Yasal
Son güncelleme: 10 Mayıs 2026 · v2.29 ·
İşbu Çerez Politikası; Burak Hasköy (Şahıs İşletmesi — Çankaya Vergi Dairesi Müdürlüğü / 4580632882 — ETBİS Site Kayıt No: 8033996605 · etbis.ticaret.gov.tr — ANKESOB Esnaf Sicili: Sicil No 474167 · İş Yeri Adı KURYEAI TEKNOLOJİ · 5362 sayılı Esnaf ve Sanatkârlar Meslek Kuruluşları Kanunu md.65 · Belge No: 33542528 · 05.05.2026 · esbis.ticaret.gov.tr, "Platform Sahibi" / "Veri Sorumlusu") tarafından işletilen kuryeai.com ve alt platformları (KuryeAI, RestoranAI, İzinciKuryeAI, AcilKuryeAI, QRMenuAI — "Platform") üzerinde çerez (cookie) ve benzeri izleme teknolojilerinin kullanımını; 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK"), Kişisel Verileri Koruma Kurulu'nun Ocak 2022 tarihli "Çerez Uygulamaları Hakkında Rehber"i, 2002/58/EC sayılı ePrivacy Direktifi ve 2009/136/EC sayılı değişiklik ile 2016/679 sayılı Genel Veri Koruma Tüzüğü (GDPR) ilkeleri doğrultusunda düzenler. Metin bağlayıcıdır; burada sayılmayan çerez veya teknoloji Platform üzerinde kullanılmaz.
| Terim | Tanım |
|---|---|
| Çerez (Cookie) | Ziyaret edilen web sitesi tarafından tarayıcıya gönderilen ve kullanıcının cihazında saklanan, tarayıcı her istekte site sunucusuna geri ileten küçük metin dosyası. |
| Birinci Taraf Çerezi | Ziyaret edilen alan adı (kuryeai.com) tarafından yerleştirilen çerez. |
| Üçüncü Taraf Çerezi | Ziyaret edilen alan adından farklı bir sağlayıcı (örn. Google Analytics) tarafından yerleştirilen çerez. |
| Oturum Çerezi | Tarayıcı kapatıldığında otomatik olarak silinen geçici çerez. |
| Kalıcı Çerez | Belirlenen son kullanma tarihine kadar cihazda saklanan çerez. |
| Web Storage | Tarayıcı tarafından sağlanan, çerezden bağımsız localStorage ve sessionStorage alanları. |
| IndexedDB | Tarayıcı içinde yapılandırılmış veri saklamaya yarayan istemci tarafı veritabanı. |
| Pixel / Web Beacon | Sayfa açılışını veya etkinliği ölçmek için yerleştirilen şeffaf 1x1 görsel. |
| Service Worker | Tarayıcı arka planında çalışan, önbellek ve push bildirim yöneten komut dosyası. |
| Benzer Teknolojiler | Çerez olmamakla birlikte benzer işlev gören Web Storage, IndexedDB, Service Worker, Pixel, Fingerprinting, Cache API gibi araçlar. |
| Rıza (Consent) | İlgili kişinin; bilgilendirilmiş, özgür iradeye dayanan, açık ve belirli bir işleme faaliyeti için verdiği olumlu beyan (KVKK md.3/1-a, GDPR Art.4/11). |
| Kurul Rehberi | Kişisel Verileri Koruma Kurulu'nun Ocak 2022 tarihli "Çerez Uygulamaları Hakkında Rehber" belgesi. |
Platform'da çerez kullanımı; aşağıdaki mevzuat ve rehber doğrultusunda gerçekleştirilir:
Kurul Rehberi, çerezleri iki temel hukuki sebep ekseninde değerlendirir:
Platform bu ayrımı, çerez onay bandı (cookie banner) ile teknik olarak uygular: Rıza gerektiren çerezler varsayılan olarak engellidir ve yalnızca kullanıcı açık rıza verdiğinde aktive edilir.
Platform'da kullanılan çerezler; Kurul Rehberi doğrultusunda amaç (zorunlu / fonksiyonel / performans-analitik / pazarlama-hedefleme / sosyal medya), süre (oturum / kalıcı) ve taraf (birinci / üçüncü) eksenlerinde sınıflandırılır. Mevcut Platform, yalnızca aşağıdaki tablolarda sayılan çerezleri kullanır. Pazarlama-hedefleme ve sosyal medya çerezleri şu an aktif olarak kullanılmamaktadır; gelecekte etkinleştirilmeleri hâlinde bu politika güncellenir ve açık rıza yeniden alınır.
Platform'un temel işlevlerinin (kimlik doğrulama, oturum yönetimi, güvenlik, tema tercihi) çalışabilmesi için gereklidir. KVKK md.5/2-c "sözleşmenin ifası" kapsamında, Kurul Rehberi uyarınca açık rıza aranmaksızın kullanılır; aydınlatma yeterlidir. Devre dışı bırakılmaları hâlinde Platform'un temel fonksiyonları çalışmayabilir.
| Ad | Sağlayıcı | Taraf | Tür | Amaç | Veri Kategorisi | Süre | KVKK Dayanağı | İmha Yöntemi |
|---|---|---|---|---|---|---|---|---|
| kuryeai-theme | kuryeai.com | Birinci | localStorage | Karanlık/aydınlık/OLED tema tercih hafızası | Tercih verisi (kimlik bilgisiz) | Manuel silene kadar (azami 12 ay) | md.5/2-c sözleşmenin ifası | Kullanıcının localStorage temizlemesi; 12 ay sonra otomatik yenileme |
| kuryeai-lang | kuryeai.com | Birinci | localStorage | Dil tercihi (TR/EN) | Tercih verisi (kimlik bilgisiz) | Manuel silene kadar (azami 12 ay) | md.5/2-c sözleşmenin ifası | Kullanıcının localStorage temizlemesi |
| firebase:authUser:[API_KEY]:[APP] | kuryeai.com (Firebase Auth SDK) | Birinci | localStorage | Kullanıcı kimlik bilgisi ve idToken önbelleği (oturum kimlik doğrulaması, yetki) | UID, e-posta, idToken, refreshToken | Çıkış veya token süresi dolana kadar (idToken 60 dk; refreshToken 30 gün) | md.5/2-c sözleşmenin ifası | Çıkış yapıldığında otomatik silinir; süresi dolan idToken otomatik yenilenir veya iptal edilir |
| firebaseLocalStorageDb | kuryeai.com (Firebase Auth SDK) | Birinci | IndexedDB | Auth state kalıcı depolama (çapraz sekme senkronizasyonu) | Kimlik jetonu + kullanıcı profili | Çıkış yapılana kadar | md.5/2-c sözleşmenin ifası | Çıkış ile temizlenir |
| firebase-heartbeat-database | kuryeai.com (Firebase SDK) | Birinci | IndexedDB | SDK sürüm kullanım telemetrisi (Firebase altyapısı istatistiği) | SDK sürüm + tarih | 30 gün | md.5/2-f meşru menfaat (altyapı güvenilirliği) | 30 gün sonra otomatik |
| firebase-installations-database | kuryeai.com (Firebase SDK) | Birinci | IndexedDB | Benzersiz kurulum/cihaz kimliği (FID) — FCM ve Remote Config için gerekli | Installation ID | Uygulama silinene kadar | md.5/2-c sözleşmenin ifası (altyapı gereksinimi) | Tarayıcı verisi temizlendiğinde silinir |
| firebase-messaging-database | kuryeai.com (Firebase FCM SDK) | Birinci | IndexedDB | FCM token ve push mesaj durumu | FCM jetonu + mesaj ID | Token yenilenene kadar | md.5/1 açık rıza (tarayıcı push izni) | Bildirim izni geri çekildiğinde silinir |
| ys_auth | kuryeai.com | Birinci | sessionStorage | Yatırımcı sunumu erişim kontrolü | Erişim izni işareti | Sekme kapanana kadar | md.5/2-c sözleşmenin ifası | Sekme kapanışıyla otomatik silme |
| CSRF koruma tokeni | kuryeai.com | Birinci | HTTP çerezi (HttpOnly, Secure, SameSite=Lax) | Siteler arası istek sahteciliğini önleme | Güvenlik tokeni | Oturum süresi | md.5/2-c sözleşme + md.5/2-f güvenlik | Oturum kapanışı / tarayıcı silme |
Panel fonksiyonel tercih grubu (admin-theme, restoran_dark, rai_theme, rai_sound, kuryeai-dm, izinci-notif-filter, iz-hidden-talepler, hiddenTalepler, izinci_shift_goal, izinci-goal, izinci-goal-milestone, readNotifs, _adminRevenue, onboarding_shown) | kuryeai.com | Birinci | localStorage / sessionStorage | Panel içi fonksiyonel tercihler: tema, ses, bildirim filtresi, gizlenen ilanlar, hedef takibi, okunmuş bildirim ID'leri, onboarding durumu. Yalnızca ilgili kullanıcının kendi cihazında kalır; sunucuya gönderilmez. | Tercih / durum bilgisi (kimlik bilgisiz) | Manuel silene kadar (azami 12 ay) | md.5/2-c sözleşmenin ifası (hizmet deneyimi) | Kullanıcının localStorage temizlemesi; çıkışta panel-spesifik temizlik |
Restoran offline sipariş kuyruğu (_offlineOrders_{RESTAURANT_ID}) | kuryeai.com | Birinci | localStorage | İnternet bağlantısı koptuğunda restoran paneline yazılan siparişlerin geçici kuyruğa alınması; bağlantı geri geldiğinde sunucuya iletilir. | Sipariş içeriği (müşteri adı, adres, ürün listesi — sözleşmeye konu) | Sunucuya yazılana veya manuel silinene kadar | md.5/2-c sözleşmenin ifası (sipariş hizmeti) | Başarılı sunucu yazımında otomatik silme; ağ hatasında tekrar denenir |
Restoran panel önbelleği (_rest_couriers_cache, _rest_settings_cache) | kuryeai.com | Birinci | sessionStorage | Sekme içi kurye ve ayar verisinin geçici önbelleği (performans) | Kurye listesi + restoran ayarları | Sekme kapanana kadar | md.5/2-c sözleşmenin ifası | Sekme kapanışında otomatik silme |
Form taslakları (kuryeai_draft, acil_kurye_draft, acil_talepeden_draft, izinci_kurye_draft, izinci_isveren_draft, restoranai_login_draft, pendingAcilForm) | kuryeai.com | Birinci | sessionStorage | Kayıt / giriş / ilan formlarında yazılan alanların sekme içinde kurtarılması (kullanıcı yanlışlıkla sayfa yenilerse veri kaybolmasın) | Form alanları (ad, e-posta, telefon — forma göre değişir) | Sekme kapanana kadar | md.5/2-c sözleşmenin ifası (UX kurtarma) | Sekme kapanışı / form başarıyla gönderildiğinde temizlenir |
İletişim formu rate-limit (kai-contact-ts) | kuryeai.com | Birinci | sessionStorage | İletişim formunun sekme içinde arka arkaya gönderimini engeller (spam koruması) | Zaman damgası (ms) | Sekme kapanana kadar | md.5/2-f meşru menfaat (anti-spam) | Sekme kapanışında otomatik silme |
PWA yükle banner kapatma kaydı (ka-pwa-install-dismissed) | kuryeai.com | Birinci | localStorage | Kullanıcı "Uygulamayı yükle" banner'ını kapattığında, banner'ın 7 gün boyunca yeniden gösterilmemesi için kapatma zaman damgası saklanır | Unix ms zaman damgası | 7 gün | md.5/2-f meşru menfaat (kullanıcı rahatsız edilmez) | 7 gün sonra otomatik yenilenir; localStorage temizliğinde silinir |
Biyometrik kimlik bilgisi (kai-biometric-cred) | kuryeai.com | Birinci | sessionStorage | WebAuthn (FIDO2) üzerinden oluşturulan biyometrik kimlik doğrulama kaydının tarayıcı tarafı referansı (credential ID). Parmak izi / yüz görüntüsü kaydedilmez; yalnızca tarayıcı/işletim sistemi tarafından üretilen anonim kimlik referansı tutulur. Kullanıcı "Uygulama kilidini biyometrik ile aç" ayarını seçerse devreye girer. | Kimlik referansı (base64url, kişisel biyometrik veri değildir) | Sekme kapanana kadar | md.5/1 açık rıza (kullanıcı biyometrik kilidi kendisi etkinleştirir) + md.5/2-f güvenlik | Sekme kapanışında otomatik; ayar kapatılınca silinir |
Broadcast popup görüldü işareti (bc_seen_{talepId}_{uid}) | kuryeai.com | Birinci | sessionStorage | İzinci kurye paneline broadcast edilen bir talep için popup'ın sekme içinde aynı kuryeye tekrar tekrar gösterilmemesi | İşaret (1) | Sekme kapanana kadar | md.5/2-c sözleşmenin ifası (UX, bildirim yönetimi) | Sekme kapanışında otomatik silme |
reCAPTCHA Enterprise / Firebase App Check (_GRECAPTCHA, rc::*) | Google LLC (recaptcha.net / www.google.com) | Üçüncü | HTTP çerezi (_GRECAPTCHA) + localStorage (rc::* skor cache) | Bot tespiti ve kötü niyetli oturum engelleme — panel ve login ekranlarında Firebase App Check tarafından reCAPTCHA Enterprise skorunun alınması; kullanıcının "ben robot değilim" tıklaması gerekmeyen görünmez (invisible) mod | Bot skor tokeni; son kullanıcıyı tanımlamaya yönelik veri tutulmaz | _GRECAPTCHA: ~6 ay; rc::*: oturum + kısa cache | md.5/2-f meşru menfaat (dolandırıcılık / bot saldırısı engelleme — Kurul Rehberi: güvenlik çerezleri rıza aranmadan kullanılabilir) | Google tarafı süre sonunda otomatik; kullanıcı çerez silme ile kaldırabilir |
| Firebase Performance Monitoring (client SDK) | kuryeai.com (Firebase SDK) | Birinci | IndexedDB (SDK iç deposu) + HTTPS beacon | Teknik telemetri — sayfa yükleme süresi, ağ çağrısı performansı, frame rate gibi sistem sağlığı metriklerinin toplanması; son kullanıcı davranışı veya içerik izlemesi değil | Cihaz tipi, tarayıcı, ağ türü, süre metriği (anonim) | SDK kontrolünde — ağ başarımı gönderildikten sonra yerel cache boşalır | md.5/2-f meşru menfaat (altyapı güvenilirliği, hata tespiti) | SDK tarafından gönderim sonrası temizlenir; tarayıcı verisi silme |
| Firebase Remote Config (client SDK) | kuryeai.com (Firebase SDK) | Birinci | IndexedDB (firebase_remote_config + SDK iç depoları) | Platform tarafı uzaktan ayarlar: bakım modu banner'ı, duyuru metni, minimum sürüm kontrolü — sunucudan çekilen konfigürasyon 1 saat yerel cache edilir | Konfigürasyon alanları (bakım modu bayrağı, duyuru metni — kişisel veri içermez) | 1 saat cache; yeni konfig ile üzerine yazılır | md.5/2-c sözleşmenin ifası (hizmet duyurusu, bakım iletişimi) | Tarayıcı verisi silme; her saat yenilenir |
Kullanıcı tercihlerini hatırlayarak Platform deneyimini kişiselleştirir. Kurul Rehberi uyarınca bazı fonksiyonel çerezler sözleşme ifasına bağlı olduğundan (örn. rıza kaydı) açık rıza aranmaksızın kullanılabilir; diğerleri için rıza alınır.
| Ad | Sağlayıcı | Taraf | Tür | Amaç | Veri Kategorisi | Süre | KVKK Dayanağı | İmha Yöntemi |
|---|---|---|---|---|---|---|---|---|
| kai-analytics-consent | kuryeai.com | Birinci | localStorage | Çerez tercih kaydının saklanması (ispat/denetim) | Rıza durumu (kabul/red/seçmeli) | 12 ay (sonra yeniden sorulur) | md.5/2-ç hukuki yükümlülük (Kurul Rehberi) | 12 ay sonra otomatik silinir; manuel silme ile yenilenir |
| kai-last-login | kuryeai.com | Birinci | localStorage | Son giriş tarih-saat bilgisinin kullanıcıya gösterimi (güvenlik) | Tarih-saat | 90 gün | md.5/2-f meşru menfaat (güvenlik uyarı) | 90 gün sonra otomatik silme |
| kai-cookie-version | kuryeai.com | Birinci | localStorage | Çerez politikası versiyon numarası; yeni versiyonda rıza yenileme | Versiyon numarası | Politika güncellenene kadar | md.5/2-ç Kurul Rehberi (rıza yenileme) | Yeni versiyonda üzerine yazılır |
| kai-guest-id | kuryeai.com | Birinci | localStorage | Giriş yapmamış ziyaretçiler için rastgele (UUID benzeri) misafir kimliği; sunucu tarafındaki rıza denetim logunda (cerezOnayLog) olayı ilgili oturumla eşleştirmek için kullanılır. Kimlik doğrulama veya reklam profilleme için kullanılmaz. | Rastgele kimlik (anonim, kişisel veri içermez) | 12 ay (rıza süresi ile eşit) | md.5/2-ç hukuki yükümlülük (Kurul Rehberi — rıza ispat) | 12 ay sonra otomatik yenileme; localStorage temizliğinde silinir |
| kai-analytics-consent-at | kuryeai.com | Birinci | localStorage | Rıza olayının zaman damgası (milisaniye) | Unix ms | 12 ay | md.5/2-ç hukuki yükümlülük | Rıza yenilenince üzerine yazılır |
Kullanıcı notları ve özel mesajlar (izinci-notepad, _kuryeQuickMsgs) | kuryeai.com | Birinci | localStorage | Kurye ve izinci panellerinde kullanıcının kendi yazdığı notlar ve özel hızlı mesaj şablonları. Yalnızca kullanıcının kendi cihazında saklanır; sunucuya gönderilmez. | Serbest metin (kullanıcı tarafından yazılan) | Kullanıcı silene kadar | md.5/2-c sözleşmenin ifası (kişisel çalışma alanı) | Kullanıcının "temizle" eylemi; tarayıcı verisi silme |
QRMenu müşteri adı (_qr_name_{restoranId}) | kuryeai.com | Birinci | localStorage | QR menü üzerinden sipariş verirken müşterinin bir sonraki ziyaretinde adını otomatik doldurmak için hatırlanır. Restoran bazlı ayrı tutulur. | İsim (serbest metin) | Müşteri silene kadar | md.5/2-c sözleşmenin ifası (UX kolaylık) + md.5/1 açık rıza (formdan girildiğinde) | Tarayıcı verisi silme |
Admin araçları yerel cache (_usdTryRate, _usdTryRateAt, _usdTrySource, _ssdMetricLastSave, ssd-resolved, _lastXReport) | kuryeai.com | Birinci | localStorage / sessionStorage | Yalnızca AdminAI paneli ve RestoranAI X-Rapor özelliği kapsamında: döviz kuru cache, çözülmüş uyarı listesi, son rapor zamanı — sunucuya ek istek atmamak için yerel hafıza. | Kur/sayısal değer + zaman damgası (kişisel veri içermez) | 24 saat / sekme ömrü — kullanıma göre | md.5/2-f meşru menfaat (sistem verimliliği) | TTL sonunda yenilenir; manuel silme mümkün |
Demo oturum kimliği (demoSessionId) | kuryeai.com | Birinci | localStorage | Demo sayfasında kullanıcıyı oturum süresince takip etmek (anonim) | Rastgele kimlik | Kullanıcı silene kadar | md.5/2-f meşru menfaat (demo analitik) | Tarayıcı verisi silme |
Kullanıcı tercihleri (kai-user-prefs) | kuryeai.com | Birinci | localStorage | Panellerdeki Ayarlar ekranından girilen tercihlerin tamamı: metin ölçeği / kalınlığı, ses-titreşim-bildirim (push / e-posta / DND saatleri / pazarlama izni), konum paylaşımı, düşük veri modu, hareket azaltma, dil, saat biçimi, harita türü, GPS hassasiyeti, minimum kabul ücreti, günlük hedef, şablon mesajlar, otomatik çıkış süresi, biyometrik kilit tercihi, fatura bilgileri (ad/vergi no/adres — işveren için). Yalnızca ilgili kullanıcının kendi cihazında saklanır; sunucuya gönderilmez. | Tercih verisi (ayar seçimleri — kimlik bilgisiz); fatura alanları kullanıcının kendi girişidir | Kullanıcı silene kadar (azami 12 ay) | md.5/2-c sözleşmenin ifası (hizmet tercihleri) + md.5/1 açık rıza (pazarlama bildirimi, biyometrik kilit gibi isteğe bağlı alanlar) | Ayarlar → "Sıfırla" ile silinir; tarayıcı verisi temizliğinde kaldırılır |
İzinci ilan şablonları (izinci_talep_sablonlar_v1) | kuryeai.com | Birinci | localStorage | İşveren panelinde sık kullanılan ilan metinlerini şablon olarak kaydetme özelliği; kullanıcının kendi oluşturduğu şablonlar, tekrar ilan açarken hızlı doldurma için yerel olarak saklanır | Kullanıcının kendi yazdığı metinler | Kullanıcı silene kadar | md.5/2-c sözleşmenin ifası (kişisel çalışma alanı) | Panel içi "Şablonu sil" eylemi; tarayıcı verisi silme |
İzinci kurye streak (iz-streak) | kuryeai.com | Birinci | localStorage | Kuryenin art arda çevrimiçi olduğu gün sayısının yerel hafızada tutulması (gamifikasyon / motivasyon widget'ı). Yalnızca gün sayısı ve son tarih tutulur; saat/lokasyon verisi tutulmaz. | Gün sayısı + son tarih (YYYY-MM-DD) | Kullanıcı silene kadar | md.5/2-f meşru menfaat (kullanıcı deneyimi / retansiyon widget'ı) | Tarayıcı verisi silme; uzun süre offline kalındığında sıfırlanır |
Platform kullanım istatistiklerini anonim olarak toplar, iyileştirme yapmaya yardımcı olur. Varsayılan olarak kapalıdır; yalnızca kullanıcının çerez onay bandında "Kabul et" veya "Analitiği etkinleştir" seçeneğini işaretlemesi durumunda yerleşir. Kullanıcı rızasını geri çekene kadar aktif kalır. Platform iki ayrı GA4 mülkü kullanır: G-1M5VL9Z27Z (ana platform — kuryeai.com, paneller, login ekranları) ve G-066PZHNLHD (blog ve içerik sayfaları — /blog, /hizmet-bolgeleri, /hakkimizda, /iletisim). Her iki mülk de Consent Mode v2 ile aynı rıza sinyaline bağlıdır; rıza verilmediğinde hiçbir mülk çerez yerleştirmez.
| Ad | Sağlayıcı | Taraf | Tür | Amaç | Veri Kategorisi | Süre | KVKK Dayanağı | İmha Yöntemi |
|---|---|---|---|---|---|---|---|---|
| _ga | Google Analytics 4 (Google LLC) | Üçüncü | HTTP çerezi | Anonim ziyaretçi ayrımı, oturum ölçümü | Ziyaretçi ID (anonim) | 26 ay | md.5/1 açık rıza + md.6/2 (çerez onayı) | 26 ay sonra otomatik silme; rıza geri çekme ile derhal silme |
| _ga_1M5VL9Z27Z | Google Analytics 4 (Property: G-1M5VL9Z27Z — ana platform) | Üçüncü | HTTP çerezi | Ana platform (kuryeai.com, panel, login) için oturum durumu, etkileşim, dönüşüm olayları | Ziyaretçi ID + olay verisi (anonim) | 26 ay | md.5/1 açık rıza | 26 ay sonra otomatik; rıza geri çekme ile derhal |
| _ga_066PZHNLHD | Google Analytics 4 (Property: G-066PZHNLHD — blog / içerik) | Üçüncü | HTTP çerezi | Blog, hizmet bölgeleri, hakkımızda, iletişim sayfaları için oturum durumu ve okuma etkileşimi | Ziyaretçi ID + olay verisi (anonim) | 26 ay | md.5/1 açık rıza | 26 ay sonra otomatik; rıza geri çekme ile derhal |
| _gat_gtag_G_1M5VL9Z27Z | Google Analytics 4 (gtag.js — ana platform mülkü) | Üçüncü | HTTP çerezi | GA4 istek hız sınırlandırma (throttling) — aynı ziyaretçiden saniyede birden fazla event gönderimini engeller | Oran sınırı işareti (ID içermez) | 1 dakika | md.5/1 açık rıza | 1 dakika sonra otomatik silme |
| _gat_gtag_G_066PZHNLHD | Google Analytics 4 (gtag.js — blog / içerik mülkü) | Üçüncü | HTTP çerezi | Blog ve içerik sayfalarında GA4 istek hız sınırlandırma | Oran sınırı işareti (ID içermez) | 1 dakika | md.5/1 açık rıza | 1 dakika sonra otomatik silme |
AdminAI paneli, operasyonel deploy yönetimi için ssd-vercel-token adlı bir yerel anahtar kullanır. Bu anahtar yalnızca yetkili yönetici hesapları tarafından kendi tarayıcılarına manuel olarak girilir; hiçbir son kullanıcı (kurye, restoran, müşteri, işveren, izinci) cihazına yazılmaz. Anahtar yalnızca HTTPS üzerinden yönetici tarafından Vercel API çağrılarında kullanılır, üçüncü tarafa iletilmez. Kullanıcı güvenliğine etkisi yoktur; bu çerez politikası kapsamında son kullanıcı çerezi sayılmaz — yönetici aracı olarak şeffaflık amacıyla belirtilmiştir.
Platform şu an pazarlama veya hedefleme çerezi kullanmamaktadır. Gelecekte etkinleştirilmeleri hâlinde; açık rıza ayrıca alınır, bu politika güncellenir, çerez onay bandı üzerinden kullanıcı yeniden bilgilendirilir ve rıza gerektiren şekilde pasif olarak yüklenir.
Pazarlama pikseli altyapısı (gelecekte aktive edilebilir): Platform, gelecekte performans pazarlama kampanyaları için kullanılmak üzere Meta (Facebook) Pixel, TikTok Pixel ve Google Ads conversion tracking teknik altyapısını tracking.js dosyasında hazır tutmaktadır. Bu altyapı şu an aktif çalışmamaktadır — Firestore config/tracking dokümanında pixel ID'leri boş bırakılmıştır ve runtime'da hiçbir pixel script'i yüklenmez (kontrol edilebilir: tarayıcı geliştirici araçları → Network sekmesi → "facebook.net", "tiktok.com" veya "googleadservices.com" çağrısı bulunmaz). Aktivasyon, ayrı bir "Pazarlama Pikseli" rıza kategorisi kapsamında (Açık Rıza Metni v3.7 Bölüm 6 ve aşağıdaki Bölüm 7.2 Consent Mode matrisi) gerçekleştirilecek; aktive edilmeden en az 30 gün önce kullanıcılara platform içi bildirim ve e-posta ile duyurulacak ve açık rıza alınmadan hiçbir kullanıcı verisi pixel servislerine iletilmeyecektir (KVKK md.5/1 + md.10 + Kurul 2021/§5.2 esaslı değişiklik öneri rehberi). LinkedIn Insight Tag, X/Twitter Pixel kullanılmamaktadır ve aktive edilmesi planlanmamaktadır. WhatsApp "destekle iletişim" butonu yalnızca yönlendirme sağlar; çerez yerleştirmez.
Platform; çerezler dışında aşağıdaki istemci tarafı teknolojileri de kullanır. Bu teknolojiler, Kurul Rehberi kapsamında çerezlerle aynı esaslara tabidir.
| Teknoloji | Kullanım Amacı | Veri Kategorisi | Süre | Rıza Durumu |
|---|---|---|---|---|
| localStorage | Tema, dil, rıza kaydı, son giriş bilgisi | Tercih / ayar verisi (kimlik bilgisiz) | Manuel silene kadar (azami 12 ay) | Zorunlu olanlar için md.5/2-c; analitik tercih için açık rıza |
| sessionStorage | Sekme bazlı geçici oturum verisi (ys_auth) | Oturum durumu | Sekme kapanana kadar | md.5/2-c sözleşme |
| IndexedDB | Firebase Auth kalıcı oturum (firebaseLocalStorageDb), FCM bildirim (firebase-messaging-database), Firebase kurulum kimliği (firebase-installations-database), SDK telemetrisi (firebase-heartbeat-database), çevrimdışı önbellek | Kimlik jetonu, FCM ID, installation ID, SDK sürüm | Oturum / 30 gün — kullanıma göre | md.5/2-c sözleşme (kimlik/kurulum) + md.5/1 açık rıza (FCM) + md.5/2-f meşru menfaat (heartbeat) |
| Service Worker / Cache API | Statik kaynak önbelleği, çevrimdışı sayfa deneyimi, FCM arka plan bildirimi | Statik dosya kopyaları (kişisel veri içermez) | Dosya güncellemesine kadar | md.5/2-c sözleşme |
| Pixel / Web Beacon | Yalnızca Google Analytics (rıza ile) üzerinden sayfa görüntüleme ölçümü | Anonim olay verisi | GA çerezi ile aynı | md.5/1 açık rıza |
Platform'un kullanıcı gizliliğine yönelik bağlayıcı taahhütleri:
Çerez ve benzeri teknolojiler aracılığıyla toplanan veriler, aşağıdaki durumlarda KVKK md.9 kapsamında yurt dışına aktarılabilir:
| Alıcı | Ülke | Aktarılan Veri | Amaç | KVKK md.9 Dayanağı | Hukuki Güvence |
|---|---|---|---|---|---|
| Google LLC (Analytics 4) | ABD (IP anonimleştirme ile AB edge) | Anonim ziyaretçi ID, sayfa olayı, cihaz tipi | Anonim kullanım istatistiği | md.9/1 — açık rıza (çerez onayı) | Google Analytics DPA + SCCs + IP anonimleştirme (anonymize_ip) |
| Google LLC (Firebase Auth / FCM / Firestore / Storage) | EU-West1 (Belçika) | Kimlik jetonu, FCM token, oturum verisi | Platform oturum ve bildirim altyapısı | md.9/2 — yeterli koruma + güvence | Google DPA + SCCs + AB içinde işleme |
| Vercel Inc. | ABD / AB edge | HTTP istek metadatası, IP, user agent | Web barındırma, CDN | md.9/2 — güvence (SCCs) | Vercel DPA + SCCs |
Bu aktarımların detayları KuryeAI KVKK Aydınlatma Metni'nin 7.2 bölümünde atomik olarak düzenlenmiştir.
Platform, aşağıdaki harici servislere HTTP istekleri yapar. Bu servisler çerez yerleştirmez ve localStorage/sessionStorage yazmaz; ancak her stateless HTTP isteğinde olduğu gibi, alıcı tarafın sunucu loglarında kullanıcının IP adresi, kullanıcı ajanı (user agent) ve istek yolu geçici olarak kaydedilebilir. KVKK md.9 kapsamında yurt dışı aktarım şeffaflığı için burada belirtilmiştir. Bu servisler üzerinden çerez temelli izleme yapılmaz.
| Servis | Sağlayıcı / Ülke | Kullanım Amacı | Aktarılan Veri | Çerez Yerleştirir mi? | Hukuki Dayanak |
|---|---|---|---|---|---|
api.open-meteo.com | Open-Meteo (Zürih, İsviçre — AB Yeterli Koruma Kararı) | Hava durumu widget'ı (kurye/restoran/izinci panelleri): sıcaklık, rüzgâr, hava kodu | IP, UA, GPS enlem/boylam (panelde anlık konum) | Hayır | md.5/2-f meşru menfaat (çalışma koşulları bilgisi) + md.9/2 güvence |
tile.openstreetmap.org | OpenStreetMap Foundation (İngiltere) | Leaflet harita döşeme (tile) servisi — panel ve landing haritaları | IP, UA, harita koordinatı | Hayır | md.5/2-c sözleşmenin ifası (harita gösterimi) + md.9/2 güvence |
nominatim.openstreetmap.org | OpenStreetMap Foundation (İngiltere) | Adres → koordinat çözümleme (geocoding) — ilan adresleri, arama | IP, UA, adres metni | Hayır | md.5/2-c sözleşmenin ifası + md.9/2 güvence |
api.ipify.org | Kaggu LLC / ipify (ABD — serverless public IP servisi) | Açık rıza denetim kaydında (consentLog) kullanıcının IP adresinin saklanması — KVKK md.4/2-a ispat yükümlülüğü (acik-riza-metni v2.6 Bölüm 11). Yalnızca izinci-kurye paneli Kimlik Doğrulama ekranında rıza verme/geri alma anında çağrılır. | IP, UA (ipify sadece IP döner; çerez yerleştirmez, oturum tutmaz) | Hayır | md.5/2-f meşru menfaat (açık rıza kanıtlama yükümlülüğü) + md.9/2 güvence |
router.project-osrm.org | OSRM Demo Server / HeiGIT (Heidelberg, Almanya — AB Yeterli Koruma Kararı) | İki GPS koordinatı arasında sürüş rotası hesaplama (AcilKuryeAI talep formunda başlangıç → bitiş mesafesi ve yol çizimi için) | IP, UA, başlangıç ve bitiş enlem/boylam | Hayır | md.5/2-c sözleşmenin ifası (rota / mesafe hesabı) + md.9/2 güvence |
/api/tomtom-proxy → api.tomtom.com | TomTom N.V. (Hollanda, AB — Vercel sunucu tarafı proxy üzerinden) | Rota hesaplama, trafik bilgisi, adres geocoding ve yola yapıştırma (KuryeAI, RestoranAI, AcilKuryeAI, AdminAI panellerinde teslimat haritası ve navigasyon için) | Rota koordinatları (enlem/boylam) ve adres metni — çağrı Vercel proxy üzerinden yapıldığından kullanıcı IP adresi TomTom'a iletilmez; tarayıcıdan doğrudan bağlantı kurulmaz | Hayır (çerez yerleştirmez — proxy üzerinden server-to-server) | md.5/2-c sözleşmenin ifası (harita/rota hizmeti teslimat için zorunlu) + md.9/2 yeterli koruma (AB/GDPR çerçevesi — TomTom N.V. AB merkezli) |
fonts.googleapis.com / fonts.gstatic.com | Google LLC (ABD — Google Fonts API) | Inter ve Plus Jakarta Sans yazı tiplerinin tarayıcıya teslimatı | IP, UA (Google Fonts politikası: son kullanıcı çerezi set edilmez, veri reklam için kullanılmaz) | Hayır | md.5/2-c sözleşmenin ifası (sayfa görsel tasarımı) + md.9/1 açık rıza (Google DPA) |
unpkg.com | Cloudflare Inc. (ABD — npm CDN) | Leaflet harita kütüphanesi (JS/CSS) teslimatı — panellere SRI ile yüklenir | IP, UA | Hayır (statik dosya) | md.5/2-c sözleşmenin ifası + md.9/2 güvence (SCCs) |
cdn.jsdelivr.net | Cloudflare Inc. (ABD — npm CDN) | Chart.js + chartjs-plugin-datalabels teslimatı — yalnızca yatırımcı sunumu sayfasında, SRI ile | IP, UA | Hayır (statik dosya) | md.5/2-c sözleşmenin ifası + md.9/2 güvence (SCCs) |
graph.facebook.com/v20.0/{phoneNumberId}/messages | Meta Platforms Ireland Ltd (İrlanda / ABD) | İzinciKuryeAI platformunda açık rıza vermiş kullanıcılara operasyonel WhatsApp bildirimi gönderme — yalnızca Cloud Functions (sunucu tarafı) üzerinden çağrılır; tarayıcıdan doğrudan bağlantı kurulmaz. Gönderilen bildirimler: yeni ilan, kurye seçimi, eşleşme tamamlandı, iş tamamlandı (4 şablon, yalnızca whatsappConsent:true ve phoneVerified:true kullanıcılara) | Telefon numarası (E.164), şablon mesaj içeriği — tarayıcıdan veri iletilmez; çerez yerleştirmez (CF-side çağrı) | Hayır (tarayıcı tarafında çerez/JS yok) | md.5/1 açık rıza (kayıtta wa-consent-check checkbox) + md.9/1 açık rıza (yurt dışı aktarım — KVKK Aydınlatma Metni v3.6 Bölüm 7.2) |
Sanal POS hizmet sağlayıcısı token endpoint'i (sunucu tarafı) + iframe ödeme arayüzü (tarayıcı tarafı, sağlayıcı alanında) + webhook callback (europe-west1-kuryeai-99bf9.cloudfunctions.net/qnbpayCallback) | Sanal POS hizmet sağlayıcısı (T.C. — BDDK lisanslı ödeme kuruluşu, PCI-DSS Level 1 sertifikalı) | Sanal POS ödeme alma. (1) Cloud Function'dan sanal POS sağlayıcısına token isteği (sunucu tarafı). (2) Tarayıcıda sağlayıcı iframe'i yüklenir; Alıcı kart bilgisini sağlayıcı sayfasına girer (KuryeAI sistemine iletilmez). (3) Sağlayıcı sonucu webhook ile Cloud Function'a iletir; HMAC-SHA256 imza doğrulanır. iframe yüksekliğinin tarayıcıda otomatik ayarlanması için yardımcı betik sağlayıcı alanından yüklenir. | Tutar (kuruş), merchant_oid (sipariş no), e-posta, ad-soyad, telefon, IP, kullanıcı sepeti (hizmet adı + tutar). Kart numarası / CVV / son kullanma tarihi yalnızca sanal POS sağlayıcısında işlenir; KuryeAI sistemine iletilmez ve saklanmaz. | Evet — sanal POS sağlayıcısı oturum/işlem çerezleri yalnızca sağlayıcı alanında set edilir, KuryeAI alanına iletilmez. iframe sandbox sağlayıcı alanı altında çalışır. | md.5/2-c sözleşmenin ifası (ödeme tahsilatı zorunlu) + md.8/2-a sözleşmenin ifası için aktarım. Yurt dışı aktarımı yoktur (sağlayıcı T.C. merkezli). |
| e-Fatura/e-Arşiv entegrasyon uygulaması REST API uç noktaları (OAuth 2.0 kimlik doğrulama + müşteri/contact + satış faturası + e-arşiv kesim akışları) | e-Fatura/e-Arşiv entegrasyon uygulaması (T.C. yerleşik özel entegratör; Gelir İdaresi Başkanlığı yetkilendirmeli e-Belge sağlayıcısı) | e-Fatura / e-Arşiv kesim otomasyonu. Yalnızca Cloud Functions (sunucu tarafı) üzerinden çağrılır; tarayıcıdan doğrudan bağlantı kurulmaz, çerez yerleştirmez. Akış: (1) OAuth 2.0 token al. (2) Müşteri (contact) bul/oluştur. (3) Satış faturası oluştur. (4) e-Arşiv veya e-Fatura olarak gönder (VKN sicilde varsa otomatik e-Fatura). PDF link'i alınıp e-posta sağlayıcısı üzerinden müşteri e-posta adresine iletilir. | Ad-soyad/unvan, VKN/TCKN, vergi dairesi, e-posta, telefon, fatura kalemi açıklaması, tutar (KDV ayrıştırmalı), ödeme tarihi/yöntemi, sipariş no. Tarayıcıdan veri iletilmez (CF-side çağrı). | Hayır (tarayıcı tarafında çerez/JS yok) | md.5/2-a (kanunda açıkça öngörülmesi — 213 VUK md.231 fatura kesim zorunluluğu) + md.8/2-a (sözleşmenin ifası için aktarım). Yurt dışı aktarımı yoktur (entegrasyon uygulaması T.C. merkezli). Saklama 213 VUK md.253 — 10 yıl. |
api.anthropic.com/v1/messages | Anthropic PBC (ABD — San Francisco, CA) — Claude API | AI destekli hizmet iyileştirmeleri (5 sprint): (1) log anomali tespiti — auth/audit/payment/admin loglarında şüpheli pattern + hesap ele geçirme + sahtecilik taraması, (2) doğrulama belgesi vision OCR ön incelemesi (TC kimlik, ehliyet, SRC, sigorta) — final karar her zaman insan admin tarafında (KVKK md.11/g), (3) destek mesajı kategori/dil tespiti + yanıt taslağı önerme, (4) KVKK aylık uyum raporu üretimi (consent + auth + payment loglarından), (5) konuşma tabanlı admin asistanı (read-only Firestore tool use). Yalnızca Cloud Functions (sunucu tarafı) üzerinden çağrılır; tarayıcıdan doğrudan bağlantı kurulmaz, çerez yerleştirmez. | PII redakte edilmiş log özetleri (UID son 4 hane, IP /24 maskeli, e-posta domain only); doğrulama belgesi görüntüleri; destek mesajı içeriği (gönderici kimliği maskeli); admin sorgu metni. Cloud Function tarafında redaksiyon — defense in depth. | Hayır (tarayıcı tarafında çerez/JS yok) | md.9/1 — açık rıza (Açık Rıza Metni Rıza 6) + md.5/1 açık rıza. Anthropic DPA + Standart Sözleşme Maddeleri (SCCs) + Zero Retention API kontratı: ham veri 30 gün sonra silinir, KuryeAI verisi Anthropic model eğitiminde kullanılmaz. Rıza varsayılan KAPALI (opt-in); panel toggle ile anlık geri çekilebilir. Rıza vermeyen kullanıcının verisi Anthropic'e gönderilmez. |
api.resend.com/emails | Resend Inc. (ABD — Delaware) — Transactional e-posta | Transactional e-posta gönderimi: kayıt onayı, e-posta doğrulama, şifre sıfırlama, ödeme makbuzu, KVKK md.11 başvuru cevabı, izinci eşleşme bildirimi, fatura PDF iletimi. Yalnızca Cloud Functions (sunucu tarafı) üzerinden çağrılır; tarayıcıdan doğrudan bağlantı kurulmaz, çerez yerleştirmez. | Alıcı e-posta adresi, ad-soyad, e-posta konu + HTML içerik (transactional şablon değişkenleri), gönderim durum tag'leri (welcome / password_reset / payment_receipt / kvkk_response / izinci_match / invoice). Tarayıcıdan veri iletilmez (CF-side çağrı). | Hayır (tarayıcı tarafında çerez/JS yok) | md.5/2-c sözleşmenin ifası (e-posta bildirim hizmetin ayrılmaz parçası — kayıt onayı, şifre sıfırlama, ödeme makbuzu) + md.9/2 — güvence (Resend DPA + Standart Sözleşme Maddeleri). Pazarlama e-postaları için ayrıca açık rıza (emailNotifications:true opt-in). Kullanıcı `emailNotifications:false` ile transactional dışı tüm e-postaları opt-out edebilir; List-Unsubscribe header her e-postada mevcut. |
ip-api.com/json/{ip} | ip-api.com (Avustralya / ABD) — IP Geolocation public API | Anti-fraud + güvenlik denetimi: AdminAI panelinde admin'in incelediği şüpheli giriş/aktivite IP'lerinden ülke/şehir/organizasyon bilgisi çekme. Yalnızca admin paneli tarafında çağrılır; son kullanıcı tarayıcısından çağrılmaz. | İnceleme yapılan IP adresi (admin'in baktığı kullanıcı IP'si — kullanıcı kimliği eşleştirilerek aktarılmaz, yalnızca IP). | Hayır (public stateless API, çerez/oturum tutmaz) | md.5/2-f meşru menfaat (anti-fraud + güvenlik denetimi) + md.9/2 — güvence (kullanıcı kimliği aktarılmaz, sadece IP). Public API; rate limit 45 req/dk; kalıcı veri saklama yok. |
Yukarıdaki servislerde takip amaçlı çerez, fingerprinting veya kişiselleştirilmiş reklam yoktur; alışıldık sunucu logları haricinde kalıcı kullanıcı kaydı tutulmaz. Platform, Subresource Integrity (SRI — integrity="sha384-...") hash'i ile CDN bütünlüğünü doğrular; değiştirilmiş kod yürütülmez.
Platform'a ilk ziyarette veya politika versiyonu güncellendiğinde, ekranın alt kısmında çerez onay bandı gösterilir. Bant; Kurul Rehberi ve GDPR Art.7 uyarınca aşağıdaki 3 seçeneği eşit görünürlük ve eşit tıklama kolaylığı ile sunar:
Açık rıza şartları:
kai-analytics-consent (granted/denied), kai-analytics-consent-at (zaman damgası, ms), kai-cookie-version (versiyon) ve kai-guest-id (misafir rastgele kimlik) localStorage anahtarları. (ii) Sunucuda — append-only denetim log: Her rıza olayı (misafir dâhil) cerezOnayLog/{autoId} Firestore koleksiyonuna yazılır; alanlar: durum, versiyon, tarih, kullaniciAjani, dil, sayfa, misafirKimlik, uid. Koleksiyon append-only'dir (update/delete rules ile yasak); yalnızca admin okur. (iii) Kullanıcı belgesinde (giriş yapmışsa) — users/{uid} Firestore belgesinde cerezOnayi, cerezOnayiAt (ISO-8601) ve cerezOnayiVersiyon alanları güncellenir.analytics_storage: granted) ile tetiklenir. Rıza reddedilmişse veya hiç verilmemişse GA istekleri Consent Mode altında cookieless ping modunda kalır; kalıcı çerez yerleşmez.cerezOnayLog sunucu kayıtları, KVKK md.4/2-d (orantılılık) ve md.7/3 ile uyumlu olarak rıza süresi (12 ay) boyunca aktif, rıza yenilenmediğinde veya geri çekildiğinde +3 yıl arşiv olarak saklanır (genel zamanaşımı — TBK md.146 kapsamında ispat tamponu). Sürenin sonunda kayıt anonimleştirilir veya silinir; ham kullaniciAjani, sayfa ve misafirKimlik alanları bu süreden önce de pseudonim hâle getirilebilir. Tarayıcı localStorage kayıtları 12 ay sonra otomatik yenilenir.Google Consent Mode v2 — Tam Sinyal Matrisi: Platform, Consent Mode v2'nin tüm 7 sinyalini atomik olarak yönetir. Varsayılanlar (rıza verilmeden önce) ve rıza sonrası durumlar aşağıdaki gibidir:
| Sinyal | Varsayılan | Rıza Sonrası | Platform Durumu |
|---|---|---|---|
ad_storage | denied | denied (pazarlama kullanılmıyor) | Kalıcı denied — Bölüm 3.4 gereği reklam çerezi yoktur |
ad_user_data | denied | denied | Kalıcı denied — reklam ağlarına veri gönderilmez |
ad_personalization | denied | denied | Kalıcı denied — kişiselleştirilmiş reklam yoktur |
analytics_storage | denied | granted (yalnızca "Kabul" / "Analitiği etkinleştir" seçiminde) | Kullanıcı rızasına bağlı — GA4 çerezleri bu sinyal ile tetiklenir |
functionality_storage | granted | granted | Zorunlu — dil, tema, oturum tercihi |
personalization_storage | denied | denied | Kalıcı denied — kişiselleştirilmiş içerik profili yoktur |
security_storage | granted | granted | Zorunlu — CSRF koruması, anti-bot, kimlik doğrulama |
Ek teknik parametreler: wait_for_update: 500 (ms) — rıza güncellemesi için 500 ms beklenir, bu sürede GA isteği atılmaz; anonymize_ip: true — IP anonimleştirme her koşulda aktiftir; url_passthrough ve ads_data_redaction reklam ilişkili parametreler kullanılmaz.
Verilen rıza istenildiği zaman ücretsiz ve tek tıkla geri çekilebilir:
analytics_storage sinyali).window.kaiReopenCookieBanner() ve window.kaiOpenCookieManager() fonksiyonları; geliştirici konsolundan veya sayfa içi bağlantılardan çağrılabilir.analytics_storage: denied'e döner, analitik çerezler ilgili tarayıcı tarafından silinir ve yeni GA isteği atılmaz; geçmiş işlemler hukuka aykırı hâle gelmez (geri çekme geçmişe etkili değildir).navigator.globalPrivacyControl === true veya Sec-GPC: 1 başlığı) sinyalini "açık rıza yokluğu" olarak yorumlar. Çerez onay bandı komut dosyası (cookie-banner.js) sayfa yüklemesinde detectAutoOptOut() fonksiyonu ile GPC'yi tespit eder; tespit hâlinde kullanıcıya onay bandı gösterilmeden denied tercihi otomatik uygulanır, Consent Mode v2 analytics_storage sinyali denied'e çekilir ve Firestore cerezOnayLog koleksiyonuna durum: 'denied' + kai-auto-optout-signal: 'gpc' kaydı düşülür. Veri satışı/paylaşımı gerçekleşmez.navigator.doNotTrack === '1' veya 'yes'), W3C tarafından terk edilmiş olsa da Platform bu sinyali GPC ile eşdeğer şekilde değerlendirir; aynı otomatik denied akışı uygulanır ve kayıt kai-auto-optout-signal: 'dnt' olarak düşülür.kai-analytics-consent anahtarı boşsa) durumlarda devreye girer. Kullanıcı dilediği zaman her sayfanın alt kısmındaki "Çerez Tercihleri" bağlantısı veya bölüm 7.3'teki "Çerez Tercihlerimi Yönet" düğmesi ile manuel olarak analitiği granted'e çevirebilir; bu manuel tercih GPC/DNT sinyaline göre önceliklidir ve 12 ay boyunca korunur.Tarayıcınızın ayarlarından çerezleri görüntüleyebilir, engelleyebilir veya silebilirsiniz. Resmi tarayıcı talimatları:
Google Analytics izlemesinden tüm web siteleri için ayrılmak isterseniz, Google'ın resmi Opt-out Browser Add-on'unu kullanabilirsiniz: tools.google.com/dlpage/gaoptout
Google gizlilik politikası: policies.google.com/privacy. Platform'da IP anonimleştirme (anonymize_ip) aktiftir; tam IP adresi Google'a iletilmez.
Uyarı: Zorunlu çerezleri devre dışı bırakmanız Platform'un kimlik doğrulama, oturum yönetimi ve güvenlik fonksiyonlarının çalışmamasına; hizmetin tamamen veya kısmen kullanılamamasına neden olabilir.
Platform, 18 yaşın altındaki kişilere yönelik hizmet sunmaz ve çerez kullanımı da bu kuralla tutarlıdır. Kullanıcı hesabı oluşturmak için 18 yaş doğrulaması zorunludur (KVKK Aydınlatma Metni Bölüm 12). Bir hesabın 18 yaş altı bireye ait olduğu tespit edilirse; ilgili hesap için yerleştirilen tüm çerez ve benzeri teknolojiler 30 gün içinde temizlenir, kullanıcı verileri silinir.
Platform tarafından yerleştirilen birinci taraf çerezleri, aşağıdaki güvenlik öznitelikleri ile korunur:
| Öznitelik | Değer / Uygulama | Amaç |
|---|---|---|
| HttpOnly | Kimlik doğrulama çerezlerinde aktif | JavaScript ile çerez okunmasını engeller (XSS koruması) |
| Secure | Tüm birinci taraf çerezlerinde aktif (yalnızca HTTPS) | Şifresiz HTTP üzerinden iletimi engeller |
| SameSite | Lax (varsayılan); hassas akışlarda Strict | Siteler arası istek sahteciliği (CSRF) koruması |
| Path | Gerekli en dar kapsam (/) | Çerezin yalnızca ilgili yol için gönderilmesini sağlar |
| Domain | kuryeai.com ve gerekli alt alan adları | Başka alan adlarına sızıntıyı engeller |
| Expires / Max-Age | Kategoriye göre (Bölüm 3 tablolarında spesifik) | Süresi dolan çerezin otomatik imhası |
| TLS 1.2+ | Tüm bağlantılar | Ağ katmanında şifreleme |
| CSP (Content Security Policy) | Vercel HTTP başlıkları ile uygulanır (script-src, connect-src, frame-ancestors) | Yetkisiz script kaynaklarının yüklenmesini engelleyerek XSS yoluyla dolaylı çerez enjeksiyonu ve veri sızıntısı saldırı yüzeyini daraltır |
Üçüncü taraf (Google Analytics) çerezleri, sağlayıcının kendi güvenlik bayraklarına tabidir; Platform bu ayarları yönetemez ancak yalnızca HTTPS üzerinden yüklenir.
Çerez ve benzeri teknolojiler aracılığıyla işlenen kişisel veriler bakımından 6698 sayılı KVKK md.11 kapsamındaki ilgili kişi haklarınız saklıdır. Kanun metni ile birebir uyumlu olarak:
Bu haklarınızı kullanmak için başvuru yöntem ve usulü KVKK Aydınlatma Metni Bölüm 14'te ayrıntılı düzenlenmiştir. Çerezlerle ilgili özel talepler için e-posta: info@kuryeai.com (konu: "Çerez — KVKK Başvurusu"). Başvurunuz en geç 30 gün içinde ücretsiz olarak sonuçlandırılır. Sonucu yetersiz bulmanız hâlinde Kişisel Verileri Koruma Kurulu'na (kvkk.gov.tr) şikâyet hakkınız saklıdır.
İşbu Çerez Politikası; yasal düzenlemeler, Kurul kararları, Platform'da kullanılan teknoloji değişiklikleri veya yeni üçüncü taraf servis eklenmesi hâlinde Platform tarafından güncellenebilir. Önemli değişikliklerde onay bandı yeniden gösterilir ve açık rıza sıfırlanır.
Not — iki farklı versiyon uzayı: Aşağıdaki tablodaki belge versiyon numarası (v2.X) bu yasal metnin revizyon numarasıdır ve her belge güncellemesinde artar. Öte yandan cookie-banner.js içindeki VERSION sabiti kullanıcı rızasının TTL anahtarıdır ve yalnızca rıza davranışını fiilen değiştiren revizyonlarda bump edilir (böylece belge-şeffaflık amaçlı rötuşlar tüm kullanıcıların banner'ının yeniden gösterilmesine neden olmaz — KVKK md.4/2-b orantılılık). Bu iki sayı bu nedenle eşit olmayabilir; belge her zaman güncel davranışı yansıtır.
| Versiyon | Yürürlük Tarihi | Değişiklik Özeti |
|---|---|---|
| v2.29 (güncel) | 10 Mayıs 2026 | Pixel Beyanı Düzeltmesi (B3 Round 6.2 sec audit) + 10+ localStorage envanteri + 3 yönetici aracı (Vercel/Hostinger/GitHub API) + landing_chat_logs koleksiyonu + client_errors koleksiyonu eklendi: (1) Bölüm 3 — pazarlama pikseli altyapı beyanı düzeltildi: önceki "kullanmamaktadır" mutlak ifadesi yerine "altyapı hazır, runtime aktif değil, ayrı opt-in rıza kategorisi olmadan veri iletilmez" açık beyanı. KVKK md.4/2-a (dürüstlük) + md.10 (şeffaflık) ihlali kapatıldı. (2) Bölüm 3.1/3.2 envantere eksik 10+ localStorage anahtarı eklendi: lc-sid (landing chatbot session), qnbDkUrl (admin QNB Köprü URL tercihi), kai-push-prompted-v1 (FCM prompt flag), kai-tour-*/kai-welcome-* (onboarding state), kai-wallet-context/kai-wallet-view/kai-balance-hidden (cüzdan UI), kai-utm/kai-ref/kai_ref (UTM/referrer capture — pazarlama rıza arkasında), ssd-hostinger-token (admin), pendingIzinciTalep (form taslağı), sticky-cta-dismissed (UI), draftTtlStamp (24 saat TTL imzası — Round 6.2 fix). (3) Bölüm 6.1 üçüncü taraf matrisine eklendi: api.vercel.com (admin deploy aracı), developers.hostinger.com (admin domain/SMTP yönetim), api.github.com/githubstatus.com (admin sistem durumu paneli) — yönetici araçları, son kullanıcı çerezi yerleştirmez. (4) landing_chat_logs koleksiyonu (90 gün TTL, KVKK md.5/2-f meşru menfaat — bot/destek analizi) ve client_errors koleksiyonu (30 gün TTL, error-tracker.js ile global JS hata yakalama — KVKK md.5/2-f meşru menfaat — operasyonel güvenlik) tanımlandı. Pixel beyanı esaslı değişiklik olduğu için cookie-banner.js VERSION 2.14 → 2.15 bump, 12 ay rıza yenileme tetikleneceği önceden duyurulur (Kurul 2021/§5.2 uygun). Yeni veri toplama, yeni 3. taraf entegrasyonu (pixel henüz aktif değil) yoktur — yalnızca şeffaflık iyileştirmesi + envanter tamamlama. v2.28 "(güncel)" etiketi v2.29'a devredildi. |
| v2.28 | 10 Mayıs 2026 | Veri Sorumlusu İletişim Telefonu Güncellendi: Veri sorumlusu / satıcı / hizmet sağlayıcı iletişim bölümlerinde geçen telefon numarası, kişisel cep numarasından kurumsal sabit hatta (Netgsm İletişim ve Bilgi Teknolojileri A.Ş. tarifesi "Standart T-1" ön ödemeli, 0 850 302 06 80, Hizmet Numarası 08503020680, e-Devlet Başvuru No 260510095329938, Sözleşme Tarihi 10.05.2026) güncellenmiştir. Veri kategorileri, işleme amaçları, hukuki dayanaklar (KVKK md.5/6 ve ilgili özel kanunlar) ve saklama süreleri değişmemiştir; yalnızca veri sorumlusu / satıcı tarafının yasal iletişim kanalında bir hat (kurumsal sabit telefon) eklenmiştir. KVKK md.10 şeffaflık ve md.4/2-a dürüstlük ilkesi gereği güncelleme yansıtılmıştır; ayrıca Mesafeli Sözleşmeler Yönetmeliği md.5/(1)/(b) (satıcının açık unvanı, MERSİS/vergi numarası, açık adresi, telefonu ve elektronik iletişim bilgileri) gereği satıcı kimlik verilerinin gerçek ve doğrulanabilir tutulması yükümlülüğü karşılanmıştır. Yeni veri toplama, 3. taraf entegrasyon, çerez davranışı veya yurt dışı aktarım değişikliği yoktur; daha önce verilen açık rızalar geçerliliğini korur, yeniden rıza tetiklenmez (Kurul Rehberi 2021/§5.2 esaslı değişiklik eşiğine girmez). v2.27 "(güncel)" etiketi v2.28'ye devredildi. |
| v2.27 | 09 Mayıs 2026 | Sanal POS sağlayıcısı QNBpay (Bölüm 6.1 — değişiklik metadata): Mesafeli Satış v3.14 ile birlikte sanal POS sağlayıcısı QNBpay → QNB Finansbank A.Ş. (QNBpay markası) olarak güncellendi. Çerez Politikası Bölüm 6.1 "Sanal POS hizmet sağlayıcısı" satırı zaten marka-isimsiz olarak tanımlanmıştı (T.C. — BDDK lisanslı ödeme kuruluşu, PCI-DSS Level 1 sertifikalı), bu nedenle çerez kategorileri/aktarılan veri/hukuki dayanak/yurt dışı durumu aynen korunmuştur. Webhook callback URL'i qnbpayCallback identifier'ı backend webhook contract'ı için sabit kaldı — sağlayıcı kimliğini yansıtmaz. Rıza davranışı değişmediği için cookie-banner.js VERSION bump edilmedi (KVKK Çerez Rehberi md.6 "esaslı değişiklik" eşiğine girmez — sağlayıcı değişikliği fonksiyonel olarak aynı kategori altında, T.C. merkezli BDDK lisanslı). v2.26 "(güncel)" etiketi v2.27'ye devredildi. |
| v2.26 | 08 Mayıs 2026 | Resend (ABD) ve ip-api.com Bölüm 6.1'e eklendi (Compliance Audit M2 + M3): Backend'in fiilen kullandığı iki üçüncü taraf servis önceden KVKK Aydınlatma Madde 7 aktarım tablosunda yer alıyor olmasına rağmen Çerez Politikası Bölüm 6.1 üçüncü taraf HTTP matrisinde belgelenmemişti — iki belge arasında iç tutarsızlık (KVKK md.4/2-a dürüstlük + md.10 şeffaflık ihlali). Bu sürümde iki satır eklendi: (1) api.resend.com/emails — Resend Inc. (ABD/Delaware) transactional e-posta gönderimi (kayıt onayı, e-posta doğrulama, şifre sıfırlama, ödeme makbuzu, KVKK md.11 başvuru cevabı, izinci eşleşme bildirimi, fatura PDF iletimi). Yalnızca Cloud Functions sunucu tarafı; çerez yerleştirmez. Hukuki dayanak: md.5/2-c sözleşmenin ifası (transactional e-posta hizmetin ayrılmaz parçası) + md.9/2 güvence (Resend DPA + SCCs); pazarlama e-postaları için ayrıca opt-in emailNotifications + List-Unsubscribe header. (2) ip-api.com/json/{ip} — ip-api.com (Avustralya/ABD) public IP geolocation: AdminAI panelinde admin'in incelediği şüpheli IP'lerden ülke/şehir/organizasyon bilgisi çekme (anti-fraud). Yalnızca admin paneli tarafı; kullanıcı kimliği eşleştirilmeden sadece IP aktarılır. Hukuki dayanak: md.5/2-f meşru menfaat (anti-fraud denetimi) + md.9/2 güvence (public stateless API, kalıcı saklama yok). Çerez davranışı değişmediği için cookie-banner.js VERSION bump edilmedi (KVKK Çerez Rehberi md.6 "esaslı değişiklik" eşiğine girmez — sadece şeffaflık iyileştirmesi). KVKK Aydınlatma v3.17'de (Madde 7) zaten yer alan satırlarla çapraz uyum tamamlanmıştır. v2.25 "(güncel)" etiketi v2.26'ya devredildi. |
| v2.25 | 07 Mayıs 2026 | Marka İsimsiz Sağlayıcı Tanımı (Bölüm 6.1 — Üçüncü Taraf HTTP Matrisi): Bölüm 6.1 üçüncü taraf HTTP matrisinde belirli marka isimleriyle anılan e-Belge entegratörü satırı, hizmet kategorisi bazlı genel ifadeye dönüştürülmüştür. Sağlayıcı tanımı, önceki sürümlerde yer alan marka adı yerine "e-Fatura/e-Arşiv entegrasyon uygulaması (T.C. yerleşik özel entegratör; Gelir İdaresi Başkanlığı yetkilendirmeli e-Belge sağlayıcısı)" olarak yazılmıştır. Endpoint URL'leri sağlayıcıya özel tanımdan fonksiyonel tanıma ("e-Fatura/e-Arşiv entegrasyon uygulaması REST API uç noktaları — OAuth 2.0 + müşteri/contact + satış faturası + e-arşiv kesim akışları") sadeleştirilmiştir. Marka isimsiz tanımlama, ileride sağlayıcı değişikliği halinde Çerez Politikası'nda teknik düzeltme zorunluluğunu ortadan kaldırmaktadır; aktarılan veri kategorileri, Cloud Functions tarafı çağrı yapısı (tarayıcıda çerez/JS yok), hukuki dayanaklar (md.5/2-a + md.8/2-a), saklama süresi (213 VUK md.253 — 10 yıl) ve yurt dışı aktarımın bulunmaması özellikleri aynen korunmuştur. KVKK md.10 şeffaflık ilkesi karşılanmaya devam etmekte; ilgili kişi başvurusu halinde aktarımın yapıldığı somut sağlayıcı kimliği KVKK Aydınlatma Metni Madde 11 başvuru kanalları üzerinden 30 gün içinde bildirilir (KVKK md.13/2). Çerez davranışı, Consent Mode sinyalleri veya rıza akışında değişiklik yoktur — yalnızca ifade biçimi sadeleştirmesidir; cookie-banner.js VERSION sabiti bump edilmedi (KVKK Çerez Rehberi md.6 "esaslı değişiklik" eşiğine girmez). KVKK Aydınlatma v3.16 → v3.17 ile aynı tarihte (07.05.2026) çapraz senkron sağlandı. v2.24 "(güncel)" etiketi v2.25'e devredildi. |
| v2.24 | 05 Mayıs 2026 | Anthropic PBC (ABD) AI Destekli Hizmet İyileştirmeleri Eklendi — Bölüm 6.1 üçüncü taraf HTTP matrisine yeni satır: KuryeAI platformuna 5 sprint AI entegrasyonu (log anomali tespiti, doğrulama belgesi vision OCR ön incelemesi, müşteri destek mesajı yanıt taslağı önerme, KVKK aylık uyum raporu üretimi, konuşma tabanlı admin asistanı) için Anthropic PBC (San Francisco, ABD — Claude API) eklendi. api.anthropic.com/v1/messages endpoint'i yalnızca Cloud Functions (sunucu tarafı) üzerinden çağrılır; tarayıcıdan doğrudan bağlantı kurulmaz, çerez yerleştirmez. Hukuki dayanak: md.9/1 açık rıza (Açık Rıza Metni Rıza 6) + md.5/1 açık rıza. Güvence: Anthropic DPA + SCCs + Zero Retention API kontratı (30 gün sonra otomatik silme, model eğitiminde kullanılmaz). PII redaksiyon Cloud Function katmanında uygulanır (UID son 4 hane, IP /24, e-posta domain only) — defense in depth. Rıza varsayılan KAPALI (opt-in); panel toggle ile anlık geri çekilebilir. Çerez davranışı değişmediğinden (tarayıcı tarafında çerez/JS yok — server-to-server çağrı) cookie-banner.js VERSION bump edilmedi (KVKK Çerez Rehberi md.6 "esaslı değişiklik" eşiğine girmez). KVKK Aydınlatma v3.15 + Açık Rıza Metni v3.4 ile çapraz uyum. v2.23 "(güncel)" etiketi v2.24'e devredildi. |
| v2.23 | 05 Mayıs 2026 | ANKESOB Esnaf Sicili Tescili (Veri Sorumlusu Bilgileri): Ankara Esnaf ve Sanatkârlar Odaları Birliği tarafından düzenlenen Esnaf ve Sanatkâr Sicil Tasdiknamesi (Belge No: 33542528) alındı; 5362 sayılı Esnaf ve Sanatkârlar Meslek Kuruluşları Kanunu md.65 kapsamında esnaf sicili tutma yükümlülüğü yerine getirildi. Veri Sorumlusu giriş paragrafına Sicil No: 474167, İş Yeri Adı KURYEAI TEKNOLOJİ, NACE Faaliyet Kodları (62.10.00 Bilgisayar programlama + 63.91.02 Web arama portalı), 05.05.2026 tarihli veriliş, 05.11.2026 geçerlilik ve resmi doğrulama URL'i (esbis.ticaret.gov.tr) eklendi. KVKK md.10 şeffaflık ilkesi (veri sorumlusu kimliğinin tam ve doğrulanabilir ilanı) ile çapraz uyum. Çerez kategorileri, 3. taraf sağlayıcılar, saklama süreleri veya rıza akışında değişiklik yoktur — yalnızca veri sorumlusu kimlik metadata zenginleştirmesidir; cookie-banner.js VERSION sabiti bump edilmedi (KVKK Çerez Rehberi md.6 "esaslı değişiklik" eşiğine girmez). KVKK Aydınlatma v3.14 + 7 hukuki belge ile aynı tarihte (05.05.2026) çapraz senkron. v2.22 "(güncel)" etiketi v2.23'e devredildi. |
| v2.22 | 27 Nisan 2026 | ETBİS Kaydı Tamamlandı (Veri Sorumlusu Bilgileri): T.C. Ticaret Bakanlığı Elektronik Ticaret Bilgi Sistemi tescili tamamlandı. Giriş paragrafında yer alan veri sorumlusu kimlik bloku güncellendi: ETBİS Site Kayıt No: 8033996605 ve resmi doğrulama URL'i (etbis.ticaret.gov.tr) eklendi. KVKK md.10 şeffaflık ilkesi (veri sorumlusu kimliğinin tam ve doğrulanabilir ilanı) ile tam uyum. Çerez kategorileri, 3. taraf sağlayıcılar, saklama süreleri, Consent Mode mantığı veya rıza akışında değişiklik yoktur — yalnızca veri sorumlusu metadata eklentisidir; bu nedenle cookie-banner.js VERSION sabiti bump edilmedi (rızanın yeniden alınmasını gerektiren değişiklik değildir, KVKK Çerez Rehberi md.6 "esaslı değişiklik" eşiğine girmez). KVKK Aydınlatma v3.11 ile çapraz uyum sağlandı. v2.21 "(güncel)" etiketi v2.22'ye devredildi. |
| v2.21 | 26 Nisan 2026 | e-Fatura/e-Arşiv entegrasyonu — Bölüm 6.1 üçüncü taraf HTTP matrisine e-Fatura/e-Arşiv entegrasyon uygulaması (T.C. yerleşik özel entegratör; GİB yetkilendirmeli e-Belge sağlayıcısı) satırı eklendi. Endpoint'ler yalnızca Cloud Functions tarafında çağrılır, tarayıcıdan doğrudan bağlantı kurulmaz, çerez yerleştirmez. Akış: OAuth 2.0 token → contacts → sales_invoices → e_archives. PDF link'i e-posta sağlayıcısı üzerinden müşteri e-posta adresine gönderilir. Aktarılan veri: ad-soyad/unvan, VKN/TCKN, vergi dairesi, e-posta, telefon, fatura kalemi, tutar (KDV ayrıştırmalı). Hukuki dayanak: md.5/2-a (213 VUK md.231 fatura kesim zorunluluğu) + md.8/2-a (sözleşmenin ifası). Yurt dışı aktarımı yoktur (entegrasyon uygulaması T.C. merkezli). Saklama 213 VUK md.253 — 10 yıl. Rıza davranışı değişmediği için cookie-banner.js VERSION bump edilmedi (kanun zorunluluğu — açık rıza gerektirmez). |
| v2.20 | 25 Nisan 2026 | Sanal POS entegrasyonu — Bölüm 6.1 üçüncü taraf HTTP matrisine sanal POS hizmet sağlayıcısı (T.C. — BDDK lisanslı ödeme kuruluşu, PCI-DSS Level 1 sertifikalı) satırı eklendi: token endpoint (Cloud Function tarafı), iframe ödeme arayüzü (tarayıcı tarafı, sağlayıcı alanında), webhook callback (europe-west1-kuryeai-99bf9.cloudfunctions.net/qnbpayCallback). Sağlayıcı çerezleri yalnızca sağlayıcı alanında set edilir — KuryeAI alanına iletilmez. Kart numarası, CVV, son kullanma tarihi yalnızca sanal POS sağlayıcısında işlenir; KuryeAI sistemine iletilmez ve saklanmaz. Vercel CSP frame-src ve script-src direktiflerine sağlayıcının ödeme alanı eklendi. Hukuki dayanak: md.5/2-c sözleşmenin ifası (ödeme tahsilatı zorunlu) + md.8/2-a (sözleşmenin ifası için aktarım). Yurt dışı veri aktarımı yoktur (sağlayıcı T.C. merkezli). Mevcut Banka Havalesi/EFT/FAST yöntemi kaldırılmamış, korunmuştur; Alıcı iki yöntemden birini seçebilir. Rıza davranışı değişmediği için cookie-banner.js VERSION bump edilmedi (kart ödeme dayanağı sözleşmenin ifası — açık rıza gerektirmez). |
| v2.19 | 23 Nisan 2026 | WhatsApp Business Cloud API entegrasyonu — Bölüm 6.1 üçüncü taraf HTTP matrisine Meta Platforms Ireland Ltd (graph.facebook.com) satırı eklendi. Cloud Functions sunucu tarafında çalışır, tarayıcıdan doğrudan bağlantı kurulmaz, çerez yerleştirmez. Hukuki dayanak: md.5/1 açık rıza + md.9/1 açık rıza (yurt dışı). Rıza davranışı değişmediğinden cookie-banner.js VERSION bump edilmedi. |
| v2.18 | 23 Nisan 2026 | Mükellefiyet kaydı tamamlandı: Veri sorumlusu bilgileri güncellendi — Vergi Dairesi/No (Çankaya VD / 4580632882) giriş paragrafına eklendi. |
| v2.17 | Nisan 2026 | Açık rıza denetim zinciri (KVKK md.4/2-a ispat yükümlülüğü) — api.ipify.org public IP servisi Bölüm 6.1 üçüncü taraf HTTP matrisine eklendi. acik-riza-metni v2.6 Bölüm 11 gereği izinci-kurye panelinde dört granular rıza (Kimlik / Yurt Dışı / GPS / Pazarlama) verme veya geri alma anında kullanıcının IP adresi users/{uid}/consentLog immutable subcollection'a yazılmak üzere ipify üzerinden alınır. Servis çerez yerleştirmez, yalnızca IP döner; md.5/2-f meşru menfaat (rıza ispatı) + md.9/2 güvence dayanağı. Vercel CSP connect-src'a https://api.ipify.org eklendi. Rıza davranışı değişmediği için cookie-banner.js VERSION bump edilmedi. |
| v2.16 | Nisan 2026 | Runtime denetimi şeffaflık rötuşu — Bölüm 12.1'e iki farklı versiyon uzayı açıklayıcı notu eklendi: belge versiyon numarası (v2.X) ile cookie-banner.js VERSION sabiti farklı kavramlardır; ilki yasal metnin revizyon numarası, ikincisi kullanıcı rızası TTL anahtarıdır (yalnızca rıza davranışını değiştiren revizyonlarda bump edilir — KVKK md.4/2-b orantılılık gereği salt belge-şeffaflık rötuşları tüm kullanıcıların banner'ının yeniden tetiklenmesine sebep olmaz). Bu rötuş belge-kod dürüstlük tutarlılığı (md.4/2-a) kapsamında açıklama niteliğindedir; herhangi bir rıza davranışı değişmemiştir. |
| v2.15 | Nisan 2026 | Runtime denetimi — TomTom API belgesi eklendi: TomTom N.V. (Hollanda, AB) rota hesaplama, trafik, geocoding ve yola yapıştırma servisleri Vercel sunucu tarafı proxy (/api/tomtom-proxy) üzerinden kullanılıyor; tarayıcıdan doğrudan api.tomtom.com'a bağlantı kurulmaz, kullanıcı IP'si TomTom'a iletilmez, çerez yerleştirilmez. KuryeAI, RestoranAI, AcilKuryeAI ve AdminAI panellerinde harita/navigasyon için zorunludur. md.5/2-c sözleşmenin ifası + md.9/2 AB yeterli koruma dayanağıyla Bölüm 6.1'e eklendi. Artık Platform'un tüm sunucu tarafı API çağrıları (proxy üzerinden bile) eksiksiz belgeli. |
| v2.14 | Nisan 2026 | Runtime uyum denetimi — belge–kod bütünlük rötuşları (KVKK md.4/2-a "hukuka ve dürüstlük kuralına uygunluk"): (1) GPC/DNT çalışma zamanı koruması: Bölüm 7.4'te Platform'un Global Privacy Control ve Do Not Track sinyallerine saygı gösterdiği yazılıydı; ancak cookie-banner.js kodunda bu sinyalleri okuyan bir fonksiyon yoktu, belge söz verip kod yerine getirmiyordu. detectAutoOptOut() fonksiyonu eklendi — navigator.globalPrivacyControl ve navigator.doNotTrack / window.doNotTrack / navigator.msDoNotTrack değerleri okunur; manuel rıza yoksa otomatik denied uygulanır, onay bandı hiç gösterilmez, Firestore cerezOnayLog'a kai-auto-optout-signal alanı ile kayıt düşülür. Artık belge söz verdiği davranışı kodda birebir yerine getiriyor. (2) "Fonksiyonel" toggle uyum düzeltmesi: Tercihleri Yönet modalındaki "Fonksiyonel Çerezler" anahtarı görsel olarak aç/kapat yapılabiliyor gibi duruyor ancak kaydetme mantığı yalnızca analitik durumunu okuyordu — kullanıcı yanıltılıyor, kaydedilen değer görünenle uyuşmuyordu (KVKK md.4/2-a dürüstlük ve md.10 şeffaflık ihlali). Düzeltildi: Fonksiyonel satır artık "Zorunlu" gibi disabled ve kalıcı açık durumda; modal açıklaması "Zorunlu ve fonksiyonel çerezler Platform'un çalışması için meşru menfaat kapsamında her zaman aktiftir (KVKK md.5/2-f); yalnızca Analitik kategorisi aç/kapat yapılabilir" olarak netleştirildi. Bölüm 7.3 metni de bu gerçek davranışla hizalandı. |
| v2.13 | Nisan 2026 | Bölüm 6.1 son kapsama: OSRM (Open Source Routing Machine) rota hesaplama servisi eklendi. router.project-osrm.org — AcilKuryeAI talep formunda iki GPS koordinatı arasında sürüş rotası ve mesafe hesabı için kullanılıyor; stateless HTTP, çerez yerleştirmez; yalnızca IP, UA ve koordinat bilgisi sunucu loglarına düşer. Sağlayıcı HeiGIT (Heidelberg, Almanya — AB içi), KVKK md.9/2 güvence ve md.5/2-c sözleşmenin ifası dayanaklarıyla işlenir. Artık Platform'un tüm harici HTTP çağrıları (çerezli veya çerezsiz) belge içinde atomik olarak listeli; hiçbir 3. taraf veri akışı belgelenmemiş değil. |
| v2.12 | Nisan 2026 | Firebase SDK yan servislerinin kapsaması (daha önce belgelenmemiş) + kod uyum düzeltmesi: firebase-services.js dosyasının 16 panel/login sayfasında tetiklediği Firebase servisleri belgeye eklendi — (1) reCAPTCHA Enterprise / App Check: _GRECAPTCHA HTTP çerezi (Google, ~6 ay) + rc::* localStorage skor cache — bot tespiti / güvenlik (md.5/2-f meşru menfaat; Kurul Rehberi güvenlik çerezlerini rıza aranmadan kullanılabilir sayar). (2) Firebase Performance Monitoring: sayfa yükleme süresi, ağ çağrısı performansı gibi teknik telemetri (md.5/2-f meşru menfaat — altyapı güvenilirliği). (3) Firebase Remote Config: bakım modu banner'ı, duyuru metni için sunucu-tarafı konfig IndexedDB'de 1 saat cache edilir (md.5/2-c sözleşmenin ifası). Kod uyum düzeltmesi: firebase-services.js içinde getAnalytics(app) + logEvent('page_view', ...) çağrıları KALDIRILDI — manuel analytics.js zaten G-1M5VL9Z27Z'yi Consent Mode v2 ile rızaya bağlı olarak yönettiğinden, Firebase SDK üzerinden paralel çağrı hem çift page_view üretiyor hem de rıza kapısını bypass ediyordu (KVKK md.4/2-b orantılılık + md.4/2-c amaç sınırlaması ihlali). Artık Platform'da tek bir GA4 yolu var; rıza verilene kadar hiçbir analitik olay atılmaz. |
| v2.11 | Nisan 2026 | Gerçek trafik davranışıyla iki rötuş: (1) GA4 throttling çerezleri gerçek isimleriyle yazıldı — önceki _gid (Universal Analytics / GA3 kalıntısı) ve jenerik _gat satırları kaldırıldı; yerine GA4 gtag.js'in gerçekten set ettiği _gat_gtag_G_1M5VL9Z27Z ve _gat_gtag_G_066PZHNLHD satırları eklendi. Belge artık gerçek GA4 davranışıyla birebir. (2) Bölüm 6.1 "Çerez Yerleştirmeyen Üçüncü Taraf HTTP İstekleri" eklendi — Platform'un harita (OSM tiles + Nominatim geocoding), hava (Open-Meteo), yazı tipi (Google Fonts) ve CDN (unpkg Leaflet, jsdelivr Chart.js) servislerine stateless HTTP istekleri yaptığı, bu servislerin çerez/fingerprinting yerleştirmediği ancak sunucu loglarında IP/UA göründüğü KVKK md.9 şeffaflık ilkesi gereği atomik olarak listelendi. SRI ile CDN bütünlüğü doğrulaması açıklandı. Artık hiçbir 3. taraf veri akışı belge dışında kalmıyor. |
| v2.10 | Nisan 2026 | Envanter kapanış rötuşu — panel-native paylaşılan JS ve alt panel anahtarları eklendi (Kurul Rehberi "kullanılan her çerez/benzer teknoloji listelenmeli" şartının son kapsaması). (1) Bölüm 3.1'e 3 yeni satır: PWA yükle banner kapatma kaydı (ka-pwa-install-dismissed, 7 gün), biyometrik kimlik bilgisi referansı (kai-biometric-cred, sessionStorage — WebAuthn credential ID; ham biyometrik veri tutulmaz), broadcast popup görüldü işareti (bc_seen_{talepId}_{uid}, sessionStorage). (2) Bölüm 3.2'ye 3 yeni satır: kullanıcı tercihleri (kai-user-prefs — Ayarlar ekranından girilen ~40 alanlı yerel tercih JSON'u, tüm paneller), izinci işveren ilan şablonları (izinci_talep_sablonlar_v1), izinci kurye streak (iz-streak — art arda çevrimiçi gün sayısı). Her satırda veri kategorisi, KVKK dayanağı (md.5/2-c, md.5/2-f veya md.5/1) ve imha yöntemi mevcut. Envanter artık gerçek kod tabanıyla %100 hizalı; belgelenmemiş localStorage/sessionStorage anahtarı kalmadı. |
| v2.9 | Nisan 2026 | Envanter tam kapsama çekildi (Kurul Rehberi "kullanılan her çerez listelenmeli"): Daha önce belgelenmemiş olan panel-spesifik yerel anahtarların tamamı envantere eklendi. (1) Bölüm 3.1'e 5 yeni kategorize satır: panel fonksiyonel tercih grubu (14 anahtar — tema/ses/filtre/gizlenen ilan/hedef takibi/bildirim ID/onboarding), restoran offline sipariş kuyruğu (_offlineOrders_*), restoran sekme önbelleği (_rest_couriers_cache, _rest_settings_cache), form taslakları (7 sessionStorage anahtarı — kayıt/giriş/ilan formu kurtarma), iletişim formu rate-limit (kai-contact-ts). (2) Bölüm 3.2'ye 4 yeni satır: kullanıcı notları ve özel mesajlar (izinci-notepad, _kuryeQuickMsgs), QRMenu müşteri adı (_qr_name_*), admin araçları yerel cache (6 anahtar), demo oturum kimliği (demoSessionId). (3) Bölüm 3.3.1 eklendi: ssd-vercel-token yalnızca yönetici aracı olarak şeffaflık amacıyla belirtildi (son kullanıcı çerezi değil). Toplam 35+ anahtar artık belgede atomik olarak listeleniyor. Her satırda veri kategorisi, KVKK dayanağı ve imha yöntemi mevcut. |
| v2.8 | Nisan 2026 | Panel dosyalarında çifte GA mülkü yüklemesi temizlendi (KVKK md.4/2-b orantılılık): izincikuryeai-izinci-panel.html ve izincikuryeai-isveren-panel.html dosyaları hem ana platform mülkünü (G-1M5VL9Z27Z) hem de blog/içerik mülkünü (G-066PZHNLHD) yüklüyordu. Belge Bölüm 3.3 kapsam tanımına (ana platform mülkü panellere aittir, blog mülkü yalnızca içerik sayfalarına aittir) ve KVKK md.4/2-b "amaçla bağlantılı, sınırlı ve ölçülü" ilkesine aykırı olan blog mülkü yüklemeleri kaldırıldı. Böylece _gtagGrantConsent global fonksiyon üzerine yazımı ve çift page_view olay tetiklemesi de önlendi. Paneller artık yalnızca ana platform mülkünü kullanır. |
| v2.7 | Nisan 2026 | Belge–Kod uyum düzeltmesi (KVKK md.4/2-c amaç sınırlaması): Çerez Politikası Bölüm 7.2 matrisi "reklam sinyalleri kalıcı denied" taahhüdünü veriyor olmasına rağmen önceki analytics.js ve analytics-blog.js implementasyonu kullanıcı "Kabul" dediğinde ad_storage, ad_user_data, ad_personalization sinyallerini de granted'e çeviriyordu. Bu uyumsuzluk KVKK md.4/2-c amaç sınırlaması ve Kurul Rehberi "rıza istenen amaçla sınırlıdır" ilkesine aykırıydı. Düzeltildi: _gtagGrantConsent ve _gtagDenyConsent fonksiyonları artık yalnızca analytics_storage sinyalini günceller; reklam sinyalleri her koşulda varsayılan denied durumunda kalır. Belge ile implementasyon tam uyumlu. |
| v2.6 | Nisan 2026 | Analitik envanter tamamlama: Blog ve içerik sayfalarında yüklenen ikinci GA4 mülkü (G-066PZHNLHD) için oluşan _ga_066PZHNLHD çerezi Bölüm 3.3 envanterine eklendi; iki GA4 mülkünün (ana platform + içerik) kapsamları ve Consent Mode v2 ile ortak rıza sinyaline bağlı oldukları şeffaflaştırıldı. Kurul Rehberi "kullanılan her çerez listelenmeli" şartı eksiksiz karşılandı. |
| v2.5 | Nisan 2026 | Denetim ispat zinciri ve Consent Mode v2 tam şeffaflık: (1) Rıza denetim logu (cerezOnayLog) için KVKK md.4/2-d orantılılık ve md.7/3 uyumlu saklama süresi tanımlandı — rıza süresi (12 ay) aktif + rıza yenilenmediğinde veya geri çekildiğinde +3 yıl arşiv (TBK md.146 zamanaşımı tamponu); süre sonunda anonimleştirme/silme zorunlu; (2) Google Consent Mode v2'nin tüm 7 sinyali (ad_storage, ad_user_data, ad_personalization, analytics_storage, functionality_storage, personalization_storage, security_storage) varsayılan/rıza sonrası matrisi ile Bölüm 7.2'de atomik olarak listelendi — reklam ilişkili dört sinyalin kalıcı denied olduğu, Platform'da pazarlama çerezi bulunmadığı şeffaflaştırıldı; wait_for_update: 500, anonymize_ip: true gibi teknik parametreler açıklandı. |
| v2.4 | Nisan 2026 | Hukukçu onayı mikro rötuşları: (1) Çerez envanteri tam kapsama çekildi — kai-guest-id (misafir rastgele kimliği) ve kai-analytics-consent-at (rıza zaman damgası) Bölüm 3.2'de ayrı satır olarak listelendi; (2) KVKK md.11 hakları kanun metni ile birebir uyumlu olarak 8 bent hâlinde (a-ğ) genişletildi — "aktarım alıcılarını bilme", "işleme amacını öğrenme", "düzeltme/silme bildiriminin üçüncü kişilere iletilmesini isteme" bentleri eklendi; (3) Güvenlik tablosundaki CSP açıklaması teknik olarak doğru ifadeye çevrildi — CSP'nin doğrudan çerez değil, script-src/connect-src ile yetkisiz script yüklemesini engelleyerek XSS yoluyla dolaylı çerez enjeksiyonunu önlediği netleştirildi. |
| v2.3 | Nisan 2026 | Denetim izlenebilirliği ve her ziyarette erişim: (1) Çerez rıza kayıtları için append-only Firestore koleksiyonu cerezOnayLog eklendi — misafir kullanıcılar dâhil her rıza olayı (granted/denied) sunucu tarafında zaman damgası, sayfa, user agent ve rastgele misafir kimliği ile saklanır; güncelleme/silme yasak, yalnızca admin okur (Firestore rules zorunluluğu); (2) Doküman'daki Firebase çerez listesi gerçek SDK anahtarlarıyla hizalandı: firebase:authUser:*, firebaseLocalStorageDb, firebase-heartbeat-database, firebase-installations-database, firebase-messaging-database; (3) Her sayfanın footer'ına otomatik enjekte edilen "Çerez Tercihleri" bağlantısı eklendi — Kurul Rehberi "her zaman erişilebilir" şartı; (4) Ek hukuki sayfalara (KVKK, Kullanım Koşulları, İade, Hizmet Sözleşmesi, Mesafeli Satış, Gizlilik, Açık Rıza) ortak bileşen entegre edildi. |
| v2.2 | Nisan 2026 | Site genelinde bilgilendirme ve kategori bazlı rıza: (1) Çerez onay bandı ortak bileşene dönüştürüldü (/cookie-banner.js) ve Google Analytics yükleyen tüm sayfalara (46 sayfa) dahil edildi — Kurul Rehberi "bilgilendirme yükümlülüğü" her ziyaret noktasında karşılanır; (2) Blog ve içerik sayfalarında kullanılan G-066PZHNLHD GA mülkü Consent Mode v2 ile hizalandı (/analytics-blog.js) — varsayılan denied; (3) "Tercihleri Yönet" modalı eklendi: Zorunlu / Fonksiyonel / Analitik kategorileri bağımsız aç/kapat + ESC ile kapatma + tema uyumlu; (4) Firestore rıza kaydı alanları şeffaflaştırıldı (users/{uid}: cerezOnayi, cerezOnayiAt, cerezOnayiVersiyon). |
| v2.1 | Nisan 2026 | Uyum sertleştirmeleri: Google Analytics 4 ölçüm kimliği (G-1M5VL9Z27Z) şeffaf yazıldı; FCM token hukuki dayanağı md.5/1 açık rıza olarak düzeltildi; cookie banner Consent Mode v2 ile entegre edildi; 12 ay rıza süresi + versiyon bazlı yenileme teknik olarak uygulandı. |
| v2.0 | Nisan 2026 | Enterprise/hukukçu seviyesine çıkarma: Kurul Rehberi atfı, tanımlar tablosu, yasal çerçeve, 5 kategori (zorunlu/fonksiyonel/analitik/pazarlama/sosyal), 9-sütunlu detaylı çerez tabloları, benzer teknolojiler (localStorage/IndexedDB/Service Worker), anti-tracking beyanları (fingerprinting yok), yurt dışı aktarım matrisi, cookie banner 3-seçenek + GPC/DNT desteği, 7 tarayıcı talimat linki, çocuk gizliliği, güvenlik bayrakları (HttpOnly/Secure/SameSite), KVKK md.11 + Kurul şikâyet yolu, dil/yorum klozu. |
| v1.0 | Ocak 2026 | İlk yayınlama — temel çerez politikası. |
Önceki versiyonlara erişim için info@kuryeai.com adresinden "Çerez Politikası Önceki Versiyon Talebi" konusuyla başvurulabilir; talep 7 iş günü içinde PDF olarak yanıtlanır.
İşbu Çerez Politikası'nın bağlayıcı dili Türkçedir. Metnin yabancı dile çevirisi kolaylık amaçlıdır ve resmi nitelik taşımaz; Türkçe ile çeviri arasında farklılık, çelişki veya yorum boşluğu bulunması hâlinde Türkçe metin esas alınır. Uyuşmazlıklarda 6698 sayılı KVKK, ikincil mevzuat ve KVKK Kurulu kararları esas alınır; Kişisel Verileri Koruma Kurulu'nun yetkisi ve Türkiye Cumhuriyeti mahkemelerinin görev ve yetkisi saklıdır.
Çerez politikamız hakkında sorularınız ve başvurularınız için: info@kuryeai.com (konu: "Çerez").
İletişim: info@kuryeai.com | 0 850 302 06 80 | Kızılırmak Mah. Dumlupınar Bulvarı YDA Center No:9 A3 Blok 5. Kat No: 158 Çankaya/Ankara