesap bilgilerinin,
- şirket bilgilerinin,
- Yetkili Kullanıcıların,
- finansal ve vergisel kayıtların
doğru ve güncel olmasını sağlamalıdır.
Marfin, müşterinin girdiği veya entegrasyondan gelen verinin maddi doğruluğunu her durumda bağımsız şekilde doğrulamaz.
AI, OCR ve otomatik eşleştirme sonuçları kullanıcı tarafından kaynak belgeyle karşılaştırılmalıdır.
27. Verileri Ne Kadar Süre Saklarız?
Kişisel verileri sonsuza kadar saklamayız.
Saklama süresi belirlenirken:
- işleme amacı,
- abonelik süresi,
- yasal saklama yükümlülüğü,
- zamanaşımı süresi,
- uyuşmazlık ihtiyacı,
- güvenlik gereksinimi
dikkate alınır.
27.1. Planlanan Saklama Yaklaşımı
| Kayıt grubu | Genel yaklaşım |
|---|---|
| Hesap ve profil | Hesap aktif olduğu sürece ve gerekli yasal süre boyunca |
| Sözleşme ve kabul kayıtları | Sözleşme ve ilgili ispat süresi boyunca |
| Fatura ve tahsilat kayıtları | Uygulanabilir vergi ve ticaret mevzuatı süreleri boyunca |
| Destek kayıtları | [SAKLAMA SÜRESİ BİLGİSİ TAMAMLANACAK] |
| Güvenlik ve erişim logları | [SAKLAMA SÜRESİ BİLGİSİ TAMAMLANACAK] |
| AI istemleri ve çıktıları | [SAKLAMA SÜRESİ VE AYARLARI TAMAMLANACAK] |
| Çerez ve analitik verileri | Gerçek çerez ve SDK envanterindeki süre boyunca |
| Ticari ileti izin/ret kayıtları | İzin ve ispat yükümlülüğünün gerektirdiği süre boyunca |
| Yedekler | Planlanan normal 30 günlük yedek döngüsü içinde |
İşleme sebebi sona erdiğinde ve yasal saklama zorunluluğu bulunmadığında veri:
- silinir,
- yok edilir veya
- anonim hâle getirilir.
28. Hesap Kapanışı ve Veri Dışa Aktarımı
Aboneliğin sona ermesi veya hesabın kapanması hâlinde, hukuki veya güvenlik engeli bulunmadıkça:
- kullanıcıya 60 gün boyunca verilerine erişme veya dışa aktarma imkânı sağlanır,
- veriler desteklenen formatlarda indirilebilir,
- 60 gün sonunda yasal saklama gerektirmeyen veriler silinir, yok edilir veya anonim hâle getirilir,
- yasal kayıtlar yalnızca ilgili hukuki amaçla saklanır,
- yedeklerdeki kopyalar normal yedek döngüsünde kaldırılır.
Planlanan dışa aktarım formatları:
- CSV,
- XLSX,
- PDF,
- JSON,
- XML,
- teknik olarak desteklenen diğer formatlardır.
Her veri türü her formatta sunulmayabilir.
Kullanıcı, 60 günlük süre dolmadan gerekli verileri indirmelidir.
29. Yedekler
Marfin’in planlanan yedekleme yaklaşımı:
- günlük otomatik yedekleme,
- yedeklerin 30 gün saklanması,
- yedeklerin felaket kurtarma ve sistem bütünlüğü için kullanılmasıdır.
Bu yapı üretim öncesinde teknik olarak doğrulanacaktır.
Yedekleme:
- her silinen tekil kaydın geri getirileceği,
- sıfır veri kaybı yaşanacağı,
- her durumda belirli sürede geri dönüş yapılacağı
garantisi vermez.
Aktif sistemden silinen veriler, yedeklerde normal döngü sona erene kadar kalabilir.
30. Verileri Nasıl Koruyoruz?
Marfin, veri türü ve risk seviyesiyle uyumlu teknik ve idari tedbirler almayı hedefler.
Bu tedbirler, üretimde mevcut olduğu ölçüde şunları içerebilir:
- rol bazlı erişim,
- e-posta doğrulaması,
- güçlü parola kuralları,
- iki aşamalı doğrulama,
- oturum güvenliği,
- erişim ve işlem logları,
- ağ ve iletişim güvenliği,
- yedekleme,
- zafiyet ve yama yönetimi,
- güvenli yazılım geliştirme,
- çalışan ve tedarikçi gizliliği,
- olay müdahale süreçleri,
- veri minimizasyonu,
- güvenli dışa aktarım.
Hiçbir internet veya bulut sistemi mutlak güvenlik garantisi veremez.
Marfin, teknik olarak doğrulanmayan:
- ISO 27001 sertifikası,
- SOC 2 raporu,
- belirli bir şifreleme standardı,
- sıfır veri kaybı,
- kesin RPO/RTO
gibi iddialarda bulunmaz.
31. Kişisel Veri İhlalleri
Kişisel verilerin:
- yetkisiz kişilerce elde edilmesi,
- yanlış kişiye açıklanması,
- kaybolması,
- değiştirilmesi,
- erişilemez hâle gelmesi
gibi bir olay ortaya çıkarsa Marfin:
- olayı kayıt altına alır,
- kapsam ve etkiyi değerlendirir,
- gerekli güvenlik önlemlerini alır,
- delil ve logları korur,
- yasal bildirim yükümlülüklerini değerlendirir.
Marfin’in veri işleyen olduğu bir olayda, ilgili veri sorumlusu müşteriye gecikmeksizin bilgi verilmesi hedeflenir.
Kullanıcı hesabında şüpheli erişim fark ederse derhâl Marfin’e bildirmelidir.
32. Kullanıcı Hesabı ve Yetkili Kullanıcılar
Kurumsal müşteri:
- kimlerin hesaba erişeceğini,
- hangi rol ve yetkiye sahip olacağını,
- hangi firma ve modülleri görebileceğini
belirler.
Müşteri:
- ayrılan çalışanın erişimini kaldırmalı,
- rol değişikliklerini güncellemeli,
- hesap paylaşımını önlemeli,
- güçlü parola kullanmalı,
- sunuluyorsa 2FA’yı etkinleştirmelidir.
Bir Yetkili Kullanıcının işlem ve profil bilgileri, müşteri hesabındaki yetkili yöneticiler tarafından görülebilir.
33. Ticari Elektronik İletiler
Marfin:
- kampanya,
- ürün duyurusu,
- tanıtım,
- bülten
gibi ticari elektronik iletileri yalnızca gerekli izin ve yasal şartlar çerçevesinde gönderir.
İzin kanalları ayrı ayrı yönetilebilir:
- e-posta,
- SMS,
- telefon,
- WhatsApp,
- push bildirim.
Kullanıcı ticari ileti tercihini:
- ileti içindeki ret bağlantısı,
- hesap ayarları,
- Marfin iletişim kanalları,
- İleti Yönetim Sistemi
üzerinden değiştirebilir.
Ticari ileti reddi, hizmetin sunulması için gerekli operasyonel mesajları engellemez.
34. Bildirimler ve Hizmet Mesajları
Marfin aşağıdaki mesajları pazarlama izninden bağımsız olarak gönderebilir:
- hesap doğrulama,
- parola sıfırlama,
- güvenlik uyarısı,
- ödeme ve fatura bilgisi,
- deneme veya abonelik durumu,
- planlı bakım,
- hizmet kesintisi,
- sözleşme veya politika değişikliği,
- destek yanıtı.
Bu mesajlar Hizmetin güvenli ve düzgün yürütülmesi için gerekli olabilir.
35. Çocukların Gizliliği
Marfin ticari veya mesleki amaçla hareket eden işletme kullanıcılarına yönelik bir B2B Platformudur.
Platform çocuklara yönelik değildir.
Marfin’in bir çocuğa ait veriyi hukuka aykırı şekilde topladığı düşünülüyorsa:
adresinden iletişime geçilebilir.
Çocuklara yönelik ayrı bir hizmet sunulması hâlinde:
- yaş doğrulama,
- veli bilgilendirmesi,
- gerekli izinler,
- çocuklara uygun dil ve tasarım
içeren ayrı süreçler oluşturulur.
36. Diğer Web Siteleri ve Üçüncü Taraf Hizmetler
Marfin, üçüncü taraf:
- banka,
- ödeme sağlayıcısı,
- e-dönüşüm entegratörü,
- pazaryeri,
- web sitesi,
- uygulama
bağlantıları sunabilir.
Kullanıcı üçüncü taraf hizmete geçtiğinde o tarafın:
- gizlilik politikası,
- kullanım şartları,
- güvenlik uygulamaları
geçerli olabilir.
Marfin, üçüncü tarafın kendi bağımsız veri işleme faaliyetlerini kontrol etmez.
Entegrasyonun Marfin adına veri işleme yaptığı durumlar Alt İşleyenler Listesinde açıklanır.
37. Kişisel Verileriniz Üzerindeki Haklarınız
Yürürlükteki mevzuat kapsamında veri sorumlusuna başvurarak:
- kişisel verilerinizin işlenip işlenmediğini öğrenme,
- işlenmişse buna ilişkin bilgi talep etme,
- işlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme,
- verilerin yurt içinde veya yurt dışında aktarıldığı kişileri bilme,
- eksik veya yanlış verilerin düzeltilmesini isteme,
- şartları oluştuğunda verilerin silinmesini veya yok edilmesini isteme,
- düzeltme veya silme işleminin verilerin paylaşıldığı üçüncü kişilere bildirilmesini isteme,
- yalnızca otomatik sistemlerle yapılan analiz sonucu aleyhinize bir sonuca itiraz etme,
- hukuka aykırı işleme nedeniyle zarara uğramanız hâlinde zararın giderilmesini talep etme
haklarına sahip olabilirsiniz.
Hakların uygulanması somut olayın şartlarına, yasal saklama yükümlülüklerine ve Marfin’in ilgili işlemde veri sorumlusu olup olmadığına bağlıdır.
38. Haklarınızı Nasıl Kullanabilirsiniz?
38.1. Başvuru İçeriği
Başvurunuzda mümkün olduğunca:
- ad ve soyadınız,
- kimlik veya hesap eşleştirme bilgisi,
- iletişim bilgileriniz,
- talebinizin açık açıklaması,
- varsa ilgili kayıt, işlem veya tarih,
- tercih ettiğiniz yanıt yöntemi
bulunmalıdır.
Yetkisiz veri açıklanmasını önlemek için ek kimlik veya yetki doğrulaması istenebilir.
38.2. Başvuru Kanalları
Yazılı başvuru
1453 İstanbul Gıda San. ve Tic. Ltd. Şti.
Mevlana Mah. Yunus Emre Cad. No: 60 İç Kapı No: A
Gebze/Kocaeli
Zarf üzerine “KVKK İlgili Kişi Başvurusu” yazılması önerilir.
KEP
[KEP ADRESİ VARSA EKLENECEKTİR]
Kayıtlı e-posta
E-posta konu satırına “KVKK İlgili Kişi Başvurusu” yazılması önerilir.
Elektronik imzalı başvuru
[ELEKTRONİK BAŞVURU ADRESİ BİLGİSİ TAMAMLANACAK]
38.3. Müşteri Verisi Hakkındaki Başvurular
Başvurunuz, bir Marfin müşterisinin Platforma yüklediği veriyle ilgiliyse asıl veri sorumlusu ilgili müşteri olabilir.
Bu durumda Marfin:
- başvuruyu ilgili müşteriye yönlendirebilir,
- veri sorumlusuna başvurmanız için size bilgi verebilir,
- müşterinin talimatıyla teknik yardım sağlayabilir.
38.4. Yanıt Süresi ve Ücret
Usulüne uygun başvurular, talebin niteliğine göre mümkün olan en kısa sürede ve kanuni azami süre içinde yanıtlanır.
Başvurular kural olarak ücretsizdir. İşlemin ayrıca maliyet gerektirmesi hâlinde mevzuatta belirlenen ücret uygulanabilir.
39. Tercihleriniz ve Kontrolleriniz
Kullanıcılar aşağıdaki kontrollerden yararlanabilir:
39.1. Hesap Bilgileri
Hesap ayarlarından veya destek üzerinden:
- iletişim bilgilerini,
- profil bilgilerini,
- kullanıcı rollerini
güncelleyebilirsiniz.
39.2. Pazarlama Tercihleri
Ticari ileti izinlerini geri çekebilirsiniz.
39.3. Çerez Tercihleri
Zorunlu olmayan çerezleri tercih panelinden yönetebilirsiniz.
39.4. Entegrasyonlar
Bağlı banka, pazaryeri veya diğer entegrasyonları kapatabilirsiniz.
39.5. AI Özellikleri
Ürün tasarımına göre AI özellikleri:
- kullanıcı işlemiyle,
- yönetici ayarıyla,
- Paket ayarıyla
etkinleştirilebilir veya sınırlandırılabilir.
Kesin kontrol seçenekleri üretim öncesinde doğrulanacaktır.
39.6. Veri Dışa Aktarımı
Aktif hesap sırasında ve hesap kapanışından sonraki desteklenen dönemde verilerinizi dışa aktarabilirsiniz.
40. Politika Değişiklikleri
Bu Politika aşağıdaki nedenlerle güncellenebilir:
- mevzuat değişikliği,
- yeni ürün veya özellik,
- yeni entegrasyon,
- hizmet sağlayıcısı değişikliği,
- veri akışında değişiklik,
- güvenlik gereksinimi.
Her sürümde:
- sürüm numarası,
- son güncelleme tarihi,
- yürürlük tarihi
gösterilir.
Önemli değişiklikler:
- e-posta,
- uygulama içi bildirim,
- web sitesi duyurusu
ile bildirilebilir.
Yeni açık rıza gerektiren bir işlem için yalnızca bu Politikanın güncellenmesi yeterli sayılmaz; gerekli tercih ayrıca alınır.
41. İletişim
Gizlilik ve kişisel veri konularında bizimle iletişime geçebilirsiniz:
1453 İstanbul Gıda San. ve Tic. Ltd. Şti.
Mevlana Mah. Yunus Emre Cad. No: 60 İç Kapı No: A, Gebze/Kocaeli
Telefon: +90 (532) 420 66 35
E-posta: info@marfin.com.tr
Web sitesi: https://www.marfin.com.tr
KEP: [KEP ADRESİ VARSA EKLENECEKTİR]
Güvenlik bildirim e-postası:
[GÜVENLİK İLETİŞİM E-POSTASI BİLGİSİ TAMAMLANACAK]
42. İlgili Belgeler
Bu Politikayla birlikte aşağıdaki belgeler incelenebilir:
- B2B Kullanıcı ve Abonelik Sözleşmesi
- KVKK Aydınlatma Metni
- Çerez Politikası
- Açık Rıza ve Ticari İleti Onayı
- Veri İşleme Sözleşmesi (DPA)
- Veri Saklama ve İmha Politikası
- İlgili Kişi Başvuru Formu
- Alt İşleyenler Listesi
- Yurt Dışına Veri Aktarım Eki
- AI Kullanım Şartları
- AI Veri İşleme Politikası
- AI Sorumluluk Reddi
- Bilgi Güvenliği Politikası
43. Yayın Öncesi Kontrol Listesi
Bu bölüm yayımlanan kullanıcı sürümünden kaldırılmalı veya iç kontrol belgesinde tutulmalıdır.
43.1. Şirket ve İletişim Bilgileri
- KEP adresi eklendi.
- KVKK başvuru e-postasının ayrı olup olmayacağı kararlaştırıldı.
- Güvenlik bildirim e-postası oluşturuldu.
- Elektronik imzalı başvuru adresi belirlendi.
- VERBİS yükümlülüğü ve bilgiler değerlendirildi.
43.2. Ürün ve Veri Akışları
- Web uygulamasındaki tüm veri alanları envantere işlendi.
- Mobil uygulama izinleri ve SDK’lar belirlendi.
- Hesap kayıt formunda T.C. kimlik numarası veya doğum tarihi toplanıp toplanmadığı doğrulandı.
- Destek görüşmesi veya ekran kaydı alınıp alınmadığı doğrulandı.
- Kullanıcı ve işlem loglarının gerçek kapsamı belirlendi.
- Otomatik karar veya profilleme özelliği bulunup bulunmadığı doğrulandı.
43.3. Çerezler ve Analitik
- Gerçek çerez envanteri çıkarıldı.
- Mobil SDK envanteri çıkarıldı.
- Analitik sağlayıcı belirlendi.
- Hata izleme sağlayıcısı belirlendi.
- Zorunlu olmayan teknolojiler onay öncesinde engellendi.
- Çerez tercih paneli test edildi.
- Her çerez ve SDK için saklama süresi belirlendi.
43.4. Ödeme
- İyzico veya güncel sağlayıcı kesinleştirildi.
- Marfin sistemine dönen ödeme alanları belirlendi.
- Tam kart ve CVV verisinin Marfin tarafından saklanmadığı doğrulandı.
- Saklı kart ve tokenizasyon akışı doğrulandı.
- Otomatik yenileme onay kaydı test edildi.
- 14 günlük denemenin otomatik ücretliye dönüşmediği test edildi.
43.5. AI ve OCR
- Üretimdeki AI sağlayıcıları belirlendi.
- Kurumsal/API planlarında model eğitimi ayarı doğrulandı.
- Sağlayıcıların veri saklama süreleri belirlendi.
- AI’a gönderilen gerçek alanlar veri akış matrisine işlendi.
- AI konuşma geçmişinin Marfin’de ne kadar tutulacağı belirlendi.
- AI özelliğinin varsayılan açık/kapalı ayarı belirlendi.
- OCR dosyalarının ve çıkarılan metnin saklama süresi belirlendi.
- Özel nitelikli veri uyarısı veya engelleme mekanizması değerlendirildi.
43.6. Entegrasyonlar
- E-dönüşüm entegratörü kesinleştirildi.
- Banka/açık bankacılık sağlayıcısı kesinleştirildi.
- Pazaryeri entegrasyonları kesinleştirildi.
- Her entegrasyonun veri kapsamı belirlendi.
- Token saklama ve yenileme yöntemi doğrulandı.
- Entegrasyon kapatma ve veri silme davranışı test edildi.
43.7. Alt İşleyenler ve Yurt Dışı Aktarım
- Supabase üretim bölgesi ve sözleşme tarafı doğrulandı.
- Cloudflare ürünleri ve veri kapsamı doğrulandı.
- E-posta sağlayıcısı kesinleştirildi.
- Alt İşleyenler Listesi tamamlandı.
- Her sağlayıcının işleme ülkesi veya bölgesi belirlendi.
- Standart sözleşme veya diğer aktarım mekanizması tamamlandı.
- Gerekli Kurum bildirimleri ve kayıtları tamamlandı.
- Yurt Dışına Veri Aktarım Eki yayımlandı.
43.8. Saklama ve Silme
- Destek kayıtlarının saklama süresi belirlendi.
- Güvenlik ve işlem loglarının saklama süresi belirlendi.
- AI kayıtlarının saklama süresi belirlendi.
- Günlük yedek ve 30 günlük döngü teknik olarak doğrulandı.
- Hesap kapanışı sonrası 60 günlük erişim akışı test edildi.
- Veri dışa aktarım formatları gerçek ürünle eşleştirildi.
- Aktif sistem ve yedek silme süreci test edildi.
- Veri Saklama ve İmha Politikasıyla süreler eşleştirildi.
43.9. Güvenlik
- E-posta doğrulaması test edildi.
- 2FA’nın gerçek durumu doğrulandı.
- Rol ve yetki yönetimi test edildi.
- Ayrılan kullanıcı erişiminin kaldırılması test edildi.
- Şifreleme ifadeleri gerçek teknik mimariyle doğrulandı.
- İhlal ve olay müdahale süreci oluşturuldu.
- Hukuk ve teknik ekip iletişim matrisi tamamlandı.
43.10. Belge Uyumu
- KVKK Aydınlatma Metniyle veri kategorileri eşleştirildi.
- DPA ile veri sorumlusu/veri işleyen ayrımı eşleştirildi.
- Çerez Politikasıyla teknoloji kategorileri eşleştirildi.
- AI Veri İşleme Politikasıyla sağlayıcı ve saklama açıklamaları eşleştirildi.
- Alt İşleyenler Listesiyle sağlayıcı isimleri eşleştirildi.
- B2B Kullanıcı ve Abonelik Sözleşmesiyle 60 günlük veri erişimi eşleştirildi.
- Hukukçu incelemesi tamamlandı.
- Teknik ekip doğrulaması tamamlandı.
- Yürürlük tarihi eklendi.
- Taslak uyarısı ve iç kontrol listesi yayımlanan sürümden kaldırıldı.
Belge Sonu
Bu belge, Marfin Hukuki Dokümantasyon Projesi kapsamında hazırlanmıştır.
Yayın durumu: Taslak
Hukukçu onayı: Bekleniyor
Teknik doğrulama: Bekleniyor
Yürürlük tarihi: [BİLGİ TAMAMLANACAK]