1. Veri İşleme Politikasının Amacı

Kapsamlı Gizlilik bildirimimizde (Aydınlatma Metni) kamuoyuna duyurulan maddelerin teknik ve algoritmik uygulanışını aydınlatan bu spesifik politika; şirketimize idari ve güvenlik teyidi vesilesiyle ibraz edilen verilerin fiziksel/elektronik olarak hangi şifreleme alt yapılarında idame ettirildiğini ve yasal saklama/kullanım hedefleri eridiğinde ve miadını doldurduğunda ne tür "Geri Dönülemez" imha senaryolarıyla (Deletion/Anonymization) kalıcı bir biçimde yok edildiğini (imha) detaylıca tarif eder.

2. Teknik Ağ ve Kurumsal İdari Tedbirlerimiz

Şirket iç ağı donanım ve yazılım bazlı küresel güvenlik duvarları (Firewall) ile 7/24 izlenir ve korunur. Dış unsurlardan ve internete açık alanlardan gelecek olası yetkisiz sızmalara ve siber korsanlık girişimlerine karşı 256-bit AES endüstri standardı seviyesinde şifrelemesi uygulamaları esastır. Hukuken saklanması zaruri olan Ticari E-Fatura veya adres verilerinize sadece şirketimizde bu konuya vakıf (görev tanımları bağlamında sert izin yetkileri ile sınırlandırılmış) atanmış idari ve mali personel salt erişebilir. Kullanıcının siber riskini önlemeye yarayan biyometrik harita veya KYC işlem evrakı dökümlerinize dair erişim kayıtları ise tamamen saniye bazında loglanmış (elektronik iz formunda kayıt altına alınmış) olup, mahkeme kararı yahut yasal bir emniyet/savcılık tahkikatı doğmadıkça yönetim kurulu dahil hiç kimse tarafından keyfi olarak sorgulanamaz ve arşiv dosyaları indirilemez/açılamaz.

3. Veri İmha Periyodları ve Yok Etme Esasları

Kullanıcının sistem doğrulama safhasında Özel Özgür Açık Rızası prensibi ile sağladığı yüksek seviyeli bilgiler (Özellikle Sumsub Canlı Yüz Analiz Biyometrisi), P2P dijital cüzdan e-ticaret pratiklerinde olası dolandırıcılık veya chargeback (ters ibraz) şüphesinin kaybolduğu güvenli ticaret zamanlamasından takriben 30 ila 180 gün sonrasında periyodik işletilen algoritmik silme (cronjob vb.) betikleri ile sistemden kati ve geri dönülemez (unrecoverable) olarak silinir. Kanunen yok edilmesi cezai yaptırıma sebebiyet veren ve faturaya işlenmiş TCKN yahut müşteri ad-soyad iletişim verisi; ticaret kanunları ile Vergi Usul Kanunu ve TBK hükümlerince mali vergi arşivi (muhasebe) bünyesinde zorunlu olarak takribi 5 yıl durmak zorundadır (idari zorunluluktur). Biyometrik veya şifreli veriden ayrıştırılarak tamamen izole edilmiş bu düz veri takımları (evrak dosyaları), 5 yıllık adli zamanaşımını sorunsuz bir şekilde doldurduğunda şirket içi Veri İmha Kurulu denetiminde anonim maske ile yahut donanımsal temizleme yöntemleriyle güvenle ve yasal tutanakla yok edilir.

4. Biyometrik Verilerin Depolama Lokasyonu

Kimlik doğrulama sürecinde toplanan biyometrik veriler (yüz haritası, liveness / canlılık testi görüntüleri, optik belge tarama çıktıları) münhasıran Sumsub altyapısında işlenir ve saklanır. Söz konusu veriler Şirketimizin kendi fiziksel veya bulut sunucularına, yerel depolama birimlerine, yedekleme sistemlerine veya herhangi bir üçüncü taraf platformuna aktarılmaz, kopyalanmaz ve indirilmez. Şirket, biyometrik veri arşivine yalnızca Sumsub yönetim paneli üzerinden, görev tanımı kapsamında sıkı erişim yetkilendirmesine tabi kılınmış personel aracılığıyla ve münhasıran adli/idari zorunluluk hallerinde erişebilir. Bu mimari tasarım, veri ihlali (data breach) riskini minimum seviyeye indirmek ve KVKK Madde 12 kapsamındaki teknik tedbirlerin en yüksek düzeyde sağlanması amacıyla benimsenmiştir.