1. Veri sorumlusu
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde veri sorumlusu sıfatıyla aşağıdaki gerçek kişi yer almaktadır:
| Veri sorumlusu | İbrahim Can Bal (Şahıs Şirketi — ICB Yazılım) |
| Vergi kimlik no | 1340489706 |
| MERSIS no | 4774 3259 8760 0000 |
| Adres | Dadaloğlu Mah. 2591 Sk. Sedef Apt. No: 11 İç Kapı No: 6, Yüreğir / ADANA |
| İletişim | siparis@icbyazilim.com.tr · 0850 532 40 42 |
2. Hangi kişisel verileri topluyoruz
Microsoft 365 hesabınızı oluşturmak ve hizmet süresince size destek olmak amacıyla aşağıdaki kişisel verilerinizi topluyoruz:
- Kimlik bilgileri: Ad, soyad, görünen ad (display name)
- İletişim bilgileri: Seçtiğiniz kullanıcı adı (UPN,
kullanici@o365b.topbiçiminde), kurtarma e-posta adresiniz, isteğe bağlı telefon numaranız - Kimlik doğrulama verileri: Sistem tarafından üretilen geçici parolanız (BCrypt ile geri çevrilemez biçimde hashlenir, asla açık metin saklanmaz)
- İşlem ve güvenlik kayıtları: IP adresi, tarayıcı bilgisi (user agent), kayıt zamanı, kullandığınız lisans kodu
- Microsoft tarafı referansları: Microsoft Graph üzerinde size atanan kullanıcı kimliği (Graph User ID), lisans tipi, lisans süresi
Toplamadığımız veriler: Özel nitelikli kişisel veri (sağlık, ırk, etnik köken, siyasi görüş, dini inanç, biyometrik veri vb.), ödeme kartı bilgisi (PayTR üzerinden yapılan ödemelerde kart bilgisi tarafımıza hiç gelmez), konum verisi (GPS), çerez ile takip / pazarlama analitiği.
3. Hangi amaçla işliyoruz
Topladığımız kişisel veriler, KVKK'nın 5. maddesi kapsamında aşağıdaki amaçlarla ve yalnızca bu amaçlarla işlenir:
- Microsoft 365 hesabınızın oluşturulması ve lisansın size atanması — sözleşmenin ifası (Madde 5/2/c)
- Hesap bilgilerinizin ve geçici parolanızın size iletilmesi — sözleşmenin ifası
- Lisans süresinin takibi ve süre bitişinden önce sizi bilgilendirme — sözleşmenin ifası
- Self-service parola sıfırlama ve durum sorgulama işlemleri — sözleşmenin ifası
- Müşteri desteği ve sorunlarınızın çözülmesi — sözleşmenin ifası + meşru menfaat
- Güvenlik kayıtlarının (audit log) tutulması ve kötüye kullanım önlemi — hukuki yükümlülük (Madde 5/2/ç) + meşru menfaat (Madde 5/2/f)
- Vergi mevzuatı kapsamında satış ve fatura kayıtlarının saklanması — hukuki yükümlülük (Vergi Usul Kanunu Madde 253)
Açık rıza kullanmıyoruz. İşleme dayanağımız sözleşmenin ifası ve hukuki yükümlülüktür; bunlar açık rızadan daha güçlü hukuki dayanaklardır.
4. Kişisel verilerin aktarımı
Verilerinizi üçüncü taraflarla ticari amaçla paylaşmıyoruz. Aşağıda listelenen aktarımlar, hizmetin teknik olarak verilebilmesi için zorunludur:
4.1. Yurt içi aktarım
Şu anda yurt içinde veri aktarılan üçüncü taraf bulunmamaktadır.
4.2. Yurt dışı aktarım — KVKK Madde 9
Hizmetin verilmesi için iki sağlayıcıya aktarım yapılır:
| Microsoft Corporation |
Hizmet: Microsoft 365 hesap oluşturma, lisans atama, parola yönetimi (Microsoft Graph API) Aktarılan veri: Ad, soyad, görünen ad, kullanıcı adı (UPN), oluşturulan geçici parola Veri merkezi: Avrupa (İrlanda / Hollanda) — tenant katoriedu Hukuki dayanak: KVKK Madde 9/2/a — sözleşmenin ifası için zorunlu Sözleşme: Microsoft Online Services DPA |
| Brevo SAS (Fransa) |
Hizmet: Sistem e-postalarının (parola, uyarı, makbuz) iletilmesi (SMTP relay) Aktarılan veri: Kurtarma e-posta adresiniz, ad, e-posta içeriği (geçici parola dahil) — transit hâlinde Veri merkezi: Fransa (AB) Hukuki dayanak: KVKK Madde 9/2/a — sözleşmenin ifası için zorunlu Sözleşme: Brevo DPA |
Her iki sağlayıcı da Avrupa Birliği bünyesindedir. Kişisel Verileri Koruma Kurulu kararları çerçevesinde AB üyesi ülkeler "yeterli korumaya sahip" olarak değerlendirilmektedir; sözleşmenin ifası amacıyla bu aktarımlar gerçekleştirilir.
5. Saklama süreleri
KVKK Madde 4/2/d uyarınca kişisel veriler, işlendikleri amaç için gerekli olan süre kadar saklanır. Sürelerimiz:
| Aktif hesap PII | Hizmet süresi boyunca |
| Süresi dolmuş hesap PII | Bitişten itibaren 30 gün + tampon (Microsoft soft-delete grace period) |
| 30 gün sonrası | Otomatik anonimleştirme (Ad/soyad/e-posta maskelenir, hesap kaydı kalır) |
| Anonimleştirilmiş kayıt | Süresiz (KVKK kapsamı dışı — anonim veridir) |
| İşlem güvenliği kayıtları (audit log) | 5 yıl (Vergi Usul Kanunu uyumluluğu) |
| Lisans satış kayıtları | 10 yıl (Türk Ticaret Kanunu Madde 82) |
Saklama süresi dolan kişisel veriler silinir, yok edilir veya anonimleştirilir (KVKK Madde 7).
6. KVKK 11. madde kapsamındaki haklarınız
Kişisel veri sahibi olarak aşağıdaki haklara sahipsiniz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme
- İşlenmişse buna ilişkin bilgi talep etme
- İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme
- Eksik veya yanlış işlenmişse düzeltilmesini isteme
- KVKK Madde 7 çerçevesinde silinmesini veya yok edilmesini isteme
- (5) ve (6) bentleri uyarınca yapılan işlemlerin üçüncü kişilere bildirilmesini isteme
- Otomatik sistemler aracılığıyla analiz sonucu kendiniz aleyhine bir sonuç ortaya çıkmasına itiraz etme (şu an otomatik karar verme sistemi kullanmıyoruz, bu hak fiilen uygulanmaz)
- Kanuna aykırı işleme sebebiyle uğradığınız zararın giderilmesini talep etme
7. Haklarınızı nasıl kullanabilirsiniz?
KVKK 13. madde kapsamında başvurunuzu aşağıdaki yollarla iletebilirsiniz:
- E-posta: siparis@icbyazilim.com.tr (konu satırına "KVKK başvurusu" yazınız)
- Yazılı (posta): Dadaloğlu Mah. 2591 Sk. Sedef Apt. No: 11 İç Kapı No: 6, Yüreğir / ADANA
- WhatsApp: 0850 532 40 42 (kimlik doğrulama sonrası)
Başvurunuza en geç 30 gün içinde ücretsiz olarak yanıt veririz. Başvurunuzda kimliğinizi doğrulamak için kullanıcı adınız (UPN) + kullandığınız lisans kodu veya başka bir doğrulama bilgisi isteyebiliriz.
8. Çerezler
Sitede yalnızca oturum yönetimi için zorunlu çerezler kullanılır. Çerezler şunlardır:
- Yönetici paneli oturum çerezi (yalnızca panel erişimi için, müşteri sayfalarında değil)
- "Bu cihazı hatırla" çerezi (2FA kolaylığı için, yalnızca yönetici paneli)
Müşteri sayfalarında üçüncü taraf takip çerezi, reklam ID'si, pazarlama analitiği veya Google Analytics, Facebook Pixel gibi araçlar kullanılmamaktadır.
9. Veri güvenliği tedbirleri — KVKK 12. madde
Kişisel verilerinizin güvenliğini sağlamak için aşağıdaki teknik ve idari tedbirler uygulanır:
- Tüm trafik HTTPS (TLS) üzerinden şifreli
- Parolalar BCrypt algoritması ile geri çevrilemez şekilde hashlenir; açık metin asla saklanmaz
- Yönetici girişinde iki faktörlü kimlik doğrulama (TOTP 2FA) zorunludur
- Sistem erişim kayıtları (audit log) tüm önemli işlemler için tutulur
- Otomatik günlük veri yedeklemesi, 30 gün retention ile
- Hız limitleyici (rate limiter) ile kaba kuvvet saldırılarına karşı koruma
- Web uygulaması güvenlik başlıkları (CSP, X-Frame-Options, vb.)
10. Veri ihlali bildirimi
KVKK 12/5. madde uyarınca, kişisel verilerinizin hukuka aykırı olarak başkaları tarafından elde edilmesi (veri ihlali) durumunda:
- Kişisel Verileri Koruma Kurulu'na 72 saat içinde bildirim yaparız
- Etkilenen veri sahiplerine en kısa sürede yazılı/e-posta ile bildirim yaparız
11. Politika güncellemeleri
Bu gizlilik sözleşmesi, mevzuat değişikliklerine veya hizmet yapımıza bağlı olarak güncellenebilir. Güncellemeler bu sayfada yayımlandığı anda yürürlüğe girer. Önemli değişiklikler için ayrıca bilgilendirme e-postası gönderilir.
← Ana sayfaya dön