Gizlilik Politikası & KVKK Aydınlatma Metni

Son güncelleme: 16 Nisan 2026

1. Veri Sorumlusu

Bu aydınlatma metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında, Teknobursa Teknoloji Hizmetleri Sanayi ve Ticaret Limited Şirketi tarafından işletilen Supplify (supplify.com.tr) platformu kullanıcılarını bilgilendirmek amacıyla hazırlanmıştır. Teknobursa veri sorumlusu sıfatıyla hareket etmektedir.

2. Toplanan Kişisel Veriler

Platformu kullanırken aşağıdaki kişisel veriler toplanabilir:

  • Kimlik bilgileri: Ad, soyad, e-posta adresi, telefon numarası
  • Firma bilgileri: Şirket adı, vergi numarası, adres
  • Hesap bilgileri: Kullanıcı adı, şifre (bcrypt ile şifrelenmiş, düz metin saklanmaz)
  • İşlem bilgileri: Sipariş geçmişi, ödeme kayıtları, abonelik durumu, fatura bilgileri
  • Teknik veriler: IP adresi, tarayıcı bilgisi (user-agent), erişim zamanları, kullanıcı aktivite logları
  • QR Menü & misafir sipariş: Masa numarası, misafir adı, misafir telefon numarası (anonim sipariş için, 90 gün sonra otomatik anonimleştirilir)
  • Ürün/katalog bilgileri: Ürün adları, fiyatlar, görseller, kategoriler

3. Kişisel Verilerin İşlenme Amacı ve Hukuki Sebebi

Kişisel verileriniz aşağıdaki amaçlarla ve KVKK md. 5/2 kapsamındaki hukuki sebeplere dayanarak işlenmektedir:

  • Sözleşmenin kurulması ve ifası (md. 5/2-c): Hesap oluşturma, abonelik yönetimi, sipariş işleme, fatura düzenleme
  • Kanuni yükümlülüklerin yerine getirilmesi (md. 5/2-ç): Vergi Usul Kanunu, e-fatura mevzuatı, yasal saklama süreleri
  • Meşru menfaat (md. 5/2-f): Platform güvenliği, dolandırıcılık önleme, hizmet iyileştirme, müşteri destek
  • Açık rıza (md. 5/1): Pazarlama iletileri, kampanya duyuruları (opsiyonel, kayıt sırasında ayrı onay)

4. Verilerin Saklanma Süreleri

  • Hesap & firma bilgileri: Hesap aktif olduğu sürece + KVKK talebi olmadıkça, kapatma sonrası 30 gün içinde anonimleştirilir
  • Siparişler & fatura: 10 yıl (Vergi Usul Kanunu md. 253)
  • Aktivite logları: IP adresi 90 gün, log kaydı 1 yıl
  • QR misafir sipariş (guest_name, guest_phone): 90 gün sonra otomatik anonimleştirme; sipariş kaydı (ciro için) 10 yıl saklanır
  • Ödeme kayıtları: 10 yıl (mali mevzuat); kart bilgisi sunucularımızda asla saklanmaz (iyzico tarafında tokenize)
  • Pulse telemetri: 3 gün (sadece performans izleme)
  • Oturum/sessions: 2 saat (auto-expire)

5. Üçüncü Taraf Hizmet Sağlayıcılar

Hizmet sunabilmek için aşağıdaki veri işleyicilerle çalışmaktayız. Paylaşılan veri sadece hizmet için gerekli minimum kapsamdadır.

Google Cloud Platform (GCP) — Altyapı & Depolama

Sunucular Google Cloud'un europe-west1 (Belçika) bölgesinde. Veritabanı (Cloud SQL), dosya depolama (Cloud Storage — GCS bucket: supplify-files), uygulama runtime (Cloud Run). Yurt dışı transfer: Belçika AB üyesi, Avrupa Komisyonu yeterlilik kararı kapsamındadır.

Cloudflare — CDN, DNS & WAF

Trafik Cloudflare üzerinden geçer (CDN, DDoS koruması, WAF). Cloudflare zorunlu çerezler (__cf_bm) ve IP bilgisi bot tespiti için işler. Cloudflare global altyapıya sahiptir; Avrupa'da eş zamanlı işleme yapar.

iyzico — Ödeme

Abonelik ödemeleri iyzico altyapısı üzerinden. Kart bilgileri doğrudan iyzico tarafında işlenir, sunucularımızda saklanmaz. iyzico PCI DSS Level 1 uyumlu, Türkiye'de faaliyet gösteren yurt içi veri işleyicidir.

SendGrid (Twilio) — E-posta

İşlemsel e-postalar (sipariş onayı, şifre sıfırlama, abonelik bilgilendirme) SendGrid üzerinden. Sadece ad-soyad + e-posta paylaşılır. Sunucular ABD merkezli; KVKK md. 9 kapsamında açık rıza veya sözleşme zorunluluğu ile aktarım.

Paraşüt — e-Fatura & Muhasebe

e-Fatura ve e-Arşiv düzenleme için Paraşüt API entegrasyonu. Firma unvanı, vergi no, adres, sipariş tutarları paylaşılır. Paraşüt Türkiye merkezli yurt içi veri işleyicidir.

6. Çerezler

Platformda yalnızca zorunlu ve işlevsel çerezler kullanılmaktadır. Reklam veya takip çerezi YOKTUR.

  • supplify-session: Oturum yönetimi (zorunlu, 2 saat)
  • XSRF-TOKEN: CSRF güvenlik (zorunlu)
  • __cf_bm (Cloudflare): Bot tespiti (zorunlu, 30 dk)
  • theme: Koyu/açık tema tercihi (işlevsel, localStorage)
  • sidebarOpen: Sidebar durumu (işlevsel, localStorage)

7. Veri Güvenliği

  • Tüm trafik TLS 1.3 ile şifrelidir (HTTPS zorunlu, HSTS aktif)
  • Şifreler bcrypt ile hash'lenir, düz metin asla saklanmaz
  • Veritabanı erişimi yalnızca yetkili servis hesapları ile, IP kısıtlı
  • Hassas bilgiler (API anahtarları, şifreler) GCP Secret Manager'da
  • Yetki kontrolü katmanlı: role + sub_role + permission middleware
  • Multi-tenant izolasyon: her firmanın verisi sadece kendine görünür (TenantScope)
  • Cross-tenant erişim yalnızca B2B bağlantısı üzerinden (karşılıklı onay)

8. KVKK Kapsamındaki Haklarınız

KVKK md. 11 kapsamında aşağıdaki haklara sahipsiniz:

  • Kişisel verilerinizin işlenip işlenmediğini öğrenme
  • Verileriniz işlenmişse buna ilişkin bilgi talep etme
  • İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
  • Yurt içi/yurt dışı aktarılan üçüncü kişileri bilme
  • Eksik veya yanlış işlenmiş verilerin düzeltilmesini isteme
  • Silme veya anonimleştirme (unutulma hakkı) isteme — talep edildiğinde 30 gün içinde uygulanır
  • Düzeltme/silme işlemlerinin üçüncü kişilere bildirilmesini isteme
  • Otomatik sistem analizi sonucu aleyhinize bir sonuca itiraz etme
  • Kanuna aykırı işlemeden kaynaklı zararın tazminini talep etme

9. Başvuru Prosedürü

Haklarınızı kullanmak için info@supplify.com.tr adresine, kayıtlı e-posta adresinizden aşağıdaki bilgileri içeren bir başvuru gönderin:

  • Ad-soyad, kayıtlı e-posta
  • Firma (varsa) ve kullanıcı ID
  • Talep konusu (öğrenme, düzeltme, silme/anonimleştirme)
  • Gerekçe ve açıklama

Başvurunuz en geç 30 gün içinde yanıtlanır. Sonuçtan memnun kalmazsanız Kişisel Verileri Koruma Kurulu'na şikayet edebilirsiniz.

10. İletişim

Veri Sorumlusu: Teknobursa Teknoloji Hizmetleri Sanayi ve Ticaret Limited Şirketi

Platform: Supplify (supplify.com.tr)

E-posta (KVKK başvuru): info@supplify.com.tr

Veri işleme faaliyet adresi: GCP europe-west1 (Belçika) / Türkiye yurt içi operasyonlar

11. Değişiklikler

Bu aydınlatma metni yasal/operasyonel değişiklikler üzerine güncellenebilir. Önemli değişiklikler e-posta ile bildirilir. Kullanmaya devam etmeniz güncel metni kabul ettiğiniz anlamına gelir. Güncel sürüm her zaman supplify.com.tr/privacy adresinde bulunur.