Aydınlatma Metni

Notla, Bulut Studio bünyesinde geliştirilen bir SaaS ürünüdür. [Tüzel kişilik kuruluşundan sonra unvan + adres + MERSİS no buraya eklenecek]. İletişim: hello@notla.app.

• Kayıt talebi: firma adı, ad-soyad, e-posta, parola hash, telefon (opsiyonel), başvuru notu (opsiyonel), IP adresi, tarayıcı bilgisi, KVKK onay zamanı
• Hesap: e-posta, ad-soyad, şirket, rol, parola hash, refresh token hash
• Ses kaydı (saha/fuar): uygulama üzerinden alınan görüşme sesi (m4a)
• Transkripsiyon (PII redacted): ses kaydından çıkarılan metin
• Yapısal özet: müşteri profili, ürün ilgisi, taahhütler, sonraki adım, sıcaklık
• Müşteri kaydı: ad, telefon, e-posta, lokasyon, segment, etiketler
• Kartvizit: kartvizit görseli ve üzerindeki iletişim bilgileri (görüşülen kişinin ad-soyad, unvan, telefon, e-posta, adres, firma)
• Sipariş, masraf, görev, randevu, hedef, rakip, WhatsApp, bilgi bankası, belge gönderim logu
• Audit log: tüm sensitive API çağrıları (IP, user-agent, timestamp)

• Kayıt talebinin değerlendirilmesi: Notla hesapları onaya tabidir; kayıt talebi formuyla gönderilen bilgiler başvurunun değerlendirilip onaylanması veya reddedilmesi, onay halinde çalışma alanı ve yönetici hesabının oluşturulması ve sonucun e-posta ile bildirilmesi amacıyla işlenir (IP ve tarayıcı bilgisi sahte başvuru tespiti için)
• Hizmetin sunulması: kayıt → transkripsiyon → yapısal özet → arama pipeline'ı, müşteri 360°, sipariş takibi, masraf onayı, hedef + komisyon hesaplaması, periyot raporu
• Müşteri ilişkilerinin yönetimi: saha temsilcisi ve yönetici arasında bilgi paylaşımı, vâdesi gelen takiplerin hatırlatılması
• Kartvizit görseli ve üzerindeki iletişim bilgileri (görüşülen kişinin ad-soyad, unvan, telefon, e-posta, adres, firma) müşteri yönetimi amacıyla işlenir ve saklanır
• Hizmet kalitesinin ölçülmesi ve iyileştirilmesi
• Yetki + yöneticisel karar verme (RBAC, raporlama, audit log)
• Yasal yükümlülüklerin yerine getirilmesi

• Sözleşmenin kurulması ve ifası (KVKK m.5/2-c)
• Açık rıza (KVKK m.5/1) – kayıt talebi formu bilgileri ile ses ve görüntü kaydı için
• Hukuki yükümlülük (KVKK m.5/2-ç)
• Meşru menfaat (KVKK m.5/2-f) – güvenlik, sahte başvuru ve fraud koruması

Yurt içi / EU:Supabase Postgres EU region (Frankfurt) – pilot süresince geçici. Pilot sonrası AWS İstanbul'a taşınacak.

Yurt dışı (standart sözleşme imzalı):

• Anthropic API (US): redacted transkript → JSON yapısal özet
• AssemblyAI (US): ses dosyası → Türkçe transkripsiyon (24 saat retention)
• Voyage AI (US): metin → vektör embedding

Hedef migrasyon: AWS Bedrock Frankfurt – US Anthropic bağımlılığını KVKK uyumlu EU servisle değiştirir.

• Kayıt talebi: onaylanırsa hesap verisine dönüşür; reddedilirse karardan sonra en fazla 6 ay içinde silinir
• Ses kayıtları: 30 gün soft delete → hard delete (cron)
• Transkriptler + yapısal özetler: sözleşme süresince
• Müşteri, sipariş, masraf, görev, randevu vs.: 30 gün soft delete
• Kartvizit görseli: müşteri kaydı oluştuktan sonra saklanır, silindiğinde soft delete
• Audit log: 24 ay (DB-level immutability trigger)
• Hesap verileri: sözleşme + 10 yıl (TTK/vergi)
• Refresh token: 30 gün (rotation), replay tespitinde tüm token revoke

Saha temsilcisi her görüşme başında müşteriye sözlü bilgilendirme yapar ve onay alır. Müşteri reddederse kayıt başlatılmaz.

• Verisinin işlenip işlenmediğini öğrenme
• İşlenmişse bilgi talep etme
• Amacını ve amacına uygunluğunu öğrenme
• Yurt içi/yurt dışı aktarılan üçüncü kişileri bilme
• Eksik/yanlış işlenmişse düzeltme
• KVKK m.7 çerçevesinde silinmesini isteme
• Otomatik analiz sonucu aleyhinde sonuca itiraz
• Zarara uğraması halinde tazminat talep

Self-service: Ayarlar sayfasından verini dışa aktar veya hesabını sil.

Manuel talep: hello@notla.app

• TLS 1.3 + HSTS preload + at-rest AES-256
• Tenant izolasyonu (her query WHERE tenant_id)
• bcrypt cost 14 parola hashing + brute-force lockout (5/15dk)
• JWT rotation + replay detection + token version revocation
• DB-level audit log immutability trigger
• PII redaction: TC kimlik / IBAN / telefon / e-posta / müşteri ismi → etiket
• Upload size + magic byte MIME + path traversal koruması
• Rate limiting (auth 10/dk, LLM 5-10/dk)
• CSP, X-Frame-Options DENY, nosniff, HSTS
• Sentry PII scrubber – hata log'larında veri redacted
• Supabase Pro PITR 7 gün yedekleme