Gizlilik Politikası

1. Veri Sorumlusu Bilgileri

RalphNex OÜ, Kayıt Kodu 16932562 altında Estonya'da kayıtlı bir şirket olarak, Pushary platformu ve web sitesi aracılığıyla toplanan kişisel veriler için veri sorumlusu olarak hareket eder. Veri işleme ile ilgili sorularınız için bize business@ralphnex.com adresinden ulaşın.

Pushary'yi son kullanıcılarınıza bildirim göndermek için kullandığınızda, abone verileriniz için veri sorumlusu siz olursunuz ve biz sizin adınıza veri işlemcisi olarak hareket ederiz.

2. Topladığımız Bilgiler

2.1 Hesap Bilgileri (Kontrol Ettiğimiz Veriler)

Pushary hesabına kaydolduğunuzda şunları topluyoruz:

• Kimlik Verileri: Ad, soyad, e-posta adresi ve profil resmi (Clerk kimlik doğrulaması aracılığıyla sağlanır)
• Hesap Verileri: Kullanıcı kimliği, kimlik doğrulama token'ları, hesap tercihleri ve saat dilimi ayarları
• Workspace Verileri: Workspace adları, slug'lar, ekip üyesi ilişkileri ve rol atamaları (owner, admin, member, viewer)
• Fatura Verileri: Stripe müşteri kimliği, abonelik planı, ödeme durumu ve fatura geçmişi (Stripe aracılığıyla işlenir; kredi kartı numaralarını saklamıyoruz)

2.2 Site Yapılandırma Verileri

Workspace'iniz içinde oluşturduğunuz her site için şunları saklıyoruz:

• Site adı, domain ve yapılandırma ayarları
• Kriptografik push bildirim kimlik doğrulaması için site başına benzersiz olarak oluşturulan VAPID anahtar çiftleri (public ve private anahtarlar)
• API anahtar hash'leri ve önekleri (tam API anahtarları yalnızca oluşturulduğunda bir kez gösterilir)
• Yüklediğiniz site ikonları, logolar ve marka varlıkları

2.3 Abone Verileri (Sizin Adınıza İşlediğimiz Veriler)

Son kullanıcılar siteniz aracılığıyla bildirimlere abone olduğunda, şunları topluyoruz ve işliyoruz:

• Push Abonelik Verileri: Web Push protokol teslimatı için gerekli Endpoint URL, P256DH anahtarı ve kimlik doğrulama anahtarı
• Cihaz Bilgileri: Tarayıcı tipi, işletim sistemi, cihaz tipi (desktop/mobile/tablet) ve user agent string
• Coğrafi Veriler: IP adresi geolocation'ından türetilen ülke, şehir ve saat dilimi (etkinleştirilmişse)
• Özel Özellikler: SDK veya API'miz aracılığıyla abonelere atadığınız etiketler, harici kimlikler ve özel metadata
• Etkileşim Verileri: Abonelik tarihi, son aktif tarih, bildirim teslimat sayısı, tıklama sayısı ve abonelik durumu

2.4 Analitik ve Event Verileri

Raporlama sağlamak ve Hizmeti geliştirmek için analitik veriler topluyoruz:

• Bildirim eventleri: gösterimler, tıklamalar, kapatmalar, teslimat başarıları ve başarısızlıklar
• Kampanya performans metrikleri: toplam hedeflenen, gönderilen, teslim edilen, tıklanan ve başarısız sayılar
• Site başına günlük toplam istatistikler
• İlişkili aksiyon kimlikleriyle aksiyon butonu etkileşimleri

2.5 Teknik ve Log Verileri

Platformumuza eriştiğinizde otomatik olarak teknik bilgiler topluyoruz:

• IP adresleri ve istek metadata'sı
• Tarayıcı tipi, versiyonu ve dil tercihleri
• Erişim zamanları, ziyaret edilen sayfalar ve referans URL'leri
• Endpoint'ler, zaman damgaları ve yanıt kodları dahil API istek logları
• Sorun giderme için hata logları ve teşhis bilgileri

3. İşleme için Yasal Dayanak (GDPR Madde 6)

Kişisel verileri aşağıdaki yasal dayanaklar altında işliyoruz:

• Sözleşme İfası (Mad. 6(1)(b)): Abone olduğunuz Hizmeti sağlamak için gerekli işleme, hesap yönetimi, bildirim teslimatı ve faturalandırma dahil
• Meşru Menfaatler (Mad. 6(1)(f)): Menfaatlerimiz haklarınızı geçersiz kılmayan platform güvenliği, dolandırıcılık önleme, hizmet iyileştirme ve analitikler için işleme
• Yasal Yükümlülük (Mad. 6(1)(c)): Vergi düzenlemeleri, mahkeme emirleri ve düzenleyici gereksinimler dahil olmak üzere geçerli yasalara uymak için gerekli işleme
• Rıza (Mad. 6(1)(a)): Uygun olduğunda, istediğiniz zaman geri çekebileceğiniz açık rızanıza dayalı işleme

Platformumuz aracılığıyla topladığınız abone verileri için, veri sorumlusu sizsiniz ve son kullanıcılarınızdan uygun rıza veya yasal dayanak aldığınızdan emin olmalısınız.

4. Bilgilerinizi Nasıl Kullanıyoruz

Toplanan bilgileri aşağıdaki amaçlar için işliyoruz:

• Hizmet Teslimatı: Event-driven bildirim platformumuzu işletmek ve sürdürmek, Kafka tabanlı mesaj kuyruğumuz aracılığıyla bildirim teslimatını işlemek ve gerçek zamanlı analitik sağlamak
• Hesap Yönetimi: Hesabınızı oluşturmak ve yönetmek, erişimi doğrulamak, workspace ve ekip yönetimi işlemlerini gerçekleştirmek
• Fatura İşlemleri: Stripe aracılığıyla abonelik ödemelerini işlemek, plan değişikliklerini yönetmek ve fatura kayıtlarını tutmak
• Platform Güvenliği: Row-Level Security politikaları ve erişim kontrolleri aracılığıyla dolandırıcılığı, yetkisiz erişimi ve kötüye kullanımı tespit etmek ve önlemek
• Müşteri Desteği: Sorulara yanıt vermek, sorunları gidermek ve teknik yardım sağlamak
• Hizmet İyileştirme: Kullanım kalıplarını analiz etmek, performans sorunlarını belirlemek ve yeni özellikler geliştirmek
• İletişim: Hesabınızla ilgili hizmet güncellemeleri, güvenlik uyarıları ve önemli bildirimler göndermek
• Yasal Uyum: Yasal yükümlülükleri yerine getirmek, yasal taleplere yanıt vermek ve yasal haklarımızı korumak

5. Veri Paylaşımı ve İfşası

Kişisel bilgilerinizi satmıyor, kiralamıyor veya takas etmiyoruz. Aşağıdaki sınırlı durumlarda veri paylaşabiliriz:

5.1 Hizmet Sağlayıcılar (Alt İşlemciler)

Sıkı sözleşme yükümlülükleri altında bizim adımıza veri işleyen güvenilir üçüncü taraf hizmet sağlayıcılarla çalışıyoruz:

• Clerk (Kimlik Doğrulama): Kullanıcı kimlik doğrulama ve kimlik yönetimi - hesap kimlik bilgilerini ve oturum verilerini işler
• Neon (Veritabanı): PostgreSQL veritabanı barındırma - tüm platform verilerini rest halinde şifrelemeyle saklar
• Vercel (Barındırma): Uygulama barındırma ve CDN - istek verilerini işler ve dashboard uygulamasını sunar
• Stripe (Ödemeler): Ödeme işleme - fatura verilerini ve ödeme işlemlerini yönetir
• Upstash/Kafka Provider (Mesaj Kuyruğu): Event streaming - bildirim teslimat eventlerini işler
• Push Hizmet Sağlayıcıları (Google FCM, Mozilla, Apple APNs): Bildirim teslimatı - push abonelik endpoint'lerini ve şifreli bildirim payload'larını alır

5.2 Yasal Gereksinimler

Yasaların gerektirdiği durumlarda bilgileri ifşa edebiliriz:

• Geçerli yasal sürece yanıt (mahkeme celpleri, mahkeme emirleri, arama emirleri)
• Geçerli yasalara, düzenlemelere veya hükümet taleplerine uyum
• Yasal haklarımızın, mülkiyetimizin veya güvenliğimizin korunması
• Olası suistimalin önlenmesi veya soruşturulması

5.3 İş Transferleri

Birleşme, devralma, yeniden yapılandırma veya varlık satışı durumunda, bilgileriniz işlemin bir parçası olarak transfer edilebilir. Böyle bir transferi ve geçerli gizlilik şartlarındaki değişiklikleri size bildireceğiz.

6. Veri Saklama

Kişisel verileri yalnızca bu politikada açıklanan amaçlar için gerekli olduğu sürece saklıyoruz:

• Hesap Verileri: Hesabınız aktifken ve hesap kurtarmayı etkinleştirmek için silme talebinden sonra 30 gün boyunca saklanır
• Abone Verileri: Abonelik planınıza göre saklanır (Ücretsiz için 7 gün, Starter için 30 gün, Growth için 90 gün, Enterprise için özel)
• Analitik Verileri: Toplanan günlük istatistikler, planınızın veri saklama limitine göre saklanır
• Bildirim Event Logları: Plan limitinize göre saklanır; bireysel bildirim kayıtları teslimat onayından sonra temizlenebilir
• Fatura Kayıtları: Estonya vergi yasası ve geçerli muhasebe standartlarının gerektirdiği şekilde 7 yıl boyunca saklanır
• Güvenlik Logları: Güvenlik izleme ve olay soruşturması için 90 gün boyunca saklanır

Hesap silme durumunda, kişisel verilerinizi 30 gün içinde siler veya anonimleştiririz, yasaların gerektirdiği veya meşru menfaatlerimizi korumak için gerekli olduğu durumlar hariç.

7. Veri Güvenliği

Verilerinizi korumak için kapsamlı teknik ve organizasyonel önlemler uyguluyoruz:

7.1 Teknik Güvenlik Önlemleri

• Transit Şifreleme: Platformumuza ve platformumuzdan iletilen tüm veriler TLS 1.2 veya üzeri kullanılarak şifrelenir
• Rest Şifreleme: Veritabanı depolama, altyapı seviyesinde AES-256 şifreleme kullanılarak şifrelenir
• Row-Level Security (RLS): PostgreSQL RLS politikaları veritabanı seviyesinde multi-tenant veri izolasyonunu zorlar
• VAPID Kimlik Doğrulama: Güvenli push bildirim teslimatı için site başına benzersiz kriptografik anahtar çiftleri
• API Anahtar Güvenliği: API anahtarları güvenli hash'ler olarak saklanır; tam anahtarlar yalnızca oluşturulduğunda bir kez gösterilir
• Güvenli Kimlik Doğrulama: Kimlik doğrulama, MFA desteği ve güvenli oturum yönetimiyle Clerk tarafından yönetilir

7.2 Operasyonel Güvenlik Önlemleri

• Yetkili personele veri erişimini sınırlayan erişim kontrolleri
• Düzenli güvenlik değerlendirmeleri ve güvenlik açığı izleme
• Güvenlik olayları için olay müdahale prosedürleri
• Güvenli geliştirme uygulamaları ve kod inceleme süreçleri

7.3 Altyapı Güvenliği

• SOC 2 Type II sertifikalı altyapıda barındırma (Vercel, Neon)
• Coğrafi yedeklilik ve otomatik yedeklemeler
• DDoS koruması ve hız sınırlama
• Bildirim teslimatı için izole worker süreçleri

Endüstri standardı güvenlik önlemleri uygulasak da, hiçbir sistem tamamen güvenli değildir. Verilerinizin mutlak güvenliğini garanti edemeyiz.

8. Gizlilik Haklarınız

Kişisel verilerinizle ilgili haklarınıza saygı duyuyoruz. Konumunuza ve geçerli yasalara bağlı olarak aşağıdaki haklara sahip olabilirsiniz:

• Erişim Hakkı: Hakkınızda tuttuğumuz kişisel verilerin bir kopyasını talep edin
• Düzeltme Hakkı: Yanlış veya eksik kişisel verilerin düzeltilmesini talep edin
• Silme Hakkı: Devam eden işleme için zorlayıcı bir neden olmadığında kişisel verilerinizin silinmesini talep edin
• İşlemeyi Kısıtlama Hakkı: Doğruluğu doğrularken veya itirazları değerlendirirken işlemenin sınırlandırılmasını talep edin
• Veri Taşınabilirliği Hakkı: Kişisel verilerinizi yapılandırılmış, yaygın kullanılan, makine tarafından okunabilir bir formatta alın
• İtiraz Etme Hakkı: Meşru menfaatlere dayalı işlemeye itiraz edin
• Rızayı Geri Çekme Hakkı: İşleme rızaya dayanıyorsa, o rızayı istediğiniz zaman geri çekin

Bu haklardan herhangi birini kullanmak için bize business@ralphnex.com adresinden ulaşın. 30 gün içinde yanıt vereceğiz. Talebinizi işlemeden önce kimliğinizin doğrulanmasını isteyebiliriz. business@ralphnex.com.

9. Veri Konumu ve Transferler

Birincil altyapımız Avrupa Birliği içinde Almanya'da barındırılmaktadır. Verileriniz aşağıdaki konumlarda işlenebilir:

• Birincil Veritabanı: Almanya (AB) - PostgreSQL veritabanı barındırma
• Uygulama Barındırma: Edge işleme ile global CDN
• Kimlik Doğrulama: Clerk kimlik doğrulama verilerini işler
• Ödemeler: Stripe fatura verilerini işler

Bazı hizmet sağlayıcılarımız uluslararası düzeyde faaliyet göstermektedir. Verileriniz Avrupa Birliği dışına transfer edildiğinde, uygun veri koruma önlemlerini uygulayan sağlayıcılarla çalışırız.

10. Çerezler ve İzleme Teknolojileri

Platformumuzu işletmek ve geliştirmek için çerezler ve benzeri teknolojiler kullanıyoruz:

10.1 Temel Çerezler

Platform işlevselliği için gereklidir. Devre dışı bırakılamaz:

• Kimlik doğrulama oturum çerezleri (Clerk tarafından yönetilir)
• CSRF koruma token'ları
• Load balancer oturum kalıcılığı

10.2 İşlevsel Çerezler

Tercihleri hatırlayarak deneyiminizi geliştirir:

• Tema tercihleri (açık/koyu mod)
• Dashboard düzen ayarları
• Dil tercihleri

10.3 Analitik Çerezler

Platform kullanımını anlamamıza yardımcı olur:

• Sayfa görüntüleme izleme
• Özellik kullanım analitiği
• Hata izleme ve teşhis

Tarayıcı ayarlarınız aracılığıyla çerez tercihlerini kontrol edebilirsiniz. Belirli çerezleri devre dışı bırakmak platform işlevselliğini etkileyebilir.

11. Veri İşleme İlişkisi

Pushary'yi son kullanıcılarınıza bildirim göndermek için kullandığınızda, abone verilerini sizin adınıza işliyoruz. Taahhütlerimiz şunları içerir:

• Bildirim teslimatı için talimatlarınıza göre veri işleme
• Abone bilgilerinin gizliliğini koruma
• Teknik ve organizasyonel güvenlik önlemlerini uygulama
• Talimatınız üzerine veri öznesi taleplerine yardımcı olma
• Hesap sonlandırıldığında verileri silme veya iade etme

Resmi veri işleme anlaşmaları gerektiren enterprise müşteriler bize business@ralphnex.com adresinden ulaşmalıdır.

12. Çocukların Gizliliği

Pushary platformu iş kullanımı için tasarlanmıştır ve 16 yaşın altındaki çocuklara yönelik değildir. Çocuklardan bilerek kişisel bilgi toplamıyoruz. Bir çocuğun ebeveyn izni olmadan bize kişisel bilgi sağladığını öğrenirseniz, lütfen bize business@ralphnex.com adresinden ulaşın, böyle bilgileri silmek için adımlar atacağız.

Bildirim göndermek için Pushary'yi kullanıyorsanız, hizmetinizin kitleniz için uygun olduğundan ve çocukların gizliliğiyle ilgili geçerli yasalara (ABD'de COPPA dahil) uyduğunuzdan emin olmaktan siz sorumlusunuz.

13. California Gizlilik Hakları (CCPA)

California sakini iseniz, California Tüketici Gizlilik Yasası (CCPA) kapsamında ek haklara sahipsiniz:

• Bilme Hakkı: Toplanan kişisel bilgi kategorilerinin ve belirli parçalarının ifşasını talep edin
• Silme Hakkı: Topladığımız kişisel bilgilerin silinmesini talep edin
• Ayrımcılık Yapmama Hakkı: Gizlilik haklarını ayrımcı muamele olmadan kullanın
• Vazgeçme Hakkı: Kişisel bilgileri satmıyoruz; bu nedenle vazgeçilecek bir satış yok

CCPA haklarını kullanmak için bize business@ralphnex.com adresinden ulaşın. Talepleri işlemeden önce kimliğinizi doğrulayacağız.

14. Bu Politikadaki Değişiklikler

Bu Gizlilik Politikasını uygulamalarımızdaki, teknolojilerdeki, yasal gereksinimlerdeki değişiklikleri yansıtmak veya diğer operasyonel nedenlerle periyodik olarak güncelleyebiliriz. Önemli değişiklikleri şu şekilde bildireceğiz:

• Güncellenmiş politikayı yeni yürürlük tarihiyle web sitemizde yayınlama
• Önemli değişiklikler için kayıtlı hesap sahiplerine e-posta bildirimi gönderme
• Dashboard arayüzünde bir bildirim görüntüleme

Bu politikayı periyodik olarak gözden geçirmenizi öneririz. Değişiklikler yürürlüğe girdikten sonra Hizmeti kullanmaya devam etmeniz, güncellenmiş politikanın kabulünü oluşturur.

15. Bize Ulaşın

Bu Gizlilik Politikası veya veri uygulamalarımızla ilgili sorular, endişeler veya talepler için lütfen veri koruma ekibimizle iletişime geçin: