Bu Gizlilik Politikası, Graviti Labs ("Bulfinex", "biz") tarafından işletilen Bulfinex Endüstri 4.0 SaaS platformu (https://bulfinex.com/industry) kapsamında kişisel verilerin nasıl toplandığını, işlendiğini ve korunduğunu açıklar. Bu politika, hem 6698 sayılı KVKK hem de Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ilkeleri gözetilerek hazırlanmıştır. Türkiye'deki ilgili kişiler için ayrıca KVKK Aydınlatma Metnimiz geçerlidir.
1. Veri Sorumlusu
Platform üzerinde işlenen kişisel veriler bakımından veri sorumlusu Graviti Labs'tir ("Bulfinex"). Sorumlu kişi: Tahsin Bayraktar. Her türlü gizlilik talebi için iletişim adresi: info@gravitilabs.com.
Makine telemetrisi gibi müşteri işletme verileri bakımından, verinin sahibi olan müşterimiz veri sorumlusu, Graviti Labs ise müşteri adına hareket eden veri işleyen konumundadır (bkz. Bölüm 5).
2. Kapsam
Bu politika; bulfinex.com/industry web sitesini ziyaret edenler, deneme veya ücretli hesap oluşturan müşteriler, müşteri hesaplarına davet edilen ekip üyeleri ve platform API'lerini kullanan kişiler için geçerlidir.
3. İşlenen Veri Kategorileri
Platform kapsamında aşağıdaki veri kategorilerini işleriz:
- Hesap verileri: ad soyad, şirket adı, e-posta, telefon, şehir, sektör bilgisi,
- Ekip verileri: müşteri tarafından davet edilen ekip üyelerinin e-posta adresleri ve rol atamaları,
- Varlık meta verileri: fabrika, makine ve cihaz tanım bilgileri (marka, model, konum, bağlantı yapılandırması),
- Makine telemetrisi: üretim, enerji ve sensör zaman serileri (müşteri işletme verisi olarak işlenir; kişisel veri değildir),
- İşlem güvenliği verileri: IP adresi, oturum kayıtları, erişim ve denetim logları,
- Çerezler: oturum ve dil tercihi çerezleri (üçüncü taraf reklam çerezi kullanılmaz),
- Ödeme verileri: abonelik planı ve fatura kayıtları; kart verileri iyzico tarafından işlenir, tarafımızca hiçbir zaman saklanmaz.
4. İşleme Amaçları ve Hukuki Dayanaklar
Kişisel verileri aşağıdaki amaçlar ve hukuki dayanaklarla işleriz:
- Hizmetin sunulması, hesabın oluşturulması ve yönetimi — sözleşmenin ifası,
- Faturalandırma, abonelik ve ödeme yönetimi — sözleşmenin ifası ve yasal yükümlülük,
- Platform güvenliği, dolandırıcılık önleme, erişim loglama ve hız sınırlama — meşru menfaat,
- Hizmet kalitesinin iyileştirilmesi ve hata ayıklama — meşru menfaat,
- Ürün duyuruları ve pazarlama iletişimi — açık rıza (dilediğiniz an geri alabilirsiniz),
- Yasal taleplerin karşılanması ve mevzuata uyum — yasal yükümlülük.
5. Telemetri: Müşteri İşletme Verisi
Makinelerden, sensörlerden ve ağ geçitlerinden toplanan üretim, enerji ve sensör zaman serileri, müşterinin ticari verisidir ve yalnızca müşteri adına, hizmetin sunulması amacıyla işlenir. Bu veriler kural olarak kişisel veri içermez; müşteri, telemetri kanallarına kişisel veri eklememekle yükümlüdür.
Telemetri verilerinin mülkiyeti müşteriye aittir. Müşteri, verilerini platform üzerinden dışa aktarabilir; hesap kapatıldığında veriler 30 gün içinde silinir, yedekler en geç 90 gün içinde imha edilir.
6. Alt İşleyiciler
Hizmetin sunulması için aşağıdaki alt işleyicilerle çalışırız. Her biri yalnızca belirtilen rol için ve sözleşmesel veri koruma taahhütleri altında veri işler:
- Hetzner — bulut barındırma ve sunucular — Almanya / Finlandiya (AB),
- Neon — PostgreSQL veritabanı barındırma — AB bölgesi,
- Upstash — Redis (oturum ve hız sınırlama altyapısı) — AB bölgesi,
- Resend — işlemsel e-posta gönderimi — e-posta iletim hizmeti,
- iyzico — ödeme işleme — kart verileri yalnızca iyzico tarafından işlenir ve saklanır,
- İsteğe bağlı yapay zekâ sağlayıcıları — yalnızca müşteri kendi API anahtarını yapılandırdığında; anahtarlar AES-256-GCM ile şifrelenerek saklanır ve seçilen sağlayıcıya yalnızca müşterinin başlattığı istekler iletilir.
7. Uluslararası Veri Aktarımları
Verileriniz esas olarak Avrupa Birliği içinde (Almanya ve Finlandiya'daki veri merkezlerinde) barındırılır. AB dışına yapılması gereken sınırlı aktarımlar, yeterlilik kararları veya standart sözleşme hükümleri gibi uygun güvencelere dayanılarak gerçekleştirilir.
Müşterinin kendi tercihiyle yapılandırdığı yapay zekâ sağlayıcılarına yapılan aktarımlar, müşterinin sağlayıcı seçimine ve o sağlayıcının veri işleme koşullarına tabidir.
8. Saklama Süreleri
Verileri yalnızca amaç için gerekli süre boyunca saklarız:
- Hesap verileri: abonelik süresince ve hesabın kapatılmasından itibaren 30 gün,
- Yedek kopyalar: hesabın kapatılmasından itibaren en fazla 90 gün,
- Fatura ve ödeme kayıtları: vergi ve ticaret mevzuatının öngördüğü yasal saklama süreleri (Türkiye'de 10 yıla kadar),
- Erişim ve denetim logları: güvenlik amacıyla makul ve orantılı bir süre,
- Pazarlama izinleri: rıza geri alınana kadar.
9. Güvenlik Önlemleri
Verilerin korunması için uyguladığımız teknik ve idari tedbirler şunları içerir:
- Aktarım sırasında TLS şifrelemesi,
- Gizli anahtarlar ve API anahtarları için beklemede AES-256-GCM şifrelemesi,
- Kiracı (tenant) izolasyonu ve rol tabanlı erişim kontrolü (RBAC),
- Denetim logları ve erişim kayıtları,
- Hız sınırlama (rate limiting) ve kötüye kullanım tespiti,
- Erişimin bilmesi-gereken ilkesiyle sınırlandırılması ve düzenli gözden geçirme.
10. İlgili Kişi Hakları
KVKK ve GDPR kapsamında; verilerinize erişme, düzeltilmesini isteme, silinmesini isteme, işlemenin kısıtlanmasını isteme, verilerinizin taşınabilir bir formatta size verilmesini isteme, meşru menfaate dayalı işlemeye itiraz etme ve verdiğiniz rızayı dilediğiniz an geri alma haklarına sahipsiniz.
Rızanın geri alınması, geri alınmadan önceki işlemenin hukuka uygunluğunu etkilemez. Ayrıca, yetkili veri koruma otoritesine (Türkiye'de Kişisel Verileri Koruma Kurumu) şikâyette bulunma hakkınız saklıdır.
11. Haklarınızı Nasıl Kullanırsınız
Haklarınızı kullanmak için info@gravitilabs.com adresine e-posta gönderebilirsiniz. Kimliğinizi doğrulamak için makul bilgiler talep edebiliriz. Başvurular en geç 30 gün içinde yanıtlanır. Müşterimizin ekip üyesiyseniz ve talep müşteri hesabındaki verilere ilişkinse, talebi ilgili müşteriye yönlendirebilir veya onunla koordineli olarak yanıtlayabiliriz.
12. Çerezler
Platformda yalnızca oturum kimlik doğrulaması ve dil tercihi için zorunlu ve işlevsel çerezler kullanılır; üçüncü taraf reklam veya izleme çerezi kullanılmaz. Ayrıntılar için Çerez Politikamıza bakınız.
13. Çocukların Verileri
Hizmet, işletmelere (B2B) yöneliktir ve 18 yaşından küçüklere yönelik değildir. 18 yaşından küçük kişilere ait olduğunu tespit ettiğimiz hesap verilerini sileriz.
14. Veri İhlali Bildirimi
Kişisel verileri etkileyen bir güvenlik ihlali tespit edildiğinde; ihlali değerlendirir, gerekli hâllerde yetkili otoriteye mevzuatta öngörülen süreler içinde (GDPR kapsamında kural olarak 72 saat) bildirir ve etkilenen müşterileri gecikmeksizin bilgilendiririz. Bildirimlerde ihlalin niteliği, olası etkileri ve alınan önlemler açıklanır.
15. Politikada Değişiklikler
Bu politikayı hizmetlerimizin gelişimine paralel olarak güncelleyebiliriz. Esaslı değişiklikler e-posta ile veya platform içinden bildirilir; güncel sürüm her zaman bu sayfada yayımlanır.
16. İletişim
Gizlilikle ilgili tüm sorular ve talepler için: Graviti Labs — info@gravitilabs.com. Sorumlu kişi: Tahsin Bayraktar.
Graviti Labs — info@gravitilabs.com