Gizlilik Politikası
Son güncelleme: 30 Haziran 2026 · Versiyon 1.0
Bu Gizlilik Politikası, Eforla platformunu (www.eforla.com) kullanan kullanıcıların kişisel verilerini nasıl topladığımızı, işlediğimizi ve koruduğumuzu açıklamaktadır. Türk kullanıcılar için 6698 sayılı KVKK, AB/AEA kullanıcıları için GDPR (AB Genel Veri Koruma Tüzüğü) kapsamındaki yükümlülüklerimizi birlikte karşılar.
1. Veri Sorumlusu / Veri Denetleyicisi
Ticaret unvanı: NCU Global Teknolojiler Bilişim A.Ş.
Marka adı: Eforla — www.eforla.com
MERSİS No: 0630145269300001
Adres: Armada İş Merkezi, Beştepe Mahallesi Dumlupınar Bul. No 6/1 İç Kapı No: 18, Yenimahalle / Ankara, Türkiye
Veri Koruma Sorumlusu: Can Özcan
E-posta: info@ncuglobaltech.com
2. Topladığımız Veriler
2.1 Bize doğrudan verdiğiniz veriler
- Hesap kaydı: Ad, soyad, e-posta adresi, şifre (bcrypt ile şifrelenmiş — düz metin olarak asla saklanmaz)
- Profil (isteğe bağlı): Profil fotoğrafı
- Platform kullanımı: Zaman girişleri, proje ve görev adları, çalışma süresi kayıtları, çalışma alanı üyelik rolleri
2.2 Otomatik toplanan veriler
- Kimlik doğrulama: JWT oturum token'ları (HttpOnly çerezlerde şifreli — JavaScript ile okunamaz, sunucu dışında erişilemez)
- Oturum durumu: Tarayıcı yerel depolama (localStorage) — yalnızca platform işlevselliği için, sunucuya gönderilmez
- Güvenlik logları: E-posta tabanlı hız sınırlaması, hata logları (30 gün saklanır; IP profilleme yapılmaz)
2.3 Ödeme verileri
Kredi/banka kartı bilgileriniz Eforla sunucularına iletilmez. Ödeme işlemleri doğrudan PCI DSS uyumlu sağlayıcımız Stripe tarafından gerçekleştirilir. Eforla yalnızca Stripe müşteri kimliğini, abonelik planını ve koltuk sayısını saklar.
3. Kişisel Verileri Neden İşliyoruz?
Sözleşmenin ifası için zorunlu işleme
GDPR Md. 6(1)(b) · KVKK Md. 5/2(c)
- Hesabınızı oluşturmak ve yönetmek
- Zaman takibi ve proje yönetimi hizmetini sunmak
- Ekip üyelerinizle çalışma alanlarını yönetmek
- Abonelik ve faturalandırma işlemlerini gerçekleştirmek
Meşru menfaat için işleme
GDPR Md. 6(1)(f) · KVKK Md. 5/2(f)
- Platform güvenliğini ve bütünlüğünü sağlamak
- Teknik hataları tespit edip gidermek
- Hizmet kalitesini iyileştirmek (anonimleştirilmiş analiz)
Yasal yükümlülükler
GDPR Md. 6(1)(c) · KVKK Md. 5/2(ç)
- Yetkili makamların yasal talepleri
- Fatura ve vergi kayıt yükümlülükleri
Açık rıza
GDPR Md. 6(1)(a) · KVKK Md. 5/1
- İsteğe bağlı profil fotoğrafı yüklemesi
4. Verilerinizi Kimlerle Paylaşıyoruz?
Kişisel verilerinizi satmıyor, kiralamıyor veya ticari amaçla paylaşmıyoruz. Yalnızca hizmet sunumu için zorunlu teknik iş ortaklarımıza aktarım yapılmaktadır:
| Sağlayıcı | Paylaşılan veri | Amaç | Bölge |
|---|---|---|---|
| AWS | Tüm platform verileri | Sunucu, veritabanı, depolama | eu-central-1 (Frankfurt, AB) |
| Stripe | Fatura kimliği, abonelik | Ödeme altyapısı | ABD (Stripe DPA / SCCs) |
| Cloudflare | İstek meta verisi | Güvenlik duvarı, DNS, CDN | Global |
| Cloudflare Turnstile | Tarayıcı güvenlik sinyalleri | Bot tespiti | Global |
| Hostinger | E-posta adresi, içerik | İşlemsel e-posta gönderimi | AB |
5. Uluslararası Veri Transferleri
Platform altyapımız AWS eu-central-1 (Frankfurt, Almanya) bölgesinde barındırılmaktadır; bu bölge AB/AEA sınırları içindedir ve GDPR için ek transfer mekanizması gerektirmez.
Stripe (ABD): Ödeme işlemleri için veriler ABD'ye aktarılmaktadır. Bu transfer AB Standart Sözleşme Maddeleri (SCC) ve Stripe DPA'sı aracılığıyla güvence altına alınmaktadır. KVKK Madde 9 kapsamındaki yükümlülükler yerine getirilmektedir.
6. Veri Saklama Süreleri
| Veri türü | Saklama süresi |
|---|---|
| Hesap ve kimlik verileri | Aktif üyelik + hesap silinmesinin ardından 90 gün |
| Zaman girişleri ve proje verileri | Abonelik süresi; hesap silinmesiyle birlikte |
| Faturalama kayıtları | Yürürlükteki vergi mevzuatının gerektirdiği süre |
| Güvenlik ve hata logları | 30 gün |
7. Güvenlik Önlemleri
- Şifreleme: Parolalar bcrypt ile hashlenir; düz metin olarak asla saklanmaz
- Güvenli oturum: JWT token'ları HttpOnly çerezlerde tutulur; JavaScript'ten erişilemez
- Altyapı: Veritabanı AWS VPC içinde, kamudan doğrudan erişim yoktur
- Güvenlik duvarı: Cloudflare WAF kötü niyetli istekleri filtreler
- CSRF koruması: Çift gönderme token ve SameSite çerez politikası
- HTTPS: Tüm iletişim TLS üzerinden şifrelenir
8. Haklarınız
Türkiye'deki kullanıcılar (KVKK Md. 11)
- Verilerinizin işlenip işlenmediğini öğrenme
- İşleniyorsa bilgiye erişme
- Düzeltilmesini isteme
- Silinmesini veya yok edilmesini talep etme
- Aktarıldığı üçüncü kişilere bildirimi isteme
- Otomatik karar alma sistemlerine itiraz etme
- Zarara uğramanız halinde tazminat talep etme
AB/AEA kullanıcıları (GDPR Md. 15–22)
- Erişim hakkı (Md. 15)
- Düzeltme hakkı (Md. 16)
- Silme / "unutulma" hakkı (Md. 17)
- İşlemenin kısıtlanması (Md. 18)
- Veri taşınabilirliği (Md. 20)
- İtiraz hakkı (Md. 21)
- Denetim otoritesine şikâyet — Türkiye: Kişisel Verileri Koruma Kurumu (kvkk.gov.tr)
Başvuru
Haklarınızı kullanmak için info@ncuglobaltech.com adresine yazabilirsiniz. Talebiniz KVKK kapsamında 30 gün, GDPR kapsamında 1 ay içinde yanıtlanacaktır.
9. Çerezler
Eforla yalnızca teknik açıdan zorunlu çerezler kullanmaktadır. Pazarlama, analitik veya üçüncü taraf takip çerezleri bulunmamaktadır. Ayrıntılar için Çerez Politikamıza bakınız.
10. Çocukların Gizliliği
Eforla hizmetleri 18 yaşın altındaki bireylere yönelik değildir ve bilerek 18 yaş altından kişisel veri toplamaz. Böyle bir durumdan haberdar olursanız lütfen bizimle iletişime geçin.
11. Değişiklikler
Bu Gizlilik Politikası zaman zaman güncellenebilir. Önemli değişikliklerde kayıtlı e-posta adresinize bildirim gönderilecektir. Güncel politika her zaman www.eforla.com/privacy adresinde yayınlanmaktadır.