KVKK Aydınlatma Metni

Son güncelleme: 14 Haziran 2026

1. Veri Sorumlusu

6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") kapsamında veri sorumlusu sıfatıyla, Zero Core Studio LLC ("ZipOrder", "biz") tarafından kişisel verileriniz aşağıda açıklandığı şekilde işlenmektedir.

2. İşlenen Kişisel Verileriniz

• Kimlik ve iletişim verileri: e-posta adresi, dil tercihi, opsiyonel olarak girdiğiniz işletme adı.
• Müşteri/işlem verileri: yüklediğiniz dosyalar üzerinden çıkarılan ürünler, oluşturduğunuz siparişler, kataloglar, sipariş paylaşım bağlantıları ve bunların görüntülenme sayıları.
• Üçüncü kişilere ilişkin veriler: yayınladığınız kataloglarda paylaştığınız iletişim bilgileri ve müşterilerinizin sipariş formuna girdiği isim, iletişim ve (müşteri tercih ederse) opsiyonel teslimat adresi (yalnızca tedarikçi olarak size iletilmesi amacıyla işlenir). Adres alanı zorunlu değildir; müşteri bunu boş bırakıp teslimatı WhatsApp üzerinden ayarlayabilir.
• Teknik veriler: hata kayıtları, IP adresi, oturum belirteçleri, AI işlem maliyet/token bilgileri.
• Ödeme verileri: kartla tahsilatı etkinleştirdiğinizdekatalog siparişleri ve yüz yüze (POS) tahsilatlar için sipariş tutarı, para birimi, ödeme sağlayıcısının oturum kimliği ve ödeme durumu olayları. Kart bilgileri (kart no, CVV) ZipOrder'a ulaşmaz; doğrudan sağlayıcının (Stripe / Iyzico) barındırdığı sayfada işlenir.
• E-fatura / mali veriler: bir e-fatura sağlayıcısı bağladığınızda yasal satıcı kimliğiniz (vergi no / VKN, vergi dairesi, adres) ve faturaya konu siparişte alıcının adı ile varsa vergi numarası, kalemler ve tutarlar — mali fatura kesimi amacıyla işlenir.
• Bağlı entegrasyon kimlik bilgileri: bağladığınız ödeme/muhasebe sağlayıcılarının API anahtarları ve OAuth belirteçleri şifreli (AES-256-GCM) biçimde saklanır, istemciye geri gösterilmez ve bağlantı kesildiğinde veya hesap silindiğinde silinir (Stripe Connect bağlantısı ayrıca Stripe tarafında iptal edilir).

3. Kişisel Verilerin İşlenme Amaçları

• Hizmetin sunulması, sürdürülmesi ve geliştirilmesi.
• İşlemsel e-postaların gönderilmesi (giriş bağlantısı, yeni sipariş bildirimi, veri dışa aktarımı talebi).
• Sözleşmenin ifası ve hesap güvenliğinin sağlanması.
• Kötüye kullanımın ve sahteciliğin önlenmesi (oran sınırlama).
• Yasal yükümlülüklerin yerine getirilmesi.

4. İşlemenin Hukuki Sebebi

Kişisel verileriniz KVKK m. 5 ve m. 6 uyarınca; (i) sözleşmenin kurulması veya ifası için zorunlu olması, (ii) hukuki yükümlülüklerimizin yerine getirilebilmesi, (iii) bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, (iv) temel hak ve özgürlüklerinize zarar vermemek kaydıyla meşru menfaatlerimiz için veri işlemenin zorunlu olması ve (v) gerektiği hallerde açık rızanızla işlenmektedir.

5. Aktarılan Taraflar ve Aktarım Amacı

Kişisel verileriniz, aşağıda sayılan teknik altyapı sağlayıcılarına, yalnızca hizmetin sunulabilmesi amacıyla ve gerektiği ölçüde aktarılmaktadır:

• Supabase (AB / İrlanda) — kimlik doğrulama, e-posta dağıtımı
• Railway (AB) — uygulama barındırma, veritabanı, önbellek
• Cloudflare R2 (AB yargı yetkisi) — geçici dosya depolama
• Google AI Studio (Gemini API) — AI ile veri çıkarımı
• Resend — işlemsel e-posta dağıtımı
• Expo (650 Industries) — mobil cihazlara push bildirim dağıtımı
• RevenueCat — abonelik makbuzları ve App Store / Play Store ile veritabanımız arasındaki durum senkronizasyonu
• Sentry (Functional Software, Inc.) — hata izleme; kişisel veriler iletilmeden önce maskelenir
• Google (Firebase Analytics + Google Analytics 4) — anonim ürün analitiği, yalnızca açık kullanıcı onayından sonra
• Iyzico (iyzi Ödeme ve Elektronik Para Hiz. A.Ş.) — yalnızca tedarikçi açıkça etkinleştirirse kart ödemesi yürütülür. Kart bilgileri (kart numarası, CVV) ZipOrder'a ulaşmaz; doğrudan Iyzico'nun barındırdığı ödeme sayfasında işlenir. ZipOrder yalnızca sipariş tutarı, para birimi ve ödeme durumu olaylarını saklar.
• Stripe (Stripe Payments Europe Ltd.) — yalnızca tedarikçi açıkça etkinleştirirse uluslararası kart ödemesi yürütülür (yurt dışı müşteriler için). Kart bilgileri ZipOrder'a ulaşmaz; Stripe'ın PCI-DSS Level 1 sertifikalı ödeme sayfasında işlenir. ZipOrder yalnızca sipariş tutarı, para birimi ve ödeme durumu olaylarını saklar.
• Nilvera (Nilvera Yazılım A.Ş.) ve Paraşüt (Parasut Yazılım Hiz. A.Ş.) — yalnızca tedarikçi bir e-fatura sağlayıcısı bağlarsa mali fatura kesimi için satıcı vergi kimliği, alıcı adı ve varsa vergi numarası, kalemler ve tutarlar aktarılır.
• QuickBooks (Intuit Inc.) ve Xero (Xero Ltd.) — yurt dışı tedarikçiler için, yalnızca bağlanırsa aynı fatura alanları ilgili muhasebe hesabında fatura oluşturmak üzere aktarılır.

Tam liste — her tedarikçinin veri kapsamı, bölgesi ve sözleşmesi — Alt İşleyiciler sayfamızda yer almaktadır.

Yurt dışına aktarımlar, KVKK m. 9 uyarınca açık rıza veya yeterli koruma sağlayan ülkelere aktarım hükümlerine dayanılarak gerçekleştirilmektedir.

6. Saklama Süreleri

• Kaynak dosyalar (yüklediğiniz katalog görselleri, PDF/Excel): yüklemeden sonra azami 72 saat içinde otomatik olarak silinir.
• Müşteri kişisel verileri (sipariş bazında) — ad, e-posta, telefon, teslimat adresi, konum koordinatları: siparişten 30 gün sonra otomatik olarak anonimleştirilir; sipariş kaydı (ürün, tutar, durum) anonim biçimde saklanmaya devam eder.
• Sipariş/katalog paylaşım bağlantıları: 30 gün sonra otomatik olarak süresi dolar; süresi dolan bağlantılar 404 döner.
• Pasifleştirilmiş kataloglar: abonelik bittikten 30 gün sonra yumuşak silinir (link kaybolur), 120 gün sonra tamamen silinir.
• İletişim telefonu ve güvenlik kodları: müşterilere göstermek için girdiğin E.164 telefon numarası hesap aktif olduğu sürece saklanır. Hassas işlemler için kullanılan tek kullanımlık doğrulama kodları (OTP) e-posta ile gönderilir, kısa sürede (≈10 dakika) geçerliliğini yitirir ve yalnızca geçici olarak, şifrelenmiş (hash) biçimde tutulur — kalıcı veritabanımızda saklanmaz.
• Oturum açma kayıtları (SignInLog): KVKK denetim izi gereği 13 ay saklanır; sonrasında otomatik olarak silinir.
• Şikayet (abuse report) kayıtları + idari işlem (AdminAction) kayıtları: yasal denetim ve hesap geri kazanım amacıyla süresiz saklanır. Hesap silinse bile bu kayıtlar referans olarak korunur (KVKK m. 10 / 13).
• Hesap verileri: hesabınız aktif olduğu sürece. Hesap silindiğinde (KVKK m. 7) tüm veriler kalıcı olarak silinir veya anonimleştirilir; SignInLog / AdminAction kayıtları yukarıdaki istisna kapsamında saklanır.
• Mali faturalar: bağlı bir e-fatura sağlayıcısı üzerinden kesilen faturalar, vergi mevzuatı gereği ilgili sağlayıcıda ve vergi idaresinde (genelde 5–10 yıl) saklanır; bunlar ZipOrder dışında tutulur ve hesap silinse dahi ZipOrder tarafından silinemez. Tahsil edilen ödemeler de tedarikçinin kendi ödeme sağlayıcısı hesabında saklanır.

7. KVKK Madde 11 Kapsamındaki Haklarınız

İlgili kişi olarak şu haklara sahipsiniz:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme
• İşlenmişse buna ilişkin bilgi talep etme
• İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
• Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenme
• Eksik veya yanlış işlenmesi halinde düzeltilmesini isteme
• KVKK m. 7'de öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme
• Düzeltme ve silme işlemlerinin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
• Otomatik sistemlerle yapılan analizler sonucu aleyhinize çıkan sonuca itiraz etme
• Kanuna aykırı işleme nedeniyle zarara uğramanız halinde zararın giderilmesini talep etme

8. Başvuru Yöntemi

KVKK m. 11 kapsamındaki taleplerinizi legal@ziporder.io adresine elektronik posta ile veya yazılı olarak iletebilirsiniz. Talebiniz en geç 30 gün içinde ücretsiz olarak sonuçlandırılır. Cevaplanmaması halinde Kişisel Verileri Koruma Kurulu'na şikayette bulunma hakkınız saklıdır.

Bu metin, KVKK m. 10 ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamında hazırlanmıştır.