Gizlilik Politikası

Hesap verileri: e-posta adresi, ad, parola özetinin (hash) kendisi, oturum jetonu özetleri, isteğe bağlı Telegram chat_id ve WhatsApp telefon numarası.

Portföy verileri: girdiğiniz hesaplar, işlemler, holdinglerin enstrüman/miktar/maliyet bilgileri, manuel notlar, yatırım politikası (IPS), karar günlüğü (intents) ve tez (thesis) kayıtları.

Kullanım verileri: oturum açma zamanları, kullanılan sayfalar, çağrı log seviyesi, hata olayları (Sentry), istemci IP adresi (yalnızca anlık güvenlik denetimi için tutulur, kalıcı olarak hashlenir), kullanıcı ajanı.

Faturalandırma verileri: aktif abonelik planı, fatura geçmişi (tutar, dönem, durum). Kart numarası veya CVV gibi ödeme aracı verileri Portavix.AI'da saklanmaz; bunlar yalnızca İyzico'nun kendi PCI-DSS sistemlerinde tutulur.

Hizmet'in temel işlevini sağlamak: portföyünüzü kaydetmek, günlük brifing üretmek, karar günlüğü tutmak ve makro/risk uyarılarını tetiklemek.

Yapay zekâ tabanlı analiz çıktısı üretmek: girdileri DeepSeek LLM'ine göndererek eğitim amaçlı analiz, gözlem ve karar destek metni üretmek.

Hizmet'in güvenliğini sağlamak: kötüye kullanım, sahte hesap, bot trafiği ve API saldırılarını tespit etmek; gerektiğinde hukukî talepleri karşılamak.

Faturalandırma ve abonelik yönetimi: ödeme almak, faturalandırma kanıtı oluşturmak, vergi yükümlülüklerini yerine getirmek.

İletişim: kritik sistem bildirimleri, fiyat değişikliği duyuruları ve isteğe bağlı pazarlama (yalnızca onay verildiğinde) için e-posta göndermek.

Aktif hesap verileri abonelik veya kayıt süresince saklanır. Hesap silindiğinde, aşağıda belirtilen yasal saklama yükümlülüklerinin dışındaki tüm kişisel veriler 30 gün içinde silinir veya geri döndürülemez şekilde anonimleştirilir.

Faturalandırma kayıtları, Vergi Usul Kanunu uyarınca 5 yıl saklanır.

Güvenlik logları (giriş denemeleri, IP, kullanıcı ajanı) en fazla 12 ay saklanır; süre sonunda otomatik olarak silinir.

Karar günlüğü ve tez geçmişi gibi kullanıcının kendi içeriği; hesap aktif olduğu sürece saklanır ve KVKK'nın 7. maddesi kapsamında kullanıcı talebiyle silinebilir.

Hizmet'in işletilmesi için aşağıdaki veri işleyenler kullanılır. Her sağlayıcı yalnızca kendi sözleşme amaçlarıyla sınırlı veriyi alır.

DeepSeek (LLM analiz altyapısı, sunucular Singapur/Hong Kong/Çin), İyzico (BDDK lisanslı ödeme — yalnızca yurt içi), Sentry (hata izleme — AB bölgesi, EU-1), Postmark/Resend (e-posta — ABD/AB), Backblaze B2 (şifreli yedek — ABD), Telegram (bildirim — global), WhatsApp Business via Twilio veya Meta (isteğe bağlı bildirim — ABD), ElevenLabs veya OpenAI (isteğe bağlı sesli brifing — ABD).

Yurt dışı veri aktarımlarının hukukî gerekçeleri ve veri minimizasyon ilkesinin nasıl uygulandığı KVKK Aydınlatma Metni'nde açıklanmıştır.

Hizmet, oturum yönetimi için zorunlu çerezler kullanır. Bu çerezler oturum jetonunu taşır, HttpOnly + Secure + SameSite=Lax özellikleriyle ayarlanır ve oturum süresince yaşar.

Hizmet'te üçüncü taraf izleme çerezi veya reklam ağı çerezi kullanılmaz. Analytics gereksinimi olduğunda, çerezsiz ve sunucu tarafı log toplama yöntemi tercih edilir.

KVKK madde 11 ve GDPR ile uyumlu olarak; verilerinize erişme, düzeltme, silme, işlemeye itiraz, veri taşınabilirliği ve otomatik karar verme süreçlerine itiraz haklarınız vardır.

Tüm hak başvurularını kvkk@portavix.ai adresine veya Ayarlar → Veri Hakları panelinden iletebilirsiniz. KVKK'nın 13. maddesi uyarınca başvurular en geç 30 gün içinde sonuçlandırılır.

Veri tabanı ve uygulama sunucusu Türkiye'deki Hetzner-FSN bölgesinde barındırılır; sunucu trafiği TLS 1.3 ile şifrelenir; veri tabanı kapalı bir sanal ağda çalışır.

Parolalar Argon2id ile hashlenir; oturum jetonları SHA-256 özetiyle saklanır; tüm yetkili API çağrıları için en az imzalı oturum çerezi zorunludur.

Olay yanıt prosedürümüz docs/INCIDENT_RESPONSE.md'de tanımlıdır; bir veri ihlali tespit edildiğinde KVKK madde 12 ve 13 uyarınca 72 saat içinde Kişisel Verileri Koruma Kurumu'na ve etkilenen veri sahiplerine bildirim yapılır.

Bu Politika; mevzuat değişiklikleri veya hizmet kapsamının değişmesi doğrultusunda güncellenebilir. Güncel sürüm her zaman /tr/privacy adresinde yayımlanır.