Gizlilik Politikası

SMSCode'i kullandığınızda aşağıdaki veri kategorilerini toplarız:

Hesap Verileri

• E-posta adresi (giriş ve bildirimler için kullanılır).
• Şifre (argon2 hash olarak saklanır — düz metin şifreleri asla saklamayız).

Google Sign-In Verileri

Google ile giriş yaparsanız, Google hesabınızdan aşağıdaki verilere erişiriz:

• E-posta adresi — Hesap tanımlayıcınız ve hizmet iletişimleri için kullanılır.
• Google kullanıcı kimliği — Google hesabınızı SMSCode hesabınıza bağlamak için kullanılır.

Yalnızca kimlik doğrulama için gereken minimum izinleri talep ederiz (email ve openid). Kişilerinize, takviminize, drive'ınıza veya diğer Google hizmetlerinize erişmeyiz.

İşlem Verileri

• Sipariş geçmişi (numara kiralamaları, hizmet, ülke, zaman damgaları, durum).
• Yatırım geçmişi (tutarlar, ödeme yöntemi, durum).
• Hesap bakiyesi ve işlem kayıtları.

Mobil Uygulama Verileri

• Firebase Cloud Messaging (FCM) cihaz tokenları — Sipariş güncellemeleri ve hesap etkinliği hakkında push bildirimleri göndermek için kullanılır.
• Push bildirim tercihleri (etkin/devre dışı).
• Cihaz adı (isteğe bağlı, hesabınızdaki cihazları tanımlamak için).

Kullanım Verileri

• IP adresi ve yaklaşık konum bilgisi.
• Cihaz ve tarayıcı bilgileri (user agent).
• Sunucu günlükleri (istek zaman damgaları, erişilen endpoint'ler).

API Kullanım Verileri

• API istek günlükleri (endpoint'ler, zaman damgaları, yanıt kodları).
• Rate limit sayaçları.

• Hizmet sunumu — Numara kiralamalarını işleme, bakiyenizi yönetme ve siparişleri yerine getirme.
• Kimlik doğrulama — E-postanız ve Google kullanıcı kimliğiniz (Google Sign-In kullanıyorsanız) yalnızca hesap kimlik doğrulaması ve tanımlama amacıyla kullanılır. Google kullanıcı verilerini reklamcılık, profil oluşturma veya SMSCode hizmetini sunmakla ilgisi olmayan herhangi bir amaçla kullanmayız.
• Push bildirimleri — FCM cihaz tokenları yalnızca sipariş güncellemeleri, yatırım onayları ve hesap güvenlik uyarılarını mobil cihazınıza göndermek için kullanılır.
• Dolandırıcılık önleme — Kötüye kullanım, yetkisiz erişim ve politika ihlallerini tespit etme ve önleme.
• Analitik — Platform güvenilirliğini ve performansını artırmak için kullanım kalıplarını anlama.
• Destek — Sorularınıza yanıt verme ve hesabınız veya siparişlerinizle ilgili sorunları çözme.
• İletişim — Hizmetle ilgili bildirimlerin gönderilmesi (sipariş güncellemeleri, güvenlik uyarıları). İzniniz olmadan pazarlama e-postaları göndermeyiz.

• OTP kodları geçicidir — Alınan SMS içeriği (OTP kodları) size gerçek zamanlı olarak gösterilir ve sipariş süresi dolduktan veya tamamlandıktan sonra uzun süreli saklanmaz.
• Telefon numaraları geçicidir — Kiralanan numaralar geçicidir ve kiralama süresi sona erdikten sonra geri dönüşüme girer. Aktif sipariş dışında kiralanan numaraları kimliğinizle ilişkilendirmeyiz.
• Arama verisi yok — SMSCode yalnızca SMS doğrulamasını yönetir; sesli aramaları veya arama meta verilerini işlemiyoruz.

• Ödemeler üçüncü taraf ağ geçitleri (Duitku, Heleket) tarafından işlenir. Kredi kartı, banka hesabı veya ödeme aracı bilgilerinizi saklamıyoruz.
• Mutabakat ve destek amaçları için işlem referanslarını (ödeme ağ geçidi kimlikleri, tutarlar, durum) saklarız.
• Ödeme ağ geçidi sağlayıcılarının, ödeme bilgilerinizi nasıl işlediklerini belirleyen kendi gizlilik politikaları vardır.

Verileri yalnızca Hizmeti sağlamak için gerekli olduğunda paylaşırız. Aşağıda kullandığımız üçüncü taraf işleyici kategorilerinin tam listesi yer almaktadır; ayrıntılı operasyonel konumlar ve aktarım güvenceleri Bölüm 13'te (Uluslararası Veri Aktarımı) açıklanmıştır.

• Cloudflare, Inc. — içerik dağıtım ağı, DDoS koruması ve çıkış ağı. IP adreslerini, istek meta verilerini ve TLS ile sonlandırılmış aktarım sırasındaki trafiği işler.
• Resend, Inc. — işlemsel e-posta teslimi (doğrulama, parola sıfırlama, sipariş bildirimleri). E-posta adresinizi ve ileti içeriğini işler.
• Yukarı yönlü SMS sağlayıcıları — sanal numara kiralama ve gelen SMS yönlendirme. Kiralamayı yerine getirmek için minimum sipariş parametrelerini (ülke, hizmet) göndeririz; kimliğinizi veya hesap verilerinizi sağlayıcılarla paylaşmayız.
• Ödeme ağ geçitleri — mevduatları tamamlamak için işlem verileri ödeme işleyicileriyle paylaşılır. Tam ödeme-aracı ayrıntılarını almaz veya saklamayız.
• Firebase Cloud Messaging (Google) — push bildirim teslimi için FCM cihaz tokenleri Google'ın Firebase hizmetine gönderilir. Firebase ile başka hiçbir kişisel veri paylaşılmaz.
• Kolluk kuvvetleri — Yasaların, mahkeme kararlarının gerektirdiği durumlarda veya SMSCode'ın, kullanıcılarımızın ya da kamunun haklarını, mülkiyetini veya güvenliğini korumak için verileri açıklayabiliriz.

Kişisel verilerinizi üçüncü taraflara satmıyoruz. Kişisel verilerinizi reklamverenlerle paylaşmıyoruz. Herhangi bir veri komisyoncusuna veya reklam ağına katılmıyoruz. Google Sign-In aracılığıyla elde edilen Google kullanıcı verileri hiçbir zaman üçüncü taraflarla paylaşılmaz ve yalnızca SMSCode içindeki kimlik doğrulama için kullanılır.

• Sipariş geçmişi — Mutabakat, destek ve denetim amaçları için saklanır.
• OTP/SMS içeriği — Siparişin süresi dolduktan veya tamamlandıktan sonra silinir.
• Hesap verileri — Hesabınız aktif olduğu sürece saklanır.
• Sunucu günlükleri — Güvenlik ve hata ayıklama amacıyla 90 güne kadar saklanır.
• FCM cihaz tokenları — Bir cihazın kaydını sildiğinizde veya hesabınızı sildiğinizde derhal silinir.

Hesap Silme ve Veri Temizleme

Hesabınızı istediğiniz zaman web panelindeki veya mobil uygulamadaki hesap ayarlarından silebilirsiniz. Hesabınızı sildiğinizde:

• Hesabınız derhal "Silinmiş" olarak işaretlenir.
• Kalan bakiyeniz müsadere edilir ve son işlem olarak kaydedilir.
• Tüm aktif oturumlar (web ve mobil) derhal iptal edilir.
• FCM cihaz tokenları ve push bildirim abonelikleri silinir.
• API tokenları ve webhook yapılandırmaları kaldırılır.
• 30 günlük yeniden kayıt bekleme süresi uygulanır — bu süre içinde aynı e-posta adresiyle yeni hesap oluşturamazsınız.
• 30 gün sonra, zamanlanmış bir görev kişisel olarak tanımlanabilir bilgilerinizi (PII) kalıcı olarak temizler: e-postanız anonim bir tanımlayıcıyla değiştirilir, şifre hash'iniz silinir, Google kullanıcı kimliğiniz kaldırılır.
• İşlem geçmişi ve sipariş kayıtları, muhasebe ve yasal uyumluluk amacıyla anonimleştirilmiş biçimde saklanır.

• Kimlik doğrulanmış oturumunuzu sürdürmek için tek bir httpOnly oturum çerezi (__session) kullanıyoruz. Bu çerez şifrelenmiştir ve istemci tarafı betikler tarafından okunamaz.
• İzleme çerezleri, reklam çerezleri veya üçüncü taraf analitik çerezleri kullanmıyoruz.
• Yalnızca kimlik doğrulama için kesinlikle gerekli çerezler kullandığımız için çerez bildirimi gerekmez.

Veri Depolama

• Altyapı — Tüm veriler tarafımızca işletilen özel sunucularda saklanır. Kullanıcı verileri için paylaşımlı bulut barındırma kullanmıyoruz.
• Veritabanı — Kullanıcı verileri, yalnızca uygulama hizmetlerinin erişebildiği PostgreSQL'de saklanır.
• Aktarımda şifreleme — Sizinle sunucularımız arasındaki tüm trafik TLS (HTTPS) ile şifrelenir.
• Oturum şifrelemesi — Oturum çerezleri AES-256-GCM ile şifrelenir.

Veri Koruma

• Şifre hashleme — Şifreler, kaba kuvvet saldırılarına karşı dayanıklı, bellek yoğun bir algoritma olan argon2 ile hashlenir.
• CSRF koruması — Durum değiştiren endpoint'ler, siteler arası istek sahteciliğine karşı korunur.
• Rate limiting — API ve kimlik doğrulama endpoint'lerine kötüye kullanımı önlemek için hız sınırı uygulanır.
• Erişim kontrolü — Dahili hizmetler, gizli anahtarlarla kimlik doğrulamalı kanallar üzerinden iletişim kurar. Veritabanı ve önbellek hizmetleri, internet'ten erişilemeyen özel bir ağda izole edilmiştir.

Endüstri standartlarında güvenlik önlemleri uygulasak da hiçbir sistem %100 güvenli değildir. Bir güvenlik açığı keşfederseniz lütfen [email protected] adresine bildirin.

Aşağıdaki haklara sahipsiniz:

• Erişim — Hakkınızda tuttuğumuz kişisel verilerin bir kopyasını talep etme.
• Düzeltme — Yanlış kişisel verilerin düzeltilmesini talep etme.
• Silme — Hesabınızı ve ilişkili kişisel verilerinizi doğrudan hesap ayarlarınızdan (web veya mobil uygulama) silebilirsiniz. Kişisel veriler, silme işleminden sonra 30 gün içinde temizlenir. Ayrıca bizimle iletişime geçerek de silme talebinde bulunabilirsiniz.
• Taşınabilirlik — Verilerinizi taşınabilir bir formatta talep etme.

Erişim, düzeltme veya taşınabilirlik haklarınızı kullanmak için [email protected] adresinden bizimle iletişime geçin. 30 gün içinde yanıt vereceğiz.

California sakini iseniz, California Privacy Rights Act (CPRA) ile değiştirildiği haliyle California Consumer Privacy Act (CCPA), Bölüm 9'da (Haklarınız) belirtilen hakların yanı sıra kişisel bilgileriniz konusunda size özel haklar tanır.

Bilme hakkı. Sizinle ilgili olarak topladığımız kişisel bilgilerin kategorilerini ve belirli parçalarını, bu bilgilerin kaynaklarını, toplanma veya ifşa edilme amaçlarını ve bunları paylaştığımız üçüncü taraf kategorilerini açıklamamızı talep edebilirsiniz. Topladığımız kategoriler Bölüm 1'de (Topladığımız Veriler) ayrıntılı olarak açıklanmıştır.

Silme hakkı. Bazı yasal istisnalara tabi olmak kaydıyla (örneğin, bir işlemi tamamlamak, güvenlik olaylarını tespit etmek veya yasal bir yükümlülüğü yerine getirmek), sizinle ilgili olarak topladığımız kişisel bilgileri silmemizi talep edebilirsiniz.

Düzeltme hakkı. Sizinle ilgili olarak sakladığımız yanlış kişisel bilgileri düzeltmemizi talep edebilirsiniz.

Satış veya paylaşımı reddetme hakkı. Kişisel bilgilerinizi üçüncü taraflara satmıyoruz ve bağlamlar arası davranışsal reklamcılık için paylaşmıyoruz. Reddedilecek bir şey yok, ancak bilgilenmeniz için bunu açıkça belirtiyoruz.

Hassas kişisel bilgilerin kullanımını sınırlama hakkı. Hassas kişisel bilgileri (CPRA'da tanımlandığı şekliyle) Hizmeti sağlamak için gerekli olanın ötesindeki amaçlar için kullanmıyoruz.

Ayrımcılık yapılmaması hakkı. Bu haklardan herhangi birini kullandığınız için size ayrımcılık uygulamayacağız. Hizmet deneyiminiz değişmeyecek ve hiçbir ücret, koşul veya hizmet kalitesi etkilenmeyecektir.

Hakları nasıl kullanacaksınız. Herhangi bir CCPA hakkını kullanmak için [email protected] adresinden bize ulaşın. Yanıt vermeden önce kimliğinizi doğrulayacağız ve 45 gün içinde yanıt vereceğiz (makul şekilde gerekli olduğunda 45 gün daha uzatılabilir).

SMSCode, üçüncü taraf web analitik hizmetleri, davranışsal izleme araçları veya reklam teknolojisi kullanmaz. Özellikle:

• Google Analytics, Mixpanel, Amplitude, Hotjar, Segment veya benzer herhangi bir analitik hizmet kullanmıyoruz;
• Herhangi bir sayfada izleme pikselleri, pazarlama etiketleri veya yeniden hedefleme komut dosyaları yerleştirmiyoruz;
• Herhangi bir reklam ağına veya siteler arası reklam ekosistemine katılmıyoruz;
• Pazarlama veya öneri amacıyla bireysel kullanıcıların davranış profillerini oluşturmuyoruz.

Hizmeti kullanmanıza ilişkin topladığımız tek veri, Hizmeti sunmak ve güvenli kılmak için gerekli operasyonel verilerdir: sunucu istek günlükleri, hız sınırı sayaçları, sipariş geçmişi ve oturum çerezleri. Bunlar ayrıntılı olarak Bölüm 1'de (Topladığımız Veriler), Bölüm 7'de (Çerezler ve Oturumlar) ve Bölüm 8'de (Güvenlik Önlemleri) açıklanmıştır. Sunucu günlükleri güvenlik ve hata ayıklama amacıyla 90 güne kadar saklanır, ardından silinir.

Gelecekte analitik araçları tanıtmamız durumunda, bu Gizlilik Politikası değişiklik yürürlüğe girmeden önce güncellenecek ve Bölüm 14'e (Bu Politikadaki Değişiklikler) göre size bildirimde bulunulacaktır.

SMSCode, 18 yaşından küçük kişilerin kullanımına yönelik değildir. Çocuklardan bilerek kişisel veri toplamıyoruz. 18 yaşından küçük bir çocuğun bize kişisel veri sağladığına inanıyorsanız lütfen bizimle iletişime geçin, derhal sileceğiz.

Void Zero Ltd, Birleşik Krallık merkezlidir ve sağladığınız kişisel veriler öncelikli olarak Birleşik Krallık ve Avrupa Ekonomik Alanı'nda (EEA) işlenir. Hizmeti sunmak için, verilerinizi Birleşik Krallık/EEA dışındaki diğer yargı alanlarında — Amerika Birleşik Devletleri ve diğer ülkeler dahil — işleyebilen alt işleyiciler ve üçüncü taraf altyapısı kullanıyoruz.

Aktarım mekanizması

Kişisel verileri Birleşik Krallık veya EEA'dan UK Information Commissioner's Office (ICO) ya da Avrupa Komisyonu'ndan yeterlilik kararı almamış bir ülkeye aktardığımızda, aşağıdaki güvencelerden bir veya birkaçına dayanırız:

• alt işleyicilerle sözleşmelerimize dahil edilen UK International Data Transfer Addendum (UK IDTA);
• AB verileri için Avrupa Komisyonu tarafından onaylanan Standard Contractual Clauses (SCCs, Karar 2021/914);
• esasen eşdeğer düzeyde koruma sağladığı kabul edilen yargı alanlarına ilişkin yeterlilik kararları (Data Privacy Framework kapsamında uygun ABD alıcıları için UK Data Bridge dahil);
• UK GDPR Madde 46 veya EU GDPR Madde 46 uyarınca tanınan diğer güvenceler.

Sonraki aktarım kontrolleri

Kişisel verilerinizi alan tüm alt işleyiciler, kendilerinden şunları gerektiren yazılı sözleşmelerle bağlıdır: (a) verileri yalnızca Void Zero Ltd'nin belgelenmiş talimatları üzerine işlemek; (b) uygun teknik ve organizasyonel güvenlik önlemleri uygulamak; (c) verilere erişimi olan personelin gizliliğini sağlamak; (d) veri sahibi haklarına ilişkin taleplerin yerine getirilmesinde bize yardımcı olmak; ve (e) sözleşme sona erdiğinde verileri silmek veya iade etmek. Bu yükümlülükler UK GDPR Madde 28 ve EU GDPR Madde 28 gerekliliklerine uyar.

Mevcut alt işleyici kategorileri

Verilerinizi Birleşik Krallık/EEA dışında işleyebilecek alt işleyiciler arasında aşağıdakiler yer alır, ancak bunlarla sınırlı değildir:

• Cloudflare, Inc. (Amerika Birleşik Devletleri) — içerik dağıtımı, DDoS koruması ve giden ağ hizmeti;
• Resend, Inc. (Amerika Birleşik Devletleri) — işlemsel e-posta teslimi;
• uluslararası faaliyet gösteren SMS sağlayıcı ortakları — sanal numara kiralama ve gelen SMS yönlendirmesi (bkz. Bölüm 3);
• ödeme ağ geçitleri — mevduatlar için işlemsel ödeme işleme (bkz. Bölüm 4).

Haklarınız

Verilerinize uygulanabilen aktarım güvencelerinin bir kopyasını [email protected] adresinden bize ulaşarak talep edebilirsiniz. Bölüm 9'da (Haklarınız) ve GDPR Madde 12'de belirtildiği gibi 30 gün içinde yanıt vereceğiz.

Bu Gizlilik Politikasını zaman zaman güncelleyebiliriz. Önemli değişiklikler e-posta veya platformdaki bir bildirim aracılığıyla iletilecektir. En üstteki "Son güncelleme" tarihi en güncel revizyonu yansıtır.

Gizlilikle ilgili sorular veya talepler için [email protected] adresinden bizimle iletişime geçin.

Genel destek için [email protected] adresinden bize ulaşın.