Gizlilik Politikası

Veri sorumlusu: Hazar Sönmez (Türkiye).

Faaliyet alanı: çok varlıklı portföy takip ve analiz hizmeti (alvest.app). Hizmet, son kullanıcılara internet üzerinden SaaS modelinde sunulur. Ücretli abonelikler Paddle.com Market Limited tarafından Merchant of Record sıfatıyla satılır.

Hizmetin işletildiği altyapı sağlayıcılar (veri işleyenler):

• Hosting: Vercel Inc. (CDN + serverless functions)
• Veritabanı + Auth: Supabase Inc. (AB bölgesinde - Frankfurt)
• E-posta gönderimi: Resend.com (transactional + bildirim e-postaları)
• Ödeme: Paddle.com Market Limited (PCI DSS Seviye 1)
• Push bildirim: Web Push (kullanıcı tarayıcısı tabanlı, üçüncü taraf yok)

Analitik: Yok. Üçüncü taraf reklam veya tracker pikseli yüklenmez.

İletişim kanalları:

• Genel: info@alvest.app
• Müşteri desteği: destek@alvest.app
• Gizlilik talepleri (KVKK/GDPR): privacy@alvest.app
• Yanıt süresi: 2-10 iş günü

Bu politika alvest.app alan adı, app.alvest.app alt alan adı, mobil web sürümü ve e-posta üzerinden gönderilen bildirimler dahil tüm Alvest yüzeylerinde geçerlidir.

Yalnızca hizmetin işleyişi için gereken asgari veriyi işleriz. Reklam amaçlı veri toplamayız, veri satışı yapmayız.

Kimlik ve iletişim verileri: E-posta adresi, profil adı (Google ile giriş yaptıysanız Google tarafından sağlanan ad ve profil görseli). Zorunludur; hesabın kimliklendirilmesi ve oturum yönetimi için işlenir.

Finansal portföy verileri: Tarafınızca eklenen işlemler, pozisyonlar, varlık tutarları, alım-satım tarihleri, alarmlar, hedefler ve portföy etiketleri. Bu veriler yatırım danışmanlığı niteliğinde değildir; yalnızca sizin kendi kayıtlarınızdır. Sunucu tarafında AES-256 ile şifrelenmiş olarak saklanır.

API kimlik bilgileri (isteğe bağlı): Binance, BTCTurk, Paribu gibi borsaların salt okunur (read-only) API anahtarları. Bu anahtarlar yalnızca sizin tarayıcınızda, kullanıcı kimliğinize bağlı şifrelenmiş formatta saklanır. Alvest sunucularına iletilmez, Alvest tarafından görülemez.

Ödeme verileri: Pro ve Premium aboneliklerde yalnızca plan türü, fatura dönemi ve son ödeme tarihi bilgisi tutulur. Kart numarası, CVV, IBAN ve benzeri hassas ödeme verileri Alvest tarafından işlenmez; ödeme altyapısını sağlayan Paddle.com Ltd. (Merchant of Record) tarafından PCI-DSS Seviye 1 standardında işlenir ve saklanır.

Teknik ve kullanım verileri: IP adresi (güvenlik amaçlı kısa süreli), tarayıcı tipi, cihaz tipi, işletim sistemi, hizmet kullanım olayları. Kişisel olmayan, toplulaştırılmış analitik için çerezsiz ve gizlilik odaklı bir AB analitik sağlayıcısı kullanılır; çerez bırakmaz, IP adresini hash'leyerek siler.

Destek yazışmaları: destek@ veya privacy@ adreslerine ilettiğiniz e-postalar, talebin sonuçlandırılması amacıyla işlenir.

Türkçe mevzuat kapsamında özel nitelikli kişisel veri işlemiyoruz. Sağlık, biyometri, din, etnik köken, sendika, siyasi görüş veya ceza mahkumiyeti bilgilerini toplamayız.

Kişisel verileriniz aşağıdaki amaçlarla işlenir:

• Hizmetin sunulması, hesabın oluşturulması ve oturum yönetimi
• Portföy hesaplamalarının yapılması ve gösterilmesi
• Fiyat alarmları, haftalık özet raporları ve güvenlik bildirimlerinin e-posta ile iletilmesi
• Abonelik ve plan yönetimi (Free, Pro, Premium)
• Dolandırıcılık, kötüye kullanım, bot ve otomatik saldırıların önlenmesi
• Hizmet kalitesinin ölçülmesi ve teknik iyileştirmelerin yapılması
• Yasal yükümlülüklerin yerine getirilmesi (mahkeme kararı, Mali Suçları Araştırma Kurulu talebi vb.)
• Talep ve şikayetlerinizin değerlendirilmesi

KVKK Madde 5 ve GDPR Madde 6 kapsamında işleme faaliyetlerimizin hukuki sebepleri:

• Sözleşmenin ifası: Hesap oluşturma, portföy verileri, abonelik yönetimi (KVKK 5/2-c, GDPR 6/1-b).
• Meşru menfaat: Hizmet güvenliği, dolandırıcılık önleme, ürün iyileştirme (KVKK 5/2-f, GDPR 6/1-f).
• Hukuki yükümlülük: Vergi, ticaret ve tüketici mevzuatı (KVKK 5/2-ç, GDPR 6/1-c).
• Açık rıza: Pazarlama e-postaları ve isteğe bağlı özellikler (KVKK 5/1, GDPR 6/1-a).

Açık rızaya dayalı işlemeleri istediğiniz zaman ayarlar üzerinden geri alabilirsiniz. Geri alma, önceki işlemelerin hukuka uygunluğunu etkilemez.

Verilerinizi satmayız, kiralamayız, reklam amaçlı paylaşmayız. Yalnızca hizmetin sunulabilmesi için aşağıdaki alt işleyici kategorileri ile sınırlı paylaşım yapılır:

Veritabanı ve kimlik doğrulama altyapısı (AB bölgesi) - hesap bilgileri, portföy verileri ve oturum yönetimi. SOC 2 Type 2 ve ISO 27001 sertifikalı sağlayıcı.

Paddle.com Market Ltd. (İrlanda / Birleşik Krallık) - Merchant of Record sıfatıyla ödeme, fatura, KDV/VAT yönetimi. PCI-DSS Seviye 1 sertifikalı. Faturanızda "Paddle" ibaresi görünür.

İşlemsel e-posta sağlayıcısı - alarm, rapor ve doğrulama e-postalarının teslimatı. DPA imzalı, AB Standart Sözleşme Maddeleri (SCC) uygulanır.

Bulut barındırma ve CDN sağlayıcısı - uygulamanın sunulması ve küresel dağıtım. SCC uygulanır, SOC 2 Type 2 sertifikalı.

AI model sağlayıcısı - Alvest AI portföy analizi özelliği kullanıldığında yalnızca anonim portföy özeti (kimlik bilgisi olmadan) gönderilir. Zero-retention endpoint; veri AI modelinin eğitiminde kullanılmaz.

Çerezsiz analitik sağlayıcısı (AB) - sayfa görüntüleme verileri anonim olarak toplanır, kişisel veri tutulmaz.

Alt işleyicilerin güncel ve tam listesi (ticari unvan, lokasyon ve DPA bağlantıları ile): [/subprocessors](/subprocessors)

Mahkeme kararı, yasal talep veya suç soruşturması kapsamında yetkili mercilere veri aktarımı yasal zorunluluk halinde yapılır ve mümkün olduğunda size bildirilir.

Bazı alt işleyicilerimiz yurt dışında yerleşiktir. KVKK Madde 9 ve GDPR Bölüm V kapsamında aktarım, aşağıdaki güvencelerden biri ile yapılır:

• AB Komisyonu yeterlilik kararı bulunan ülkeler için standart aktarım
• Avrupa Komisyonu Standart Sözleşme Maddeleri (SCC) uygulanması
• Teknik ve idari ek güvenceler (şifreleme, erişim kontrolü, log denetimi)
• Gerekli hallerde açık rızanızın alınması

KVKK Kurulu tarafından yayımlanacak yeterli koruma sağlayan ülkeler listesi güncellendiğinde uygulamalarımız buna göre yenilenir.

API anahtarları, hizmetin en hassas noktasıdır. Yaklaşımımız tamamen şeffaftır:

• API anahtarları yalnızca sizin tarayıcınızda saklanır, sunucularımıza gönderilmez
• Depolama, kullanıcı kimliğinize bağlı türetilmiş anahtar ile simetrik şifreleme kullanılarak yapılır
• Yalnızca read-only (salt okunur) izni ile çalışırız; "işlem yapma" ve "para çekme" izinleri sistem tarafından kabul edilmez
• Borsa çağrıları istemci tarafından yapılır; veri bir kere alınır, ekranda gösterilir, sunucuya gönderilmez
• Anahtarı kaldırdığınız an tarayıcıdaki şifreli kopya silinir
• Borsa tarafında her zaman IP kısıtlaması, 2FA ve sadece okuma izni kullanmanızı öneririz

Alvest, API anahtarlarınız kullanılarak yapılan yetkisiz işlemlerden sorumlu tutulamaz; ancak borsa tarafı bir sızıntı bildirdiğinde size derhal haber verilir.

Reklam veya üçüncü taraf pazarlama çerezi kullanmayız.

Zorunlu çerezler: Oturum kimliği, CSRF koruması, tema ve dil tercihi. Hizmetin çalışabilmesi için gereklidir, rıza gerektirmez.

localStorage: Portföy tercihleri, UI tercihleri, geçici taslaklar. Tarayıcınızdan çıkmadığı sürece cihazınızda kalır.

Analitik: Çerezsiz, anonim analitik sağlayıcı kullanılır; toplulaştırılmış veri toplanır.

Detaylı liste için Çerez Politikası sayfamızı inceleyin.

Verileriniz ancak işleme amacı için gerekli süre boyunca saklanır:

• Hesap verileri: Hesap aktif olduğu sürece + hesap silindikten sonra 30 gün geri alma penceresi.
• Portföy verileri ve işlemler: Hesap ömrü boyunca. Hesap silindiğinde 30 gün içinde kalıcı olarak silinir.
• API anahtarları: Yalnızca tarayıcınızda; siz sildiğiniz an son bulur.
• Ödeme kayıtları: Vergi mevzuatı uyarınca Paddle tarafından 10 yıla kadar saklanır.
• Destek yazışmaları: Talep kapandıktan sonra 24 ay.
• Güvenlik logları: 90 gün; ciddi olay halinde 12 ay.
• Yedekler: Şifreli yedekler en fazla 35 gün içinde döngüsel olarak üzerine yazılır.

KVKK Madde 11 ve GDPR Madde 15-22 kapsamında aşağıdaki haklara sahipsiniz:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme
• İşlenmişse buna ilişkin bilgi talep etme
• İşleme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
• Yurt içi ve yurt dışında aktarıldığı tarafları öğrenme
• Eksik veya yanlış işlenmişse düzeltilmesini isteme
• Silinmesini veya yok edilmesini isteme (unutulma hakkı)
• Düzeltme, silme ve yok etmenin üçüncü taraflara bildirilmesini isteme
• Otomatik işleme sonucu aleyhe çıkan sonuçlara itiraz etme
• Kanuna aykırı işleme nedeniyle uğradığınız zararın giderilmesini talep etme
• Veri taşınabilirliği (JSON formatında dışa aktarma)

Talebinizi privacy@alvest.app adresine iletin. Kimliğinizin doğrulanmasının ardından en geç 30 gün içinde ücretsiz olarak yanıt verilir. Açıkça temelsiz veya aşırı talepler için makul ücret talep edilebilir veya talep reddedilebilir.

Alvest, kullanıcılar üzerinde hukuki sonuç doğuran veya benzer ölçüde etkileyen otomatik karar verme süreçleri kullanmaz. AI portföy analizi özelliği yalnızca bilgilendirme amaçlıdır, yatırım tavsiyesi değildir, otomatik alım-satım gerçekleştirmez.

Hizmet 18 yaşından küçüklere yönelik değildir. 18 yaşın altında olduğunu öğrendiğimiz hesapları kapatır ve ilgili verileri sileriz. Velisi olarak çocuğunuzun hizmeti kullandığını fark ederseniz privacy@alvest.app adresine bildirin.

Kişisel veri ihlali halinde KVKK Madde 12/5 uyarınca en kısa sürede, en geç 72 saat içinde Kişisel Verileri Koruma Kurulu'na ve yüksek risk öngörülen durumlarda doğrudan size bildirim yapılır. Bildirim e-posta yolu ile iletilir ve alınan önlemleri, ihlalin kapsamını ve önerilen adımları içerir.

Teknik ve idari güvenlik tedbirlerimiz:

• Tüm bağlantılar TLS 1.2+ ile şifrelenir
• Veritabanı tarafında AES-256 tam disk şifreleme
• Row-Level Security (RLS) politikaları ile veri izolasyonu
• En az yetki ilkesi ve çift faktörlü yönetici erişimi
• API anahtarlarının sunucuya hiçbir zaman gönderilmemesi
• Bağımlılıkların otomatik güvenlik taramaları
• Düzenli sızma testleri ve bağımsız güvenlik denetimleri
• Çalışanlar için gizlilik sözleşmeleri

Güvenlik açığı bildirimleri için: privacy@alvest.app adresine "Security Disclosure" konu başlığı ile yazın. 24 saat içinde yanıt verilir.

Bu politikayı yasal, teknik veya operasyonel nedenlerle güncelleyebiliriz. Önemli değişiklikler yürürlük tarihinden en az 15 gün önce e-posta ve uygulama içi bildirim ile duyurulur. En güncel sürüm her zaman bu sayfada yayındadır.

İletişim:

• Gizlilik talepleri (KVKK/GDPR): privacy@alvest.app
• Genel: info@alvest.app
• Müşteri desteği: destek@alvest.app
• Yanıt süresi: 2-10 iş günü (KVKK/GDPR talepleri için yasal süre en geç 30 gün)

Şikayet mercileri:

• Türkiye: Kişisel Verileri Koruma Kurumu (KVKK) - kvkk.gov.tr
• AB/AEA: ikamet ettiğiniz üye devletin Veri Koruma Otoritesi (DPA)
• Birleşik Krallık: Information Commissioner's Office (ICO)

Ödeme verilerinin korunmasından ödeme sağlayıcı Paddle.com Market Limited (Merchant of Record) sorumludur - paddle.net/contact

---

Yasal bilgi: Veri sorumlusu Hazar Sönmez (Türkiye). Alvest, Türkiye merkezli olarak işletilmektedir.