Gizlilik Politikası

Yürürlük Tarihi: 03.05.2026

§ 1 Önsöz ve Kapsam

Bu Aydınlatma Metni, lezjet.com web sitesi, burada işletilen Partner Portalı ve LezJet markası altında sunulan white-label sipariş yazılımı (bundan böyle „Hizmet") kapsamında kişisel verilerin işlenmesine ilişkin tür, kapsam ve amaç hakkında sizi bilgilendirir.

Bu metin, web sitesinin tüm ziyaretçileri, Hizmette hesap işleten tüm ticari Partnerler ve Partner mağazası kapsamında işlenen son müşteri verileri için geçerlidir. Partnerlerin kendi alan adı altında işlettiği son müşteri mağazaları için ilgili Partner veri sorumlusu olup; orada o Partnerin Aydınlatma Metni geçerlidir.

Esas olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile gerektiğinde Avrupa Genel Veri Koruma Tüzüğü (GDPR) hükümleri uygulanır.

§ 2 Veri Sorumlusu

KVKK Madde 3 kapsamında veri sorumlusu:

Aşistan Gıda İnşaat Sanayi ve Ticaret Limited Şirketi
Güllü Bağlar Mah. Tandoğan Cad. No: 105B
Pendik / İstanbul
Türkiye
E-Posta: info@lezjet.com

Veri koruma sorularınız için yukarıdaki e-posta adresini kullanabilirsiniz.

§ 3 Tanımlar

  • Partner: Hizmette kendi hesabı bulunan ticari müşteri; verileri Aşistan tarafından veri sorumlusu sıfatıyla işlenir.
  • Son Müşteri: Partner mağazası üzerinden Partnere sipariş veren gerçek kişi; verileri Aşistan tarafından yalnızca ilgili Partner adına veri işleyen sıfatıyla işlenir.

§ 4 İşlemenin Genel Hukuki Sebepleri

Aksi belirtilmedikçe, verileriniz aşağıdaki KVKK Madde 5 hukuki sebeplerinden birine dayanılarak işlenir:

  • Açık rıza (KVKK m. 5/1);
  • Sözleşmenin kurulması veya ifası için zorunlu olması (KVKK m. 5/2-c);
  • Hukuki yükümlülüğün yerine getirilmesi (KVKK m. 5/2-ç), özellikle ticari ve vergisel saklama yükümlülükleri;
  • Veri sorumlusunun meşru menfaatleri (KVKK m. 5/2-f), özellikle Hizmetin güvenli ve istikrarlı işletilmesi ile kötüye kullanıma karşı koruma.

§ 5 Web Sitesinin Çağrılması ve Log Dosyaları

Web sitesinin her çağrılmasında sunucu tarafından bir log dosyasında en fazla yedi gün boyunca şu bilgiler kaydedilir: talep eden cihazın IP adresi, tarih ve saat, çağrılan URL, HTTP durum kodu, aktarılan veri miktarı, tarayıcı kimliği (User-Agent) ve işletim sistemi.

Bu işleme; web sitesinin teknik olarak sunulması, hata analizi ve saldırılara karşı koruma (rate-limiting, şüpheli kalıpların tespiti) amacına hizmet eder. Hukuki sebep KVKK m. 5/2-f'dir; meşru menfaat Hizmetin güvenli işletilmesindedir. Log verileri kişiyle ilişkilendirilmez ve pazarlama amacıyla değerlendirilmez.

§ 6 Çerezler ve Benzeri Teknolojiler

Hizmet yalnızca teknik olarak zorunlu çerezleri kullanır. Pazarlama, analiz veya reklam çerezi kullanılmaz; Google Analytics, Meta Pixel, TikTok Pixel veya benzeri takipçiler kullanılmaz.

  • JSESSIONID: Oturum tanımlama çerezi. Özellikler: HttpOnly, Secure (yalnızca HTTPS), SameSite=Lax. Süre: tarayıcı kapanana veya oturum sona erene kadar (Yönetici alanında 15 dakika hareketsizlik).
  • XSRF-TOKEN: Cross-Site-Request-Forgery koruması (Spring Security). Özellikler: HttpOnly, Secure, SameSite=Lax. Süre: oturum süresi.
  • locale: Seçilen dili (DE/TR/EN/FR) saklar. Süre: 12 ay.

Detaylar için Çerezler bakınız.

§ 7 Partner Kaydı ve Sözleşme Süreci

Partner olarak hesap açarken şu kategoriler işlenir: ad-soyad, e-posta (aynı zamanda kullanıcı adı), telefon, parola (BCrypt-hash olarak; düz metin saklanmaz), firma adı, ticari adres, vergi ve ticaret sicil numarası, banka bilgileri (IBAN, BIC) ve yetkili temsilciye ilişkin bilgiler (ad, görev, doğum tarihi, kimlik numarası, ev adresi, iletişim).

Bu veriler; SaaS sözleşmesinin kurulması ve ifası, ödeme sağlayıcısına karşı kimlik tespiti, faturalama ve yasal yükümlülüklerin (özellikle 6102 sayılı TTK ile Vergi Usul Kanunu hükümleri) yerine getirilmesi amacıyla işlenir. Hukuki sebep KVKK m. 5/2-c ve 5/2-ç'dir.

Onboarding sırasında ilgili yaptırım listelerine karşı tarama yapılır. Bu tarama, ilgili ödeme sağlayıcısı (bkz. § 10) tarafından kendi sorumluluğunda yürütülür; Aşistan, gerekli kurumsal ve temsilci bilgilerini sağlayıcıya iletir.

§ 8 Abonelik Faturalandırması ve Platform Ücreti

Seçilen tarifenin aylık faturalandırılması için kayıt ve ödeme verileri (fatura numarası, kalem, tutar, vergi oranı, vade, ödeme yöntemi, ödeme durumu) oluşturulur. Belgeler ilgili yasal saklama süreleri çerçevesinde tutulur (Vergi Usul Kanunu m. 253 ve devamı uyarınca on yıla kadar).

Son müşteri siparişleri için platform ücreti ayrıca faturalandırılmaz; ödeme sağlayıcısı üzerinden otomatik olarak alıkonur (Stripe Connect: application_fee_amount, Iyzico: subMerchantPrice). İlgili özet veriler Partner panosunda görüntülenir.

§ 9 Son Müşteri Siparişleri (Partner için Veri İşleyen)

Bir son müşteri Partnerin mağazasında sipariş verdiğinde, sistemde Partner adına şu kategoriler işlenir: ad, teslimat/fatura adresi, e-posta, telefon, sipariş zamanı, sepet içeriği, seçilen ödeme yöntemi, ödeme durumu, teslimat süresi ve gerektiğinde notlar. Kayıtlı son müşterilerde ek olarak: müşteri kimliği, BCrypt-hash parola, dil ve adres defteri kayıtları, sipariş geçmişi.

Bu işleme bakımından KVKK kapsamında veri sorumlusu ilgili Partnerdir. Aşistan bu veriler için yalnızca veri işleyen sıfatıyla hareket eder; işleme, Kullanım Koşullarının kabulü ile yürürlüğe giren ayrı bir veri işleme sözleşmesine dayanır.

§ 10 Stripe Connect ve Iyzico ile Ödeme Akışı

Son müşteri ödemesi için ilgili ödeme sağlayıcısı tarafından sunulan bir ödeme penceresi (iframe) mağazaya gömülür. Tam kart sahibi verileri (PAN, CVC, son kullanma) yalnızca son müşterinin tarayıcısında, ödeme sağlayıcısının PCI-DSS uyumlu altyapısında alınır ve sağlayıcının sunucusuna iletilir. Bu veriler hiçbir aşamada Aşistan tarafından alınmaz veya saklanmaz. Aşistan'ın sunucularında yalnızca hassas olmayan tokenlar saklanır (PaymentMethod/işlem kimliği, kart markası, son dört hane, son kullanma ayı).

Entegre ödeme sağlayıcıları:

  • Iyzico Ödeme Hizmetleri A.Ş., Maslak Mahallesi, Sümer Sokak, No: 4, Daire: 7-12, 34485 Sarıyer/İstanbul, Türkiye (Türkiye pazarı, Sub-Merchant). İşlenen veri kategorileri: son müşteri ad-soyadı ve e-postası, sepet kalemleri (subMerchantPrice ile), Partnere ait Sub-Merchant temel bilgileri. Aydınlatma Metni: https://www.iyzico.com/gizlilik-politikasi.
  • Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, İrlanda (Almanya pazarı, Stripe Connect). İşlenen veri kategorileri: son müşteri ad-soyadı ve e-postası, sipariş tutarı, Partnere ait Stripe-Account verileri, risk değerlendirmesi için IP adresi. Aydınlatma Metni: https://stripe.com/de/privacy.
  • PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, 2449 Lüksemburg (Partner tarafından etkinleştirildiyse). Aydınlatma Metni: https://www.paypal.com/de/legalhub/privacy-full.

Kimlik doğrulama (KYC), aklama önleme ve yaptırım taramaları ile chargeback süreçleri yalnızca ilgili ödeme sağlayıcısının sorumluluğundadır. Hukuki sebep KVKK m. 5/2-c (sözleşmenin ifası) ve 5/2-ç (yasal yükümlülük)'tür.

§ 11 E-Posta Gönderimi ve Doğrulaması

Kayıt sırasında bildirdiğiniz e-posta adresine bir doğrulama bağlantısı gönderilir. Tokenin kendisi tarafımızda yalnızca SHA-256 hash olarak saklanır; düz metni yalnızca e-postayı alan kişi bilir. Token 24 saat sonra otomatik olarak geçersiz olur.

Ayrıca işlemsel e-postalar gönderilir (faturalar, sözleşme imzası, hatırlatmalar, güvenlik uyarıları). Bülten veya kitlesel pazarlama e-postası gönderilmez. Gönderim için AB sınırları içinde yerleşik bir SMTP sağlayıcısı kullanılır (KVKK kapsamında veri işleyen; ilgili sağlayıcı § 2'deki adres üzerinden talep edilebilir).

§ 12 Adres Geocoding (Nominatim)

Teslimat aralığı hesaplaması ve haritada konum gösterimi için adres verileri sunucu tarafından Nominatim servisine (OpenStreetMap Foundation, St John's Innovation Centre, Cowley Road, Cambridge CB4 0WS, Birleşik Krallık) iletilir. Yalnızca sorgulanacak adres metni iletilir; istek sunucudan yapıldığından son müşterinin IP adresi Nominatim'e ulaşmaz. Aydınlatma Metni: https://wiki.osmfoundation.org/wiki/Privacy_Policy. Hukuki sebep: KVKK m. 5/2-c.

§ 13 Alan Adı Sağlama (Plesk)

Partner, Aşistan tarafından tahsis edilen bir alt alan adı seçtiğinde, bu alt alan adının kurulması için iç istekler Aşistan'ın Plesk tabanlı barındırma sunucusuna iletilir (alan adı, Partner kimliği, seçilen SSL sertifikası). Bu alt sisteme son müşteri verileri iletilmez. Plesk'e erişimler iç denetim günlüğünde kayıt altına alınır.

§ 14 Barındırma ve Veri İşleyenler

Hizmet, Avrupa Birliği veya Türkiye sınırları içindeki bir veri merkezinde işletilir. Barındırma sağlayıcısı ile KVKK ve gerekirse GDPR Madde 28 uyarınca veri işleme sözleşmesi mevcuttur. Veritabanı (MariaDB / MySQL) aynı veri merkezinde şifrelenmiş olarak tutulur; yedekler de şifrelenmiş olarak saklanır.

Kullanılan tüm veri işleyenlerin tam listesi § 2'deki e-posta adresi üzerinden talep edilebilir.

§ 15 Yurt Dışı Aktarımlar

Avrupa Ekonomik Alanı veya Türkiye dışına kişisel veri aktarımı yalnızca aşağıdaki teknik zorunlu durumlarda gerçekleşir:

  • Stripe, kendi grup yapısı içinde ABD'ye veri aktarabilir. Aktarım, Standart Sözleşme Maddeleri ve geçerli olduğunda EU–US Data Privacy Framework çerçevesinde yapılır. KVKK kapsamında ek olarak açık rıza alınması gerekebilir.
  • PayPal: Stripe'a benzer şekilde (ABD grup yapısı, Standart Sözleşme Maddeleri).

Bu durumlar dışında yurt dışına veri aktarımı yapılmaz. Barındırma veya analiz amacıyla ABD bulut sağlayıcıları kullanılmaz.

§ 16 Saklama Süreleri

Kişisel veriler, ilgili amacın gerektirdiğinden daha uzun süre saklanmaz. Somut süreler:

  • Sunucu log dosyaları: 7 gün, ardından otomatik silme.
  • E-posta doğrulama tokeni: 24 saat, ardından otomatik geçersizlik.
  • Oturumlar: Yönetici alanında 15 dakika hareketsizlik; Partnerlerde çıkış yapana kadar.
  • WebSocket tokenleri (JWT): 1 saat.
  • Partner temel verileri: Sözleşme süresi artı yasal saklama süreleri.
  • Faturalar, sözleşmeler, vergisel belgeler: Hesap döneminin sonundan itibaren 10 yıla kadar (VUK m. 253 ve devamı).
  • Veri işleyen sıfatıyla son müşteri sipariş verileri: Partner talimatına göre, kural olarak sözleşme süresi + 3 yıl (zamanaşımı) ya da bir faturanın parçası ise 10 yıl.
  • Destek talepleri: Kapanıştan sonra 3 yıl.
  • Güvenlikle ilgili erişim denetim günlükleri: 12 ay.

Süre dolduğunda veriler geri dönülmez şekilde silinir veya anonimleştirilir.

§ 17 Teknik ve İdari Güvenlik Önlemleri

Aşistan, verilerinizin korunması için en güncel teknolojiye uygun tanınmış önlemler kullanır:

  • Tüm web sitesi, pano ve API erişimleri için TLS şifrelemesi; HTTPS zorunludur.
  • HttpOnly, Secure ve SameSite=Lax bayraklı güvenlik çerezleri.
  • Parolaların yalnızca bireysel salt ile BCrypt hash olarak saklanması.
  • Hassas temel verilerin (özellikle API anahtarları ve Sub-Merchant anahtarları) AES-256 (CBC veya GCM) ile şifrelenmesi; ana anahtar korumalı yapılandırmada saklanır.
  • En az yetki ilkesine göre rol ve yetki yönetimi.
  • Brute-force ve kötüye kullanıma karşı rate-limiting (token-bucket).
  • CSRF koruması, harici komut dosyaları veya CDN entegrasyonu içermeyen Content-Security-Policy.
  • Günlük şifrelenmiş yedekler; 30 gün denetim güvenli arşivleme.
  • Güvenlikle ilgili olayların (girişler, başarısız denemeler, yetki değişiklikleri) kayıt altına alınması.

§ 18 Otomatik Kararlar, Profilleme

İlgili kişiye karşı hukuki sonuç doğuran KVKK Madde 11 anlamında otomatik karar verme yapılmaz. Profilleme uygulanmaz. Yukarıda belirtilen rate-limiting yalnızca kötüye kullanıma karşı koruma amaçlıdır ve istek hızının kısa süreli sınırlandırılmasıyla sınırlıdır.

§ 19 İlgili Kişinin Hakları

KVKK Madde 11 uyarınca aşağıdaki haklara sahipsiniz:

  • Kişisel verilerin işlenip işlenmediğini öğrenme;
  • İşlenmişse buna ilişkin bilgi talep etme;
  • İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme;
  • Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme;
  • Eksik veya yanlış işlenmişse düzeltilmesini isteme;
  • KVKK m. 7 kapsamında silinmesini veya yok edilmesini isteme;
  • Düzeltme/silme işlemlerinin aktarıldığı üçüncü kişilere bildirilmesini isteme;
  • Otomatik sistemlerle analiz sonucu aleyhe çıkan sonuçlara itiraz etme;
  • Hukuka aykırı işleme nedeniyle zarar halinde tazminat talep etme.

Partner mağazasındaki son müşteri verileri söz konusu olduğunda muhatabınız öncelikle veri sorumlusu sıfatıyla ilgili Partnerdir. Aşistan, GDPR Madde 28/3-e ve f gereği Partnere destek sağlar.

§ 20 Şikayet Hakkı

Diğer hukuki yollar saklı kalmak üzere, Türkiye'de Kişisel Verileri Koruma Kurumu'na şikâyette bulunma hakkınız vardır:

Kişisel Verileri Koruma Kurumu (KVKK)
Nasuh Akar Mah. Ziyabey Cad. 1407. Sokak No: 4
06520 Çankaya / Ankara
Türkiye
Web: www.kvkk.gov.tr

§ 21 Veri Sağlama Yükümlülüğü

Ticari ilişki çerçevesinde, sözleşme ilişkisinin kurulması, ifası ve sona erdirilmesi ile bu kapsamda sözleşmeden ve hukuktan doğan yükümlülüklerin yerine getirilmesi için gerekli olan kişisel verileri sağlamanız gerekmektedir. Bu veriler olmaksızın sözleşme genellikle kurulamaz veya devam ettirilemez.

§ 22 Aydınlatma Metnindeki Değişiklikler

Hukuki durum, teknik akış veya Hizmetteki veri işleme süreçleri değiştiğinde bu Aydınlatma Metnini güncelleriz. Güncel sürüm her zaman lezjet.com/privacy adresinden ulaşılabilir; metnin başındaki tarih geçerli sürümü gösterir.