6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") uyarınca veri sorumlusu sıfatıyla Sulody, hizmetlerimizi kullanırken toplanan kişisel verilerinizi bu politikada açıklanan amaçlar ve yöntemlerle işlemektedir.

Bu Gizlilik Politikası; hangi verileri topladığımızı, bu verileri nasıl kullandığımızı ve koruduğumuzu ile haklarınızı açıklamaktadır. Hizmetlerimizi kullanmaya devam ederek bu politikayı okuduğunuzu ve kabul ettiğinizi beyan etmiş olursunuz.

Hizmetlerimizi sağlamak amacıyla aşağıdaki kişisel veri kategorilerini topluyoruz:

• Kimlik verileri: Ad, soyad, doğum tarihi (varsa), kullanıcı kimlik numarası (UID)
• İletişim verileri: E-posta adresi, telefon numarası
• Hesap kimlik doğrulama: bcrypt ile hash'lenmiş şifre, e-posta doğrulama OTP kodları (5 dakika sonra silinir)
• Finansal veriler: Abonelik planı, kayıtlı kart tokenı (iyzico'dan alınan), abonelik durumu, fatura bilgileri, ödeme geçmişi, ödeme deneme kayıtları (başarılı/başarısız), iyzico hata kodları. Kart numarası, CVC veya son kullanma tarihi bizim sunucumuzda saklanmaz — yalnızca iyzico altyapısında saklanır.
• Dosya ve içerik verileri: Yüklediğiniz dosyalar, fotoğraflar, belgeler, bilgisayar yedekleri, klasör yapısı, paylaşım linkleri, klasör şifre hash'leri
• İşlem verileri: Giriş zamanları, yükleme/indirme geçmişi, paylaşım aktiviteleri, dosya silme/geri yükleme kayıtları, abonelik değişiklik logları
• Teknik veriler: IP adresi, tarayıcı türü, işletim sistemi, oturum tokenı, cihaz türü, başarısız giriş denemesi sayısı (brute-force koruması için)
• Aktif oturumlar: Hangi cihazlardan giriş yapıldığı, son aktivite zamanı, oturum kapatma zamanları
• API erişim verileri: Mobil uygulama / API kullanımı için üretilmiş erişim tokenları, son kullanım zamanları
• Webhook ve sistem olayları: Üçüncü taraf servislerden (iyzico) gelen ödeme/abonelik bildirimleri, idempotency kontrolü için olay kayıtları
• İşbirliği verileri: Aile grubu üyelikleri, workspace üyelikleri ve rolleri, davet kodları
• Tercih verileri: Tema (açık/koyu), dil, arayüz tercihleri, bildirim açma/kapama tercihi
• Pazarlama izni durumu: Ticari elektronik ileti için verilen açık rıza durumu (varsa)

Topladığımız kişisel verileri yalnızca aşağıdaki amaçlarla işleriz:

• Bulut depolama hizmetinin sağlanması ve sürdürülmesi
• Kullanıcı hesabının oluşturulması, e-posta üzerinden doğrulanması (OTP) ve güvenliğinin sağlanması
• Abonelik yönetimi: otomatik yenileme, ödeme alımı, başarısız ödeme tekrar denemeleri (1, 3, 5. gün), kart güncelleme süreçleri
• Hesap silme akışı: 30 günlük bekleme dönemi, reaktivasyon sırasında kaçırılan ödemenin tahsili (dolandırıcılığın önlenmesi)
• Paylaşım, aile planı ve workspace özelliklerinin yürütülmesi
• Teknik destek ve müşteri hizmetleri sunulması
• Sistem güvenliğinin sağlanması: brute-force koruması (IP ban), şüpheli giriş tespiti, oturum yönetimi
• İyzico'dan gelen webhook bildirimlerinin işlenmesi (chargeback, ödeme reddi vb.)
• Hizmet kalitesinin ölçülmesi ve geliştirilmesi (kişisel veri içermeyen toplu istatistikler)
• Yasal yükümlülüklerin yerine getirilmesi (vergi mevzuatı, 5651 sayılı kanun, KVKK, telif hakkı bildirimleri)
• Açık rızanız varsa pazarlama iletişimi gönderilmesi (kampanya, indirim, yenilik duyuruları)

Kişisel verileriniz KVKK Madde 5 ve Madde 6 kapsamındaki aşağıdaki hukuki sebeplere dayanılarak işlenmektedir:

• Sözleşmenin ifası: Hizmet sözleşmesinin kurulması ve yürütülmesi için zorunlu veriler (hesap bilgileri, dosya verileri)
• Açık rıza: İsteğe bağlı özellikler ve bildirimler için rızanıza dayalı işlemler
• Meşru menfaat: Hizmet güvenliği, dolandırıcılık tespiti ve hizmet iyileştirme
• Yasal yükümlülük: Vergi mevzuatı, 5651 sayılı Kanun ve diğer düzenleyici gereklilikler

Kişisel verilerinizin korunması için KVKK Madde 12 uyarınca gerekli teknik ve idari tedbirleri uyguluyoruz:

• Dosya şifrelemesi: Yüklediğiniz tüm dosyalar AES-256-GCM (Galois/Counter Mode) ile sunucu tarafında şifrelenir. Bu mod hem gizlilik (encryption) hem bütünlük (authentication) sağlar. Her kullanıcı/workspace için benzersiz bir şifreleme anahtarı üretilir; bir anahtarın ele geçmesi diğer kullanıcıları etkilemez.
• Aktarım güvenliği: Tarayıcınız ile sunucularımız arasındaki tüm veri iletişimi TLS 1.2/1.3 protokolü ile şifrelenmektedir (HTTPS). HSTS (Strict-Transport-Security) ile zorunlu HTTPS uygulanmaktadır.
• Şifre güvenliği: Hesap şifreleriniz bcrypt/scrypt algoritması ile hash'lenerek saklanmakta; düz metin olarak hiçbir sistemde tutulmamaktadır. Şifre karşılaştırması zamanlama saldırılarına karşı korumalıdır.
• İki aşamalı doğrulama (OTP): Her girişte e-posta adresinize 6 haneli, 5 dakika geçerli doğrulama kodu gönderilir. Yanlış kod 5 kere denenirse oturum sonlanır.
• Brute-force koruması: Aynı IP adresinden 5 başarısız giriş denemesinden sonra kademeli engelleme uygulanır: ilk seferde 10 dk, ikinci seferde 30 dk, sonraki engellemeler 60 dk sürer.
• Oturum güvenliği: Hareketsiz kalan oturumlar 24 saat sonra otomatik olarak sonlandırılır. Şifre değişikliği, hesap silme gibi kritik işlemler ayrıca OTP ile doğrulanır.
• CSRF koruması: Tüm form ve API çağrılarında token tabanlı CSRF koruması uygulanır.
• Erişim kontrolü: Verilerinize yalnızca hizmetin sunulması için yetkilendirilmiş sistemler erişebilir; çalışanlar dahil hiçbir kişi şifreli dosyalarınızı görüntüleyemez.
• Ek koruma katmanları: Klasörlerinize ayrı şifre koyabilir, paylaşım linklerine süre/şifre ekleyebilirsiniz.
• Güvenlik denetimleri: Sistemlerimiz düzenli güvenlik testlerine ve açık (vulnerability) taramalarına tabi tutulmaktadır.

Kişisel verileriniz yalnızca aşağıdaki sınırlı durumlarda üçüncü taraflarla paylaşılabilir:

• Ödeme altyapısı — iyzico Ödeme Hizmetleri A.Ş.:
  • Paylaşılan veriler: Ad-soyad, e-posta, kart bilgileri (doğrudan iyzico altyapısına girilir), fatura bilgileri, ödeme tutarı, plan adı, ödeme kimliği
  • Amaç: Aboneliğinizin ücretinin tahsil edilmesi, 3D Secure doğrulaması, kart kaydı (tokenization)
  • Hukuki dayanak: Sözleşmenin ifası (KVKK md. 5/2-c)
  • iyzico, PCI-DSS Level 1 uyumludur ve BDDK tarafından düzenlenmektedir.
  • Kart numarası, CVC ve son kullanma tarihi SULODY sunucusunda saklanmaz; yalnızca iyzico tarafında saklanır.
• E-posta gönderim altyapısı:
  • Paylaşılan veriler: E-posta adresi, gönderilecek mesajın içeriği (OTP kodu, sistem bildirimi vb.)
  • Amaç: Doğrulama kodu, güvenlik uyarısı, ödeme bildirimi, plan değişikliği gibi sistem e-postalarının gönderimi
  • Hukuki dayanak: Sözleşmenin ifası (KVKK md. 5/2-c)
• Felaket Kurtarma — Backblaze Inc. (Backblaze B2 Cloud Storage, ABD):
  • Paylaşılan veriler: Yalnızca SULODY tarafından AES-256-GCM ile şifrelenmiş veri arşivleri. Şifreleme anahtarı SULODY'de kalır; Backblaze ham veri içeriklerine erişemez.
  • Amaç: Donanım arızası, doğal afet, ransomware saldırısı veya benzeri felaket durumlarında veri kurtarılabilirliğin sağlanması.
  • Hukuki dayanak: Sözleşmenin ifası ve veri sorumlusunun meşru menfaati (KVKK md. 5/2-c ve 5/2-f).
  • Yurt dışı aktarım: Backblaze sunucuları Amerika Birleşik Devletleri'nde bulunduğundan, bu paylaşım yurt dışına veri aktarımı niteliğindedir ve KVKK m. 9 kapsamında değerlendirilir. Backblaze, ISO 27001 sertifikalı ve GDPR uyumludur; veri işleyici sıfatıyla SULODY ile yazılı veri işleme sözleşmesi imzalanmıştır.
  • Aktarımın açık rızası: Kullanıcı, Hizmet'i kullanmaya devam ederek ve sözleşmeleri onaylayarak şifrelenmiş yedek kopyalarının yurt dışında saklanmasına açık rıza verir.
  • Yedek süresi: Hesap silindikten en geç 30 gün içinde Backblaze tarafındaki yedeklerden de silinir.
• Mobil Bildirim — Expo Push Service (Expo, ABD):
  • Paylaşılan veriler: Yalnızca cihaz push token'ı (rastgele üretilmiş kimliksiz değer) ve bildirim metni başlığı/içeriği.
  • Amaç: Mobil cihazlara güvenlik uyarısı, paylaşım bildirimi gibi anlık push iletisi gönderimi.
  • Hukuki dayanak: Sözleşmenin ifası (KVKK md. 5/2-c).
  • Yurt dışı aktarım: Expo Push Service sunucuları ABD'de bulunduğundan KVKK m. 9 kapsamında değerlendirilir.
• CDN ve DDoS Koruma — Cloudflare Inc. (Küresel):
  • Paylaşılan veriler: HTTP istek metadatası (IP adresi, user-agent, isteğin URL'i), saldırı önleme amaçlı analiz verileri.
  • Amaç: İçerik dağıtım (CDN) hızlandırma, DDoS koruması, TLS sertifika yönetimi.
  • Hukuki dayanak: Veri sorumlusunun meşru menfaati (KVKK md. 5/2-f).
• Yasal zorunluluk: Mahkeme kararı, savcılık talebi, yasal zorunluluk veya 5651 sayılı kanun gereği yetkili kamu kurumlarıyla paylaşım yapılabilir. Bu paylaşımlar her zaman talebin yasal sınırları çerçevesinde gerçekleştirilir. SULODY, yetkili Türk Cumhuriyeti mahkemelerinin ve savcılıklarının yasal taleplerine uygun olarak, KVKK Madde 28 kapsamında hukuki yükümlülük doğduğunda şifreli kullanıcı verilerini (dosya içerikleri ve hassas kişisel veriler dahil) teknik araçlarla çözebilir. Bu işlem yalnızca yasal merciinin yazılı talebi üzerine gerçekleştirilir ve her erişim denetim kaydına alınır.
• Şirket devri: SULODY'nin birleşmesi, satın alınması veya işletme devri durumunda kullanıcı verileri devralan şirkete aktarılabilir; bu durumda önceden bildirim yapılır ve devre razı olmayan kullanıcılar hesaplarını ücretsiz iptal edebilir.

Yukarıdaki durumlar dışında verileriniz hiçbir üçüncü tarafla paylaşılmaz, satılmaz, kiralanmaz veya devredilmez.

Birincil saklama yeri Türkiye'dir. Tüm aktif kullanıcı verileri ve yüklediğiniz dosyalar, İstanbul/Türkiye'de bulunan sunucularımızda AES-256-GCM ile şifrelenmiş olarak saklanır ve işlenir. Günlük operasyonlarda verileriniz Türkiye'den ayrılmaz.

Bununla birlikte, hizmetin teknik güvenilirliği ve felaket dayanıklılığı için sınırlı kapsamda yurt dışı aktarımlar gerçekleştirilmektedir. Bu aktarımların tamamı KVKK Madde 9 kapsamında değerlendirilmekte, yalnızca zorunlu ölçüde ve aşağıdaki güvenceler altında yapılmaktadır:

• Backblaze Inc. — ABD (Felaket Kurtarma):
  • Aktarılan veri türü: Yalnızca SULODY sunucusunda AES-256-GCM ile şifrelenmiş yedek arşivler. Şifreleme anahtarı SULODY tarafında kalır; Backblaze ham veriye, dosya adlarına veya içeriklere düz metin olarak erişemez.
  • Amaç: Donanım arızası, doğal afet, ransomware saldırısı veya benzeri felaketlerde verilerin kurtarılabilirliğini sağlamak — günlük operasyonlarda kullanılmaz.
  • Hukuki dayanak: Veri sorumlusunun meşru menfaati (KVKK md. 5/2-f) ve Kullanıcının sözleşme onayı (KVKK md. 9/1).
  • Sağlayıcı güvenceleri: ISO 27001 sertifikalı, GDPR uyumlu, SOC 2 Type II denetimli; SULODY ile yazılı veri işleme sözleşmesi imzalıdır.
  • Süre: Hesap silindikten en geç 30 gün içinde Backblaze tarafındaki yedeklerden de silinir.
• Expo Push Service — ABD (Mobil Bildirim):
  • Aktarılan veri: Kimliksiz mobil cihaz push token'ı ve bildirim metni başlığı/içeriği.
  • Amaç: Mobil cihaza güvenlik uyarısı, paylaşım bildirimi ve sistem mesajı iletimi.
  • Hukuki dayanak: Sözleşmenin ifası (KVKK md. 5/2-c).
• Cloudflare Inc. — Küresel (CDN/DDoS Koruma):
  • Aktarılan veri: HTTP istek metadatası (IP adresi, user-agent, isteğin yolu), DDoS saldırı önleme analiz verileri. Şifreli içerik aktarılmaz; Cloudflare yalnızca TLS terminasyonu ve trafik yönlendirme yapar.
  • Amaç: İçerik dağıtım hızlandırma, DDoS koruması, TLS sertifika yönetimi.
  • Hukuki dayanak: Veri sorumlusunun meşru menfaati (KVKK md. 5/2-f).
• E-posta servis sağlayıcısı:
  • Aktarılan veri: Alıcı e-posta adresi ve gönderilen sistem mesajının içeriği (OTP, doğrulama, bildirim).
  • Amaç: Sistem e-postalarının teslimi.
  • Hukuki dayanak: Sözleşmenin ifası.

Önemli ayrım: Yukarıdaki aktarımlar, kullanıcının özel dosya içeriklerine yurt dışı sağlayıcının erişimi olmayacak şekilde tasarlanmıştır. Backblaze'e aktarılan veriler şifreli arşivlerdir; çözümlenmesi yalnızca SULODY'nin sahip olduğu anahtarla mümkündür. Bu nedenle yurt dışı sağlayıcılar, dosya içeriklerinizi okuyabilecek konumda değildir.

KVKK m. 9 kapsamında bu aktarımlar, Kullanıcının Hizmet'i kullanmaya başlarken işbu Gizlilik Politikası ile Hüküm ve Koşulları onaylayarak verdiği açık rızaya, sözleşmenin ifasına ve veri sorumlusunun meşru menfaatine dayanılarak gerçekleştirilmektedir.

Yukarıda sayılanlar dışında verileriniz hiçbir yurt dışı kuruma, üçüncü tarafa, reklam ağına veya analiz hizmetine aktarılmaz.

SULODY sizinle iki farklı kategoride iletişim kurar:

1. Zorunlu hizmet iletişimleri (rıza gerekmez):

• Hesap doğrulama OTP kodları
• Şifre sıfırlama, hesap silme onayı kodları
• Güvenlik uyarıları (şüpheli giriş, IP engelleme)
• Ödeme bildirimleri (yenilenme, başarısız tahsil, retry sonuçları, plan düşürülmesi)
• Sistem duyuruları (planlı bakım, kritik güncellemeler, hizmet kesintileri)
• Aile/workspace değişiklik bildirimleri

Bu iletişimler hizmetin doğru işleyişi için zorunludur ve devre dışı bırakılamaz (KVKK md. 5/2-c — sözleşmenin ifası).

2. Pazarlama iletişimleri (yalnızca açık rıza ile):

• Yeni özellik duyuruları, kampanyalar, indirim haberleri
• Ürün önerileri, kullanıcı anketleri, e-bülten

Pazarlama iletişimi yalnızca Hesap Ayarları → Bildirimler bölümünden açık rıza vermeniz halinde gönderilir. Bu onayı dilediğiniz zaman geri çekebilirsiniz. Her pazarlama e-postasında tek tıkla abonelikten çıkma (unsubscribe) bağlantısı yer alır.

SULODY, belirli işlemleri otomatik karar verme süreçleriyle gerçekleştirir. KVKK Madde 11/g uyarınca bu süreçler hakkında sizi bilgilendirme yükümlülüğümüz vardır:

• Otomatik ödeme tahsilatı: Aboneliğiniz yenileme gününde kayıtlı kartınızdan otomatik olarak ücret tahsil edilir.
• Otomatik retry programı: Başarısız ödemelerde, otomatik olarak 1, 3 ve 5 gün sonra tekrar denenir; 7. günde plan ücretsiz Başlangıç Paketine düşürülür.
• Hesap reaktivasyonu sırasında catch-up tahsilatı: Hesap silme döneminde kaçırılan ödeme varsa, hesabı tekrar açtığınızda otomatik olarak tahsil edilir (dolandırıcılığın önlenmesi amacıyla).
• IP engelleme: Aynı IP'den 5 başarısız giriş denemesi olunca otomatik olarak 10/30/60 dakikalık kademeli engelleme uygulanır.
• 30 gün sonra hesap silme: Hesabınızı sildiyseniz ve 30 gün içinde geri yüklemediyseniz, hesabınız ve dosyalarınız otomatik olarak kalıcı silinir.
• Çöp kutusu temizliği: Çöp kutusundaki dosyalar 30 gün sonra otomatik olarak kalıcı silinir.

Bu otomatik kararlardan herhangi birine itiraz hakkınız bulunmaktadır; [email protected] adresinden başvurabilirsiniz.

SULODY hizmetleri yalnızca 18 yaşını doldurmuş kişilerin kullanımı için sunulmaktadır.

• Bireysel kayıt sırasında doğum tarihi zorunlu olarak alınır ve 18 yaş kontrolü sistem tarafından otomatik yapılır.
• 18 yaşından küçük olduğu tespit edilen hesaplar — yanlış doğum tarihi beyanıyla açılmış olsa dahi — kapatılır ve veriler silinir.
• Çocuğunuzun SULODY'yi onayınız dışında kullandığını fark ederseniz, hesabın silinmesi için lütfen [email protected] adresinden bizimle iletişime geçin.

KVKK Madde 11 uyarınca kişisel verilerinize ilişkin aşağıdaki haklara sahipsiniz:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme
• İşlenmişse buna ilişkin bilgi talep etme
• İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
• Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenme
• Eksik veya yanlış işlenmiş olması halinde düzeltilmesini isteme
• KVKK Madde 7 kapsamında silinmesini veya yok edilmesini isteme
• Düzeltme ve silme işlemlerinin aktarılan üçüncü kişilere bildirilmesini isteme
• Münhasıran otomatik sistemler ile analiz edilmesi sonucunda aleyhinize bir sonuç ortaya çıkmasına itiraz etme

KVKK Madde 11 kapsamındaki haklarınızı kullanmak için aşağıdaki yollardan bize başvurabilirsiniz:

• E-posta: [email protected] adresine kimliğinizi doğrulayan bilgilerle yazılı başvuru
• Hesap üzerinden: Giriş yaptıktan sonra Ayarlar > Hesap bölümünden veri silme ve dışa aktarma talepleri

Başvurularınız KVKK Madde 13 uyarınca en geç 30 gün içinde yanıtlanacaktır. Talebin niteliğine göre ek bilgi veya kimlik doğrulaması istenebilir.

Hizmetimizde yalnızca zorunlu teknik çerezler kullanılmaktadır. Bu çerezler oturum yönetimi ve güvenlik için gereklidir; bunlar olmadan hizmet düzgün çalışamaz.

Üçüncü taraf takip çerezleri, reklam çerezleri veya analitik çerezler kullanılmamaktadır. Çerez türleri ve amaçları:

• Oturum çerezi: Giriş durumunuzu korur (tarayıcı kapatılınca silinir)
• Güvenlik çerezi: CSRF saldırılarına karşı koruma sağlar
• Tercih çerezi: Tema ve dil tercihlerinizi hatırlar

• Hesap ve dosya verileri: Hesabınız aktif olduğu süre boyunca saklanır
• Hesap silinmesi: Silme talebinin ardından 30 gün grace dönemi (geri yükleme imkânı); süre sonunda dosyalar, oturumlar, abonelik, ödeme deneme kayıtları, davet ilişkileri ve teknik veriler kalıcı silinir
• Çöp kutusu dosyaları: Çöp kutusuna taşınan dosyalar 30 gün sonra otomatik olarak kalıcı silinir
• OTP doğrulama kodları: Üretildikten 5 dakika sonra otomatik geçersiz hale gelir; kod kullanılsın kullanılmasın silinir
• Aktif oturumlar: 24 saat hareketsizlik sonrası otomatik sonlandırılır; çıkış yapıldığında veya hesap silindiğinde anında silinir
• Brute-force kayıtları: Başarısız giriş ve IP ban kayıtları engel süresinin sonunda sıfırlanır
• Webhook olayları: iyzico'dan gelen ödeme olay kayıtları 1 yıl süreyle audit amacıyla saklanır
• Ödeme deneme logları: Başarısız ödeme deneme kayıtları (başarı/hata kodu, tutar) hesap aktifken saklanır; hesap silindiğinde silinir
• Finansal kayıtlar (faturalar): Türk Vergi Usul Kanunu uyarınca düzenlenen e-Arşiv faturalar 10 yıl süreyle saklanır (hesap silinse bile)
• Güvenlik aktivite logları: Giriş, dosya işlemleri, admin işlemleri ile ilgili loglar 1 yıl süreyle saklanır; ardından otomatik silinir. Bu loglar 5651 sayılı kanun ve siber güvenlik gereklilikleri kapsamında tutulur.
• Pazarlama izni durumu: Açık rıza verdiğiniz veya geri çektiğiniz tarih, ispat amacıyla saklanır