The Skyfallen Company ONE Kimlik Hizmetleri Gizlilik Politikası

1. Veri sorumlusu

Hizmet aracılığıyla işlenen kişisel verilerin veri sorumlusu:

Tüzel kişi

Skyfallen Limited (Companies House kayıt numarası 13431214), The Skyfallen Company unvanıyla faaliyet göstermektedir

Kayıtlı merkez

14/2e Docklands Business Centre, 10-16 Tiller Road
London E14 8PX, United Kingdom

Gizlilik iletişimi

[email protected]

Bir organizasyonun Hizmet'i çalışan veya üye hesaplarını yönetmek için kullanması halinde, söz konusu organizasyon hesap yapılandırması, üye yönetimi ve yayımlanan uygulamalar aracılığıyla yönlendirdiği belirli işlemler için bağımsız bir veri sorumlusu olarak da hareket edebilir.

2. Kapsam

Bu Gizlilik Politikası, bir ONE hesabı oluşturduğunuzda veya kullandığınızda, oturum açtığınızda, profil veya güvenlik ayarlarınızı yönettiğinizde, bir organizasyon hesabını yönettiğinizde, doğrulama işlemini tamamladığınızda, isteğe bağlı entegrasyonlar bağladığınızda veya Skyfallen ONE uygulama alan adının alt alan adları aracılığıyla sunulan kimlik özellikleriyle etkileşime geçtiğinizde işlenen kişisel veriler için geçerlidir.

Hizmet; müşteri kimliği, çalışan kimliği, organizasyon yönetimi (IAM) ve ilgili oturum açma, hesap ve entegrasyon özelliklerini kapsar. Hizmet'in kullanımı ayrıca ONE Kimlik Hizmetleri Kullanım Koşulları'na tabidir.

Bu politika, 14. Bölümde açıklananlar dışında, CAS veya SAML aracılığıyla erişilen Bağlı Uygulamalar dahil olmak üzere üçüncü taraflarca işletilen web sitelerini, uygulamaları veya hizmetleri kapsamaz.

3. Topladığımız bilgiler

Topladığımız bilgiler, Hizmet'i nasıl kullandığınıza ve bir organizasyon içindeki rolünüze bağlıdır.

3.1 Hesap ve profil bilgileri

• Ad, e-posta adresi ve isteğe bağlı ikincil e-posta adresleri
• Telefon numarası ve telefon doğrulama durumu
• Posta adresi, şehir, il veya eyalet, posta kodu ve ülke
• Yaş doğrulaması için kullanılan doğum tarihi
• Hesap durumu, bölge ve organizasyon üyelik bilgileri
• Skyfallen veya organizasyonunuz tarafından yapılandırıldığı hallerde hesabınızla ilişkilendirilen özel meta veriler

3.2 Güvenlik ve kimlik doğrulama bilgileri

• Hash'lenmiş parolalar ve parola belirlenip belirlenmediğine dair göstergeler
• Passkey ve WebAuthn kimlik bilgisi kayıtları, kimlik bilgilerine atadığınız takma adlar dahil
• Kimlik doğrulama kodları, oturum tanımlayıcıları ve oturum açma etkinliği
• Hesabınız için ONE Pass etkinleştirildiğinde ONE Pass cihaz sertifikası doğrulama verileri
• SMS onayı zaman damgası ve SMS onayı verildiğinde kaydedilen IP adresi

3.3 Organizasyon ve hesap bilgileri

• Organizasyonun yasal unvanı, ticari unvanı, kayıt bilgileri ve işletme iletişim bilgileri
• Hesap türü, yapılandırması, markalaması, alt alan adı ve yönetim ayarları
• Üye rolleri, izinler, davetler ve içe aktarma kayıtları
• Doğrulama talebi durumu ve ilgili hesap ilişkilendirmeleri

3.4 Doğrulama belgeleri

Doğrulama gerekli olduğunda, doğrulama merkezi aracılığıyla yüklediğiniz belgeleri toplayabiliriz; örneğin:

• İşletme doğrulaması: kuruluş belgeleri, adres kanıtı, yetki kanıtı ve imza görselleri
• Kişisel doğrulama: kimlik belgesi görselleri, adres kanıtı ve imza görselleri

3.5 Google Workspace bağlantı verileri

Bir organizasyon yöneticisi Google Workspace bağlantısı kurduğunda şunları işleyebiliriz:

• OAuth aracılığıyla elde edilen Google yönetici kimlik bilgileri (OpenID, e-posta ve profil kapsamları)
• Senkronizasyon veya sağlama etkinleştirildiğinde Google dizin kullanıcı verileri; Google kullanıcı kimliği, birincil e-posta, takma adlar, ad, askıya alma durumu, organizasyon birimi ve ilgili dizin alanları dahil
• Bağlantıyı sürdürmek için gerekli OAuth belirteçleri ve verilen kapsam kayıtları

Google yetkilendirmesi, normal kullanıcı oturum açma işlemi sırasında değil, bir yönetici oturum açma akışı sırasında IAM içinde gerçekleşir.

3.6 Teknik ve kullanım bilgileri

• IP adresi, tarayıcı türü, cihaz bilgileri ve istek meta verileri
• Oturum ömrü ve son etkinlik dahil oturum verileri
• Yetkilendirildiği hallerde API, webhook ve entegrasyon etkinliği
• 8. Bölümde açıklanan Skyfallen birinci taraf analitik verileri

3.7 Reklam amaçlı toplamadığımız bilgiler

Hizmet'i reklam profilleri oluşturmak, kişisel verileri satmak veya Hizmet üzerinde üçüncü taraf reklam izleyicilerine izin vermek için kullanmayız.

4. Bilgileri nasıl kullanırız

Kişisel verileri şu amaçlarla kullanırız:

• hesapları ve organizasyon hesaplarını oluşturmak, kimliklerini doğrulamak ve sürdürmek
• oturum açma, hesap kurtarma, passkey'ler, profil yönetimi ve güvenlik özelliklerini sunmak
• gerektiğinde yaş, kimlik ve organizasyon uygunluğunu doğrulamak
• doğrulama kodları, güvenlik uyarıları, davetler ve hesap bildirimleri dahil işlemsel iletiler göndermek
• onay verdiğiniz hallerde telefon doğrulaması ve hesap güvenliği için gerekli SMS mesajları göndermek
• üyelikleri, rolleri, izinleri, Workforce portallarını ve yayımlanan uygulamaları yönetmek
• bir yönetici tarafından etkinleştirildiğinde isteğe bağlı Google Workspace dizin senkronizasyonu ve sağlamayı işletmek
• yetkilendirilmiş Skyfallen uygulamalarına CAS ve SAPP kimlik hizmetleri sunmak
• dolandırıcılığı, kötüye kullanımı ve güvenlik olaylarını tespit etmek, önlemek ve araştırmak
• yasal yükümlülüklere uymak ve yasal taleplere yanıt vermek
• Skyfallen birinci taraf analitiği kullanarak Hizmet'i iyileştirmek, sürdürmek ve güvence altına almak

4.1 Hukuki dayanaklar

Bulunduğunuz yere ve işleme faaliyetine bağlı olarak aşağıdaki hukuki dayanaklardan bir veya daha fazlasına dayanırız:

• Sözleşme. Talep ettiğiniz Hizmet'i sunmak veya hesap oluşturmadan önce talebiniz üzerine atılması gereken adımlar için gerekli işleme.
• Meşru menfaatler. Haklarınızla dengelenmek kaydıyla güvenlik, dolandırıcılık önleme, hizmet iyileştirme ve iç yönetim için gerekli işleme.
• Yasal yükümlülük. Geçerli mevzuata uymak için gerekli işleme.
• Açık rıza. Gerektiği hallerde, SMS doğrulama onayı ve açık mutabakat talep ettiğimiz isteğe bağlı işlemler dahil.

Hizmet aracılığıyla pazarlama SMS mesajları göndermeyiz.

5. Bilgileri nasıl paylaşırız

Kişisel verileri şunlarla paylaşabiliriz:

5.1 Hizmet sağlayıcılar

Sözleşmesel güvenceler altında bizim adımıza veri işleyen güvenilir sağlayıcılar kullanırız; bunlar arasında:

• Brevo — işlemsel e-posta iletimi
• Twilio — doğrulama ve hesap güvenliği için SMS ve ilgili mesajlaşma
• Google — bir yönetici Google Workspace bağlantısı kurduğunda OAuth ve Google Workspace Directory API hizmetleri
• Altyapı sağlayıcıları — 6. Bölümde açıklanan bölgelerde barındırma, depolama, ağ ve operasyonel hizmetler

5.2 Yetkilendirilmiş Skyfallen uygulamaları

CAS ve SAPP arayüzleri yalnızca ayrı Skyfallen koşulları kapsamında yetkilendirilmiş Skyfallen uygulamaları için kullanılabilir. Bu uygulamalar, entegrasyonun ve oturum açma veya onay akışınızın izin verdiği ölçüde yalnızca kimlik ve hesap verilerini alır.

5.3 Organizasyon yöneticileri

Bir organizasyon hesabının üyesiyseniz, uygun izinlere sahip yöneticiler hesap yapılandırmasına ve geçerli mevzuata göre belirli profil, üyelik ve güvenlik bilgilerine erişebilir.

5.4 Yasal ve güvenlik açıklamaları

Kanun, düzenleme, mahkeme kararı veya yetkili makam tarafından gerekli kılındığında veya hakların, güvenliğin ve emniyetin korunması için zorunlu olduğunda bilgileri açıklayabiliriz.

5.5 İş devri

Skyfallen bir yeniden yapılanma, birleşme, devralma veya varlık satışına tabi olursa, kişisel veriler bu politika ile tutarlı süregelen koruma koşullarına tabi olarak devredilebilir.

Kişisel verileri satmayız.

6. Depolama konumları ve uluslararası aktarımlar

6.1 Verilerin saklandığı yerler

Skyfallen, Hizmet verilerini Fransa, Türkiye ve Amerika Birleşik Devletleri'nde saklar ve işler. Müşteri konumuna ve hizmet yapılandırmasına dayalı veri yerleşimi kuralları uygularız:

• Avrupa Birliği ve AEA müşterileri. AB müşterileri için birincil işleme ve depolama Avrupa Birliği'nde, halihazırda Fransa'da gerçekleştirilir.
• Diğer müşteriler. Veriler, hizmet yönlendirmesi, yedeklilik, destek ve operasyonel gereksinimlere bağlı olarak Fransa, Türkiye veya Amerika Birleşik Devletleri'nde işlenebilir veya saklanabilir.

6.2 Uluslararası aktarımlar

Kişisel veriler Birleşik Krallık, Avrupa Ekonomik Alanı veya Türkiye'den yeterlilik kararı almamış bir ülkeye aktarıldığında uygun güvenceler uygularız; bunlar arasında şunlar yer alabilir:

• Birleşik Krallık GDPR'nin uygulandığı hallerde Birleşik Krallık Uluslararası Veri Aktarım Sözleşmesi (IDTA) veya AB Standart Sözleşme Maddelerine ilişkin Birleşik Krallık Eki;
• AB GDPR'nin uygulandığı hallerde Avrupa Komisyonu Standart Sözleşme Maddeleri (2021 modülleri);
• geçerli aktarım değerlendirmelerinin gerektirdiği hallerde tamamlayıcı teknik ve organizasyonel önlemler;
• Türk hukukunun uygulandığı hallerde KVKK kapsamında sınır ötesi aktarımlar için tanınan mekanizmalar; sözleşmesel güvenceler ve gerektiğinde Türkiye Kişisel Verileri Koruma Kurumu'na onay veya bildirim dahil.

Geçerli aktarım güvenceleri hakkında ek bilgi talep etmek için [email protected] adresiyle iletişime geçebilirsiniz.

6.3 Amerika Birleşik Devletleri eyalet hukuku bildirimi

Geçerli eyalet gizlilik yasalarının gerektirdiği hallerde, kişisel verilerin Amerika Birleşik Devletleri ve diğer ülkelere aktarılabileceğini ve orada işlenebileceğini bildiririz. Bu aktarımlar yukarıda açıklanan güvencelere ve hizmet sağlayıcılarımızla yaptığımız sözleşmesel korumalara tabidir.

7. Çerezler ve benzer teknolojiler

Hizmet, oturum açmayı işletmek, oturumları sürdürmek, siteler arası istek sahteciliğine karşı korumak, geçerli olduğu hallerde dil veya akış tercihlerini hatırlamak ve Hizmet'i güvende tutmak için gerekli olan çerezleri ve benzer teknolojileri kullanır.

Örnekler:

• Oturum çerezleri — Hizmet alt alan adları arasında kimliği doğrulanmış oturumları sürdürür
• CSRF belirteçleri — form gönderimlerini ve durumu değiştiren istekleri korur
• Beni hatırla çerezleri — güvenilir bir cihazda oturumunuzun açık kalmasını seçtiğiniz hallerde

Hizmet üzerinde üçüncü taraf reklam çerezleri kullanmayız. Bu teknolojiler Hizmet'in çalışması için gerekli olduğundan, meşru menfaatlerimize dayalı olarak ve gerektiğinde Hizmet'i kullanımınıza dayalı olarak kullanılır.

8. Analitik

Skyfallen, Hizmet'in nasıl kullanıldığını anlamak, hataları teşhis etmek, performansı ölçmek ve güvenilirliği ile güvenliği iyileştirmek için kendi birinci taraf analitiğini kullanır. Hizmet üzerinde Google Analytics veya sosyal medya reklam pikselleri gibi üçüncü taraf reklam analitik platformları kullanmayız.

Analitik veriler sayfa görüntülemeleri, özellik kullanımı, teknik olaylar ve genel kullanım örüntülerini içerebilir. Bu veriler Skyfallen tarafından dahili olarak kullanılır ve satılmaz.

9. Güvenlik

Kişisel verileri korumak üzere tasarlanmış idari, teknik ve organizasyonel önlemler uygularız; bunlar arasında erişim kontrolleri, aktarım sırasında şifreleme, hash'lenmiş kimlik bilgisi depolama, izin tabanlı yönetim ve kötüye kullanım izleme yer alır.

Hiçbir iletim veya depolama yöntemi tamamen güvenli değildir. Hesabınızın veya verilerinizin tehlikeye girdiğine inanıyorsanız derhal [email protected] adresiyle iletişime geçin.

10. Saklama

Kişisel verileri, kanunun daha uzun bir süre gerektirmediği veya izin vermediği sürece, yalnızca bu politikada açıklanan amaçlar için gerekli olduğu sürece saklarız.

10.1 Aktif hesaplar

Hesap, profil, üyelik ve hesap bilgileri, hesabınız veya organizasyon hesabınız aktif kaldığı sürece ve Hizmet'i sunmak için gerekli olduğu ölçüde saklanır.

10.2 Güvenlik ve oturum kayıtları

• Web oturumları, etkinlikle yenilenmediği sürece 120 dakikalık hareketsizlikten sonra sona erer.
• Hesap silme onay bağlantıları 30 dakika sonra geçerliliğini yitirir.
• Hesap davetleri, kabul edilmediği veya daha önce iptal edilmediği sürece oluşturulduktan 96 saat sonra sona erer.
• Kısa ömürlü kimlik doğrulama kodları, CAS oturum kayıtları ve ONE Pass doğrulama nonce değerleri yalnızca süreleri dolduğunda veya kullanıldıklarında saklanır.
• Google OAuth erişim belirteçleri yalnızca aktif bir Google Workspace bağlantısını sürdürmek için gerekli olduğu sürece saklanır.

10.3 Doğrulama belgeleri

Doğrulama belgeleri, bir doğrulama talebi aktif olduğu sürece ve sonrasında doğrulama kararlarını belgelemek, uyuşmazlıkları ele almak ile yasal ve uyumluluk yükümlülüklerini yerine getirmek için makul bir süre boyunca saklanır. Belgeler bu amaçlar için artık gerekli olmadığında silinir.

10.4 Silinen hesaplar

Uygun self servis silme tamamlandığında, hesabı ve bağlı direct hesap verilerini birincil üretim sistemlerinden sileriz. Kalıntı kopyalar, yedekleme ve günlük saklama programlarımıza göre üzerine yazılana veya silinene kadar şifreli yedeklerde, güvenlik günlüklerinde veya yasal uyumluluk, dolandırıcılık önleme veya felaket kurtarma için gerekli diğer sistemlerde sınırlı bir süre kalabilir.

10.5 Yasal saklama

Kanuna uymak, hukuki iddiaları oluşturmak veya savunmak ya da güvenlik olaylarını araştırmak için gerekli olduğu hallerde belirli kayıtları daha uzun süre saklayabiliriz.

11. Gizlilik haklarınız

Yaşadığınız yere bağlı olarak kişisel verileriniz üzerinde haklara sahip olabilirsiniz. Bir hakkı kullanmak için hesabınızla ilişkilendirilmiş e-posta adresinden [email protected] adresine e-posta gönderin veya kimliğinizi doğrulamamız için yeterli bilgi sağlayın.

11.1 Birleşik Krallık GDPR ve AB GDPR kapsamındaki haklar

Geçerli mevzuata tabi olarak şu haklara sahip olabilirsiniz:

• hakkınızda tuttuğumuz kişisel verilere erişim talep etmek
• yanlış veya eksik verilerin düzeltilmesini talep etmek
• kişisel verilerin silinmesini talep etmek
• belirli durumlarda işlemenin kısıtlanmasını talep etmek
• meşru menfaatlere dayalı işlemeye itiraz etmek
• sağladığınız bilgilerin yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilir bir biçimde taşınabilirliğini talep etmek
• işleme açık rızaya dayandığı hallerde, önceki hukuka uygun işlemeyi etkilemeksizin rızayı geri çekmek
• bir denetim otoritesine şikayette bulunmak

GDPR taleplerine 30 gün içinde yanıt vermeyi hedefleriz. Kanunun izin verdiği hallerde karmaşık talepler için yanıt süresini en fazla 30 gün daha uzatabiliriz ve bir uzatma gerekliyse bunu ilk süre içinde size bildiririz.

11.2 Türk KVKK kapsamındaki haklar

Türkiye'de bulunuyorsanız veya KVKK tarafından korunuyorsanız erişim, düzeltme, silme, geçerli olduğu hallerde otomatik işlemeye itiraz ve hukuka aykırı işleme nedeniyle tazminat dahil haklara sahip olabilirsiniz. KVKK taleplerine 30 gün içinde veya geçerli KVKK rehberliğinin gerektirdiği süre içinde yanıt vermeyi hedefleriz.

11.3 Amerika Birleşik Devletleri eyalet gizlilik yasaları kapsamındaki haklar

Geçerli eyalet gizlilik yasaları bilme, silme, düzeltme veya kişisel bilgilerin bir kopyasını alma gibi ek haklar tanıdığında, [email protected] adresine talep gönderebilirsiniz.

Doğrulanmış Amerika Birleşik Devletleri eyalet gizlilik taleplerine 45 gün içinde yanıt vermeyi hedefleriz. Geçerli mevzuatın izin verdiği hallerde yanıt süresini bir kez en fazla 45 gün daha uzatabilir ve uzatmanın gerekçesini size bildiririz.

Kişisel verileri satmayız ve Hizmet aracılığıyla çapraz bağlam davranışsal reklamcılık için kullanmayız.

11.4 Doğrulama ve ret

Yanıt vermeden önce kimliğinizi doğrulamamız gerekebilir. Açıkça dayanaksız, aşırı veya kanun tarafından yasaklanmış talepleri ya da yasal uyumluluk veya güvenlik için saklamanın gerekli olduğu talepleri reddedebiliriz.

12. Hesap silme

Hizmet self servis hesap silme sunduğu hallerde, uygunluk kurallarına tabi olarak hesabınızı My ONE içindeki mevcut akış aracılığıyla veya yetkilendirilmiş bir CAS oturumu aracılığıyla silebilirsiniz.

Self servis silme yalnızca hesabınızın tam olarak bir direct hesaba ait olduğu hallerde kullanılabilir. Hesabınız ticari veya kurumsal hesaplara bağlıysa, birden fazla üyeliğe sahipse veya self servis silme için uygun değilse yardım için [email protected] adresiyle iletişime geçin.

Silme işlemi e-posta bağlantısıyla onay gerektirir. Onay bağlantısı 30 dakika sonra geçerliliğini yitirir. 10. Bölümde açıklandığı üzere güvenlik, dolandırıcılık önleme, yasal uyumluluk, uyuşmazlık çözümü veya yedekleme bütünlüğü için bilgileri saklamamız gerektiğinde silme geciktirilebilir veya sınırlandırılabilir.

13. Çocuklar

Hizmet 18 yaşın altındaki kişilere yönelik değildir ve 18 yaşın altındaki hiç kimseden bilerek kişisel veri toplamayız. Hesap oluşturmak veya kullanmak için en az 18 yaşında olmanız gerekir. Uygunluğu doğrulamak için doğum tarihini kullanabiliriz.

18 yaşın altındaki bir kişinin bize kişisel veri sağladığına inanıyorsanız [email protected] adresiyle iletişime geçin; kanunun gerektirdiği hallerde bilgileri silmek için uygun adımları atarız.

14. Bağlı uygulamalar ve entegrasyonlar

14.1 SAML ve üçüncü taraf uygulamalar

SAML veya desteklenen başka bir entegrasyon aracılığıyla bir Bağlı Uygulamaya eriştiğinizde, söz konusu uygulama geliştiricisi veya sağlayıcısı tarafından işletilir. Bağlı Uygulamayı kullanımınız, ilgili sağlayıcının kendi koşullarına ve gizlilik politikasına tabidir. Skyfallen yalnızca entegrasyon ve yetkilendirme akışınız için gerekli kimlik bilgilerini paylaşır.

14.2 Skyfallen CAS ve SAPP uygulamaları

CAS ve SAPP yalnızca ayrı Skyfallen koşulları kapsamında yetkilendirilmiş Skyfallen uygulamaları için kullanılabilir. Bu uygulamalar, entegrasyon için yapılandırılan izinlere ve oturum açma veya onay akışınıza göre kimlik ve hesap verilerini alır.

14.3 Google Workspace

Yalnızca connections:google:manage iznine sahip kurumsal yöneticiler Google Workspace bağlantısı kurabilir. Google dizin verileri yalnızca üyeleri eşleştirmek, senkronizasyon durumunu göstermek ve bir yönetici bu seçeneği etkinleştirdiğinde Google hesaplarını sağlamak veya güncellemek için kullanılır. Google verileri yalnızca bağlı organizasyon için kullanılır; reklam amaçlı kullanılmaz ve üçüncü taraflara satılmaz.

Google hizmetlerini kullanımınız Google'ın kendi koşullarına ve gizlilik politikalarına tabidir.

15. Bu politikadaki değişiklikler

Bu Gizlilik Politikasını zaman zaman güncelleyebiliriz. Önemli değişiklikler yaptığımızda güncellenmiş politikayı bu sayfada yayımlar ve yürürlük tarihi ile revizyon numarasını güncelleriz. Kanunun gerektirdiği hallerde ek bildirim sağlar veya onay talep ederiz.

Güncellenmiş bir politikanın yürürlük tarihinden sonra Hizmet'i kullanmaya devam etmeniz, geçerli mevzuat farklı bir kabul biçimi gerektirmediği sürece güncellemeyi kabul ettiğiniz anlamına gelir.

16. İletişim ve şikayetler

Gizlilik talepleri ve sorular

[email protected]

Güvenlik olayları ve hesap ihlali

[email protected]

Kayıtlı merkez

Skyfallen Limited, The Skyfallen Company unvanıyla
14/2e Docklands Business Centre, 10-16 Tiller Road
London E14 8PX, United Kingdom
CRN 13431214

Denetim otoriteleri

Birleşik Krallık'ta bulunuyorsanız Information Commissioner’s Office'a şikayette bulunabilirsiniz. Avrupa Ekonomik Alanı'nda bulunuyorsanız yerel veri koruma otoritenizle iletişime geçebilirsiniz. Türkiye'de bulunuyorsanız Kişisel Verileri Koruma Kurumu'na (KVKK Kurumu) şikayette bulunabilirsiniz.

Endişenizi çözmeye çalışabilmemiz için öncelikle [email protected] adresiyle bizimle iletişime geçmenizi öneririz.