İçeriğe atla
CardWho
Uygulamayı İndir

Yasal

Gizlilik Politikası

CardWho, gizliliğine saygı duyarak çalışır. Bu politika hangi verileri, neden, nasıl topladığımızı ve haklarını anlaşılır biçimde açıklar.

Son güncelleme:

1. Bu politika kimi kapsıyor?

Bu politika; cardwho.com web sitesini ziyaret eden kullanıcıları, CardWho mobil uygulamasını (iOS / Android) kullanan oyuncuları ve iletişim kanalları üzerinden bizimle iletişime geçen kişileri kapsar.

2. Veri sorumlusu

"Biz" / "CardWho" ifadeleri, hizmeti sunan Erik Medya'ya atıfta bulunur.

  • Ticari unvan: Erik Medya
  • Adres: Kuştepe Mahallesi, Mecidiyeköy Yolu Caddesi No: 12, Trump Tower Kat: 4, Ofis No: 405, Şişli / İstanbul, Posta kodu: 34381
  • E-posta: [email protected]

3. Topladığımız veriler

3.1. Hesapsız kullanım

CardWho hesap açmadan oynanır. Hesapsız kullanımda kişisel veri toplanmaz; oyun ilerlemesi yalnızca senin cihazında saklanır.

3.2. İsteğe bağlı hesap açma

Çoklu cihaz senkronizasyonu, bulut yedekleme veya satın alımları cihazlar arasında kullanmak istersen hesap açabilirsin. Bu durumda topladığımız veriler:

  • E-posta adresi (oturum açma + iletişim için)
  • Görünen ad (zorunlu değil)
  • Cihaz tipi ve uygulama sürümü (hata ayıklama + uyumluluk için)
  • Oyun istatistikleri (toplam oyun sayısı, kategori bazlı tercihler) — yalnızca hesabınla ilişkili

3.3. Satın alma verileri

PRO içerik satın alırsan, ödeme işlemi Apple App Store veya Google Play tarafından gerçekleştirilir. Biz kart bilgilerini görmeyiz veya saklamayız. Yalnızca satın alımın doğrulanması için mağazanın bize döndürdüğü tokenları işleriz.

3.4. İletişim verileri

İletişim formunu kullanırsan adın, e-postan, mesajın ve seçtiğin konu bize iletilir. Bu veriler talebini yanıtlamak ve gerekirse takip etmek için işlenir.

3.5. Web sitesi kullanım verileri

Site Cloudflare üzerinden sunulur. Standart sunucu kayıtları (IP adresi, kullanıcı aracısı, talep edilen URL, zaman damgası) güvenlik ve teşhis amaçlı kısa süreli olarak tutulur.

3.6. Güvenlik ve denetim kayıtları

Hesabını korumak ve yasal yükümlülüklerimizi karşılamak için güvenlik açısından önemli olayları dahili bir denetim kaydında (audit log) tutarız: Oturum açma denemeleri (başarılı ve başarısız), hesap değişiklikleri (kayıt, profil güncelleme, hesap silme), abonelik olayları (satın alma, yenileme, iptal, transfer, iade), hesabınla ilgili yönetici işlemleri ve sistem işleri (planlı saklama görevleri gibi). Her kayıt; eylem adını, aktör tipini (kullanıcı / yönetici / sistem), aktör ve hedef kimliklerini, zaman damgasını, IP adresini, kullanıcı aracısını ve maskelenmiş bir yükü (payload) tutar.

Hassas değerler payload'a asla açık metin olarak yazılmaz. Parolalar, tam kimlik doğrulama tokenları, ödeme kartı bilgileri, ham e-posta adresleri ve diğer kişisel veriler, kayıt yazılmadan önce bir maskeleme listesi (redaction whitelist) üzerinden filtrelenir. Olayın gerçekleştiğini kanıtlamak için gereken bilgi tutulur — altta yatan sır değil.

4. Veriyi neden işliyoruz?

İşleme amaçlarımız ve hukuki dayanaklarımız:

  • Hizmet sunumu: Hesabını çalışır halde tutmak, satın alımları doğrulamak, senkronizasyonu sağlamak (sözleşmenin ifası).
  • Destek: İletişim taleplerine yanıt vermek (meşru menfaat).
  • Güvenlik: Saldırı tespiti, dolandırıcılık önleme, sistem bütünlüğü (meşru menfaat ve yasal yükümlülük).
  • Hesap verebilirlik ve denetim kaydı: Güvenlik açısından önemli olaylar dahili bir denetim kaydına yazılır; saldırı tespiti, kritik işlemlerin (hesap silme, yönetici müdahalesi) gerçekleştiğinin ispatı ve KVKK m.5/2-ç (yasal yükümlülük) ile m.5/2-f (meşru menfaat) ile GDPR m.6/1-c ve m.6/1-f kayıt tutma yükümlülüğümüz için işlenir.
  • Yasal yükümlülükler: Vergi ve tüketici hukuku gerektiren kayıtlar (yasal yükümlülük).
  • Ürün geliştirme: Toplu, kişiselleştirilmemiş kullanım örüntüleri (meşru menfaat). Bireysel kullanıcı düzeyinde profilleme yapmıyoruz.

5. Veriyi kimlerle paylaşıyoruz?

Verini satmıyoruz. Yalnızca hizmeti sunmak için zorunlu olan, sözleşmesel ve yasal yükümlülüklerle bağlı işlemcilerle paylaşırız:

  • Apple App Store / Google Play: Satın alma işlemleri.
  • OVH (Avrupa Birliği): Sunucu barındırma. Verilerin Avrupa Birliği içinde tutulur.
  • Cloudflare: CDN, bot koruması, Turnstile.
  • RevenueCat (Amerika Birleşik Devletleri): Mobil uygulama içi satın alma orkestrasyonu, abonelik durumu doğrulaması ve store webhook'ları. E-posta, görünen ad, doğum tarihi, şehir ve ülke kodu müşteri tanımlama amacıyla iletilir.
  • Google (Firebase Authentication, Firebase Cloud Messaging): Hesap kimlik doğrulaması ve push bildirim teslimatı. Apple/Google ile sosyal giriş kullandığında Google'ın kendi kimlik doğrulama altyapısı devreye girer.
  • Sentry (Almanya — AB): Uygulama hata ve performans telemetrisi. Cihaz tipi, uygulama sürümü, anonim kullanıcı kimliği ve hata yığını işlenir.
  • PostHog (AB): Ürün analitiği. Anonim cihaz/kurulum kimliği, uygulama sürümü ve uygulama içi kullanım olayları işlenir; oturum kaydı ve IP tabanlı konum belirleme kapalıdır.
  • Resmi makamlar: Yalnızca yasal olarak zorunlu kılındığında ve mümkünse seni önceden bilgilendirerek.

6. Veri saklama süreleri

  • Hesap verileri: Hesabın aktif olduğu sürece. Hesap silme talebinden itibaren 30 gün içinde tüm veriler silinir.
  • İletişim mesajları: Talebin kapanmasından itibaren 12 ay.
  • Sunucu kayıtları: 30 gün, sonra anonimleştirilir veya silinir.
  • Faturalandırma kayıtları: Vergi mevzuatı gereği 10 yıl.

Denetim kaydı, planlı bir görev tarafından otomatik olarak temizlenen dört ayrı saklama bölmesinden oluşur:

  • Hesap silme kanıtı (kullanıcı): 36 ay. Hesap silme olayları, silmenin gerçekten yapıldığının kanıtı olarak (anonimleştirilmiş halde) tutulur — KVKK m.5/2-ç ve GDPR m.6/1-c.
  • Diğer kullanıcı olayları: 12 ay. Oturum açmalar, profil güncellemeleri, abonelik olayları ve benzeri kayıtlar — veri minimizasyonu ilkesi ve dolandırıcılık inceleme penceresi.
  • Yönetici olayları: 24 ay. Yöneticilerin kullanıcı hesapları üzerinde yaptığı işlemler için iç denetim ve ekip içi devir penceresi.
  • Sistem olayları: 6 ay. Planlı görev çalışmaları, saklama temizleme çıktıları ve benzeri operasyonel kayıtlar.

7. Haklarınız (KVKK + GDPR)

Türkiye'de Kişisel Verilerin Korunması Kanunu (KVKK), Avrupa Birliği'nde Genel Veri Koruma Tüzüğü (GDPR) kapsamında şu haklara sahipsin:

  • Verilerinin işlenip işlenmediğini öğrenme.
  • İşleniyorsa, hangi verilerin nasıl ve neden işlendiğini öğrenme.
  • Hatalı verilerin düzeltilmesini isteme.
  • Yasal istisnalar dışında verilerin silinmesini isteme ("unutulma hakkı").
  • Verilerinin makine tarafından okunabilir bir formatta sana iletilmesini veya başka bir veri sorumlusuna aktarılmasını isteme (taşınabilirlik).
  • Belirli işleme türlerine itiraz etme.
  • Otomatik karar verme süreçlerinin dışında kalma.
  • Bir denetim makamına şikayette bulunma (Türkiye'de KVKK Kurumu, AB'de yerel veri koruma otoritesi).

Bu haklarını iletişim formu üzerinden "Yasal / gizlilik" konusuyla bize iletebilirsin. Talebine en geç 30 gün içinde yanıt veririz.

Verilerini uygulama içinden silme: CardWho, oturum açmış olup olmamana göre iki uygulama içi yol sunar. Bu ekranlara ulaşamazsan, web yedek yolu olarak iletişim formu üzerinden "Hukuki / gizlilik" konulu bir mesaj gönder.

  • Oturum açmış üyelerProfil → Hesabımı Sil seçeneğini aç. Backend hesap satırın, Firebase kullanıcı kaydın, RevenueCat müşteri profilin ve Sentry kullanıcı referansın atomik olarak silinir; sana atıf yapan denetim kaydı satırları aynı işlem içinde aşağıda anlatıldığı şekilde anonimleştirilir.
  • Misafirler (hesapsız)Profil → Misafir Verilerini Sil seçeneğini aç. Bu cihazdaki favoriler, istatistikler, rozetler, bildirim kutusu ve FCM push token silinir; uygulama yeni bir misafir olarak devam eder. Cihaz tercihleri (dil, tema, ses) kişisel veri olmadığı için cihazda kalır.

Silme talebinin denetim kaydıyla ilişkisi (KVKK m.17): Hesabını uygulama içinden sildiğinde veya bir yönetici KVKK m.17 kapsamında senin adına hesabını anonimleştirdiğinde, hesap satırın ve kişisel verilerin silinir; sana atıf yapan mevcut denetim kaydı satırları da aynı atomik işlem içinde anonimleştirilir — aktör ve hedef kimlikleri NULL'a çekilir, payload boşaltılır. Eylem adı ve zaman damgası, saklama yükümlülüğü gereği yasal kanıt olarak korunur. Kanıt satırının kendisi, §6'da açıklanan planlı saklama görevi tarafından 36 ay sonra silinir.

8. California gizlilik hakları (CCPA / CPRA)

California'da ikamet ediyorsan, California Tüketici Gizliliği Yasası (CCPA), California Gizlilik Hakları Yasası (CPRA) ile değiştirilmiş hâliyle sana şu hakları tanır:

  • Bilme hakkı: hangi kişisel verilerini topladığımız, hangi amaçlarla işlediğimiz ve hangi alıcı kategorileriyle paylaştığımız hakkında bilgi alma.
  • Silme hakkı: hakkında tuttuğumuz kişisel verilerin silinmesini talep etme.
  • Düzeltme hakkı: yanlış kişisel verilerin düzeltilmesini talep etme.
  • "Satış" veya "paylaşımı" reddetme hakkı: kişisel verilerini satmıyoruz ve bağlamlar arası davranışsal reklam için paylaşmıyoruz.
  • Ayrımcılığa uğramama hakkı: bir hakkını kullandığın için sana hizmet vermeyi reddetmez veya farklı bir fiyat uygulamayız.

Bu hakları kullanmak için iletişim formundan "Yasal / gizlilik" konusuyla mesaj gönderebilirsin. Bazı taleplerin yerine getirilmesinden önce kimliğini doğrulamamız gerekebilir.

9. Çocukların gizliliği

CardWho 13 yaş altındaki çocukları hedeflemez. 13 yaş altındaysan bu uygulamayı bir ebeveyn veya yasal vasinin onayı olmadan kullanmamalısın. 13 yaş altı bir çocuktan kişisel veri topladığımızı fark edersek bu veriyi gecikmeden sileriz.

10. Uluslararası veri aktarımı

Sunucularımız Avrupa Birliği'nde (Fransa) bulunur. Birincil veri tabanı ve dosya barındırma AB içindedir. Aşağıdaki işlemcilere yapılan aktarımlar AB sınırları dışına çıkar ve KVKK madde 9 ile GDPR madde 44–49 (uygun güvence ve standart sözleşme maddeleri) kapsamında işlenir: RevenueCat (ABD), Firebase Authentication ve Firebase Cloud Messaging (Google ABD), Apple App Store (ABD), Google Play (ABD). Sentry (Almanya) ve PostHog (AB) AB içindedir. Bu aktarımlar, ilgili sağlayıcıların kendi yayımladıkları veri işleme sözleşmesi (DPA) ve AB standart sözleşme maddeleri (SCC) çerçevesinde gerçekleştirilir.

11. Güvenlik

Verilerini yetkisiz erişime, kayba ve değişime karşı korumak için endüstri standardı önlemler alıyoruz: HTTPS zorunlu trafik, parolaların hash'lenmesi (Argon2id veya eşdeğeri), yetki ayrıştırma, sınırlı log erişimi, düzenli yedekleme. Hiçbir sistem %100 güvenli değildir; veri ihlali olduğu kanıtlandığı durumlarda yasal süreler içinde sana ve yetkili makamlara bildirim yaparız.

12. Değişiklikler

Bu politikayı yasal gereklilikler veya hizmette önemli değişiklikler olduğunda güncelleriz. Önemli değişiklikler için anasayfada veya uygulama içinde belirgin bir bildirim gösteririz.

13. İletişim

Bu politika ile ilgili sorularını iletişim formu üzerinden veya doğrudan [email protected] adresine yazarak bize iletebilirsin.