1. Giriş
Strata Veritate LLC (“Şirket”, “biz” veya “bizim”), Spendlens mobil uygulamasını (“Uygulama”) işletmektedir. Bu Gizlilik Politikası, Uygulamayı kullandığınızda bilgilerinizi nasıl topladığımızı, kullandığımızı, açıkladığımızı ve koruduğumuzu açıklamaktadır.
Gizliliğinizi ve finansal verilerinizi korumayı taahhüt ediyoruz. Bu politika; California Tüketici Gizliliği Yasası (CCPA), uygulanabilir olduğu durumlarda Genel Veri Koruma Tüzüğü (GDPR) ve Apple App Store İnceleme Yönergeleri dahil olmak üzere geçerli veri koruma yasalarına uyum sağlamak amacıyla hazırlanmıştır.
Lütfen bu Gizlilik Politikasını dikkatle okuyunuz. Uygulamayı kullanarak burada açıklanan uygulamaları kabul etmiş olursunuz. Bu politikayı kabul etmiyorsanız lütfen Uygulamayı kullanmayınız.
2. Topladığımız Bilgiler
2.1 Doğrudan sağladığınız bilgiler
| Veri kategorisi | Örnekler | Amaç |
|---|---|---|
| Hesap bilgileri | Ad, e-posta adresi, profil fotoğrafı URL'si | Hesap oluşturma, kimlik doğrulama ve iletişim |
| Finansal veriler | İşlemler, tutarlar, işyerleri, kategoriler, notlar, bütçeler, tasarruf hedefleri, yatırım pozisyonları ve maliyet esası | Uygulamanın temel işlevselliği: bütçeleme, takip ve analiz |
| Hesap ayarları | Tercih edilen para birimi, dil, bildirimler, tema ve erişilebilirlik | Kişiselleştirme ve kullanıcı deneyimi |
2.2 Üçüncü taraf hizmetleri aracılığıyla toplanan bilgiler
2.2.1 Plaid (banka senkronizasyonu; yalnızca Pro+Connect)
Banka senkronizasyonunu etkinleştirirseniz Plaid, Inc. aşağıdaki bilgileri toplar ve bize iletir:
- Hesap adları, türleri ve bakiyeleri;
- İşlem geçmişi (tutarlar, tarihler, işyerleri ve kategoriler);
- Yalnızca tanımlama amacıyla maskelenmiş hesap ve yönlendirme numarası parçaları;
- Kurum adları ve logoları.
Banka erişim kimlik bilgilerinizi almıyor veya saklamıyoruz. Plaid erişim token'ları yalnızca sunucu tarafı altyapımızda (Google Secret Manager ile Firebase Cloud Functions) saklanır ve asla cihazınıza iletilmez veya cihazınızda depolanmaz.
Plaid'in uygulamaları hakkında bilgi almak için: Plaid Gizlilik Politikası
2.2.2 Firebase Hizmetleri (Google)
| Hizmet | İşlenen veriler | Amaç |
|---|---|---|
| Firebase Authentication | E-posta, kimlik doğrulama sağlayıcı tanımlayıcıları, token'lar | Güvenli kimlik yönetimi |
| Cloud Firestore | Plaid senkronizasyon meta verileri, abonelik durumu, Aperture bağlantı meta verileri, promosyon kodları ve analitik sağlık metrikleri | Sunucu tarafı veri koordinasyonu |
| Firebase Cloud Functions | Plaid API proxy çağrıları, abonelik doğrulama, Aperture yönetimi, piyasa veri proxy'si ve push bildirim iletimi | Güvenli sunucu tarafı iş mantığı |
| Firebase Analytics | Anonim ürün kullanım olayları (etkileşimler, görüntülenen ekranlar, oturum verileri) | Ürün iyileştirme ve performans izleme |
| Firebase Crashlytics | Çökme raporları, cihaz modeli, işletim sistemi sürümü, uygulama sürümü ve yığın izleri | Kararlılık ve hata düzeltme |
| Firebase Cloud Messaging (FCM) | Cihaz push token'ları | Bildirim iletimi |
| Firebase App Check | Cihaz doğrulama token'ları | Kötüye kullanımı ve yetkisiz API erişimini önleme |
Firebase Analytics ve Crashlytics verileri Google'ın veri işleme koşulları kapsamında işlenir. Firebase Analytics'i reklam veya reklam hedefleme amacıyla kullanmıyoruz.
2.2.3 Apple Hizmetleri
| Hizmet | İşlenen veriler | Amaç |
|---|---|---|
| iCloud (CloudKit) | Özel CloudKit veritabanınızla senkronize edilen şifreli finansal veriler | Cihazlar arası senkronizasyon |
| StoreKit | Abonelik durumu, işlem makbuzları ve Apple ID hesap token'ı | Uygulama içi satın alma yönetimi |
| Apple ile Giriş Yap | Apple kullanıcı tanımlayıcısı, isteğe bağlı ad ve relay e-posta | Kimlik doğrulama |
| Apple Push Notification Service (APNs) | Cihaz token'ları ve bildirim payload'ları | Yerel ve uzak bildirim iletimi |
2.3 Otomatik olarak toplanan bilgiler
| Veri kategorisi | Ayrıntı | Amaç |
|---|---|---|
| Cihaz bilgileri | Cihaz modeli, işletim sistemi sürümü ve uygulama sürümü (Crashlytics aracılığıyla) | Uyumluluk ve çökme tanılama |
| Kullanım analitiği | Özellik kullanım kalıpları, oturum süresi ve görüntülenen ekranlar (anonimleştirilmiş) | Ürün iyileştirme |
| Performans verileri | Başlangıç süreleri, hata oranları ve çökme sıklığı | Performans optimizasyonu |
2.4 Toplamadığımız bilgiler
- Reklam tanımlayıcıları (IDFA): reklam tanımlayıcılarını kullanmıyoruz.
- Konum verileri: GPS, Wi-Fi veya hücresel konum bilgilerine erişmiyor ve toplamıyoruz.
- Rehber: kişilerinize, arama kayıtlarınıza veya mesajlarınıza erişmiyoruz.
- Biyometrik veriler: Face ID ve Touch ID tamamen cihazınızda Apple'ın LocalAuthentication çerçevesi aracılığıyla işlenir. Biyometrik şablonları hiçbir zaman almıyor, iletmiyor veya saklamıyoruz.
- Tarama geçmişi: web etkinliğinizi izlemiyoruz.
- Mikrofon veya kamera: kamera yalnızca siz fiş taramayı başlattığınızda kullanılır. Görüntüler Apple Vision ile bellekte işlenir ve asla kaydedilmez, yüklenmez veya iletilmez.
3. Bilgilerinizi Nasıl Kullanıyoruz
3.1 Temel hizmet sunumu
- Kişisel finansal takip, bütçeleme ve analiz özellikleri sağlamak;
- Verilerinizi kişisel iCloud hesabınız üzerinden cihazlarınız arasında senkronize etmek;
- İşlemleri işlemek ve kategorize etmek;
- Finansal tahminler, nakit akışı analizleri ve net varlık hesaplamaları üretmek;
- Aboneliğinizi ve hesabınızı yönetmek.
3.2 Hizmet iyileştirme
- Özellikleri ve deneyimi geliştirmek için anonimleştirilmiş kullanım kalıplarını analiz etmek;
- Uygulama kararlılığını izlemek ve çökmeleri ile hataları düzeltmek;
- Geliştirme önceliklendirmesini bilgilendirmek için özellik benimseme oranlarını ölçmek.
3.3 İletişim
- Etkinleştirdiğiniz push bildirimlerini göndermek (bütçe uyarıları, ödeme hatırlatıcıları, hedef dönüm noktaları vb.);
- Hizmetle ilgili bildirimleri göndermek (abonelik durumu, güvenlik uyarıları).
3.4 Güvenlik
- Kimliğinizi doğrulamak;
- Firebase App Check aracılığıyla dolandırıcılığı ve yetkisiz erişimi önlemek;
- Şüpheli etkinlikleri izlemek.
4. Cihaz Üzerinde İşleme ve Makine Öğrenimi
Spendlens'in temel mimari ilkelerinden biri cihaz üzerinde işleme yoluyla veri minimizasyonudur.
4.1 Cihaz üzerinde makine öğrenimi
Tüm makine öğrenimi özellikleri tamamen cihazınızda çalışır:
- İşlem kategorizasyonu: CoreML BERT modelleri yerel olarak sınıflandırma yapar;
- Akıllı yineleme tespiti: kalıp tanıma cihaz üzerinde gerçekleştirilir;
- İşyeri tanımlama: sezgisel ve ML eşleştirmesi yerel olarak yapılır;
- Fiş OCR: Apple Vision görüntüleri bellekte işler; görüntüler asla kalıcı olarak kaydedilmez veya iletilmez.
Çıkarım veya eğitim amacıyla kendi sunucularımız dahil hiçbir harici makine öğrenimi hizmetine finansal veri gönderilmez.
4.2 Cihaz üzerinde veri depolama
Temel finansal verileriniz (işlemler, bütçeler, hesaplar, hedefler ve pozisyonlar) SwiftData kullanılarak cihazda depolanır ve isteğe bağlı olarak iCloud'daki özel CloudKit veritabanınızla senkronize edilir. Bu veriler iCloud hesabınızda bulunur ve Apple'ın gizlilik ve güvenlik uygulamalarına tabidir; CloudKit verilerinize sunucu tarafından erişimimiz yoktur.
5. Şifreleme ve Güvenlik
5.1 Bekleyen veri şifrelemesi
- Cihazda: tüm yerel veriler iOS'un donanım şifrelemesinden yararlanır. Hassas öğeler
kSecAttrAccessibleWhenUnlockedThisDeviceOnlykorumasıyla Keychain'de saklanır. - Hiyerarşik anahtar mimarisi: Uygulama, Secure Enclave destekli bir kök anahtar, ardından bir Anahtar Şifreleme Anahtarı (KEK) ve her kayıt için bir İçerik Şifreleme Anahtarı (CEK) kullanarak hassas verileri AES-256-GCM ile şifreler.
- iCloud: CloudKit tarafından senkronize edilen veriler Apple'ın standartlarına uygun olarak bekleyen durumda şifrelenir.
- Sunucu tarafı: Firestore'daki veriler Google Cloud'un varsayılan şifrelemesiyle bekleyen durumda şifrelenir. Plaid token'ları ek erişim kontrolleriyle Google Secret Manager'da saklanır.
5.2 Aktarım halinde şifreleme
Tüm ağ iletişimleri TLS 1.2 veya üstünü kullanır. App Transport Security (ATS) etkinleştirilmiştir; düz metin HTTP bağlantılarına izin verilmez.
5.3 Aperture uçtan uca şifreleme
Aperture aracılığıyla paylaşılan veriler uçtan uca şifrelemeyle korunur:
- Anahtar anlaşması: P256 Eliptik Eğri Diffie-Hellman (ECDH)
- Simetrik şifreleme: AES-256-GCM kimlik doğrulamalı şifreleme
- Anahtar saklama: özel anahtarlar yalnızca cihaz erişimli olarak iOS Keychain'de saklanır
- Sıfır bilgi sunucusu: sunucularımız yalnızca şifreli metni taşır. Paylaşılan anahtarı türetemez veya Aperture verilerinin şifresini çözemeyiz.
5.4 Plaid güvenliği
- Banka kimlik bilgilerinizi doğrudan Plaid'e sağlarsınız; biz bunları asla almıyor veya saklamıyoruz.
- Plaid erişim token'ları sunucu altyapımızdaki Google Secret Manager'da saklanır.
- Tüm Plaid API çağrıları Firebase Cloud Functions üzerinden yönlendirilir; cihazınızdan doğrudan iletişim yoktur.
- Bir banka bağlantısını kaldırdığınızda veya hesabınızı sildiğinizde, ilişkili token'ları programatik olarak iptal ederiz.
6. Veri Paylaşımı ve Açıklama
6.1 Verilerinizi satmıyoruz
Kişisel bilgilerinizi veya finansal verilerinizi üçüncü taraflara satmıyor, kiralamıyor veya ticari amaçla pazarlamıyoruz. Verilerinizi reklamverenlerle paylaşmıyor ve veri aracılığına katılmıyoruz.
6.2 Üçüncü taraf hizmet sağlayıcıları
Uygulamayı işletmek için gerekli olduğu ölçüde aşağıdaki sağlayıcı kategorileriyle veri paylaşıyoruz:
| Sağlayıcı | Paylaşılan veriler | Amaç |
|---|---|---|
| Plaid, Inc. | Banka bağlantı token'ları (yalnızca sunucu tarafı) | Banka senkronizasyonu |
| Google (Firebase/GCP) | Kimlik doğrulama verileri, anonimleştirilmiş analitik olayları, çökme raporları, Firestore belgeleri ve push token'ları | Altyapı, analitik ve kararlılık |
| Apple | Satın alma makbuzları, abonelik durumu ve iCloud senkronize verileri | App Store faturalandırması ve senkronizasyon |
| Yahoo Finance (sunucu proxy'si aracılığıyla) | Hisse senedi sembol kodları; kişisel veri paylaşılmaz | Piyasa verisi alma |
6.3 Aperture: kullanıcı yönlendirmeli paylaşım
Aperture'ı kullandığınızda, şifreli finansal verilerin belirlediğiniz güvenilir kişilere sunulmasını bize talimat vermiş olursunuz. Bu paylaşımı siz başlatır ve kontrol edersiniz. Biz yalnızca şifreli metni taşırız ve düz metin içeriğe erişemeyiz.
6.4 Yasal yükümlülükler
Yasal olarak gerekli olduğunda veya aşağıdaki amaçlarla iyi niyetle gerekli olduğuna inandığımızda bilgilerinizi açıklayabiliriz:
- Yasal bir yükümlülüğe, celp veya mahkeme kararına uymak;
- Strata Veritate LLC'nin haklarını veya mülkiyetini korumak;
- Uygulamayla bağlantılı olası hukuka aykırı eylemleri önlemek veya soruşturmak;
- Kullanıcıların veya kamunun kişisel güvenliğini korumak.
6.5 Ticari devirler
Birleşme, devralma, yeniden yapılanma, iflas veya varlıklarımızın tamamının ya da bir kısmının satışı durumunda bilgileriniz bu işlemin parçası olarak devredilebilir. Bilgileriniz farklı bir gizlilik politikasına tabi olmadan önce sizi e-posta veya uygulama içi bildirimle haberdar edeceğiz.
7. Veri Saklama
7.1 Aktif hesaplar
Hesabınız aktif kaldığı sürece ve Uygulama hizmetlerini sağlamak için gerekli olduğu ölçüde verilerinizi saklarız.
| Veri türü | Saklama süresi |
|---|---|
| Cihaz üzerindeki finansal veriler (SwiftData) | Siz silene veya hesabınızı silene kadar |
| iCloud senkronize verileri (CloudKit) | iCloud depolama alanınıza tabidir; hesap silme işleminde silinir |
| Firestore sunucu verileri | Hesap silinene kadar |
| Firebase Analytics verileri | Google'ın standart saklama süresine göre (14 aya kadar) |
| Crashlytics raporları | Google'ın standart saklama süresine göre (90 gün) |
| Plaid erişim token'ları | Banka bağlantısını kesene veya hesabınızı silene kadar |
| Abonelik kayıtları | Abonelik süresi artı geçerli yasal saklama süreleri |
| Push bildirim token'ları | Oturumu kapatana veya hesabınızı silene kadar |
7.2 Silinen hesaplar
Hesabınızı sildiğinizde kapsamlı bir veri silme akışı yürütürüz:
- Firebase Authentication hesabı: kalıcı olarak silinir
- Plaid bağlantıları: tüm erişim token'ları iptal edilir ve silinir
- Firestore verileri: tüm kullanıcı belgeleri kalıcı olarak silinir
- Cihaz üzerindeki yerel veriler: tüm SwiftData kayıtları temizlenir
- Şifreleme anahtarları: Keychain'de saklanan tüm anahtarlar imha edilir
- Oturum durumu: tüm önbellekler ve oturum token'ları temizlenir
Sizi tanımlamak için kullanılamayan belirli toplu ve kimliksizleştirilmiş veriler, analitik amaçlarla saklanabilir.
7.3 Geçici veriler
OCR için çekilen fiş görüntüleri yalnızca işleme sırasında cihaz belleğinde bulunur ve asla diske kaydedilmez, yüklenmez veya iletilmez.
8. Haklarınız ve Seçenekleriniz
8.1 Erişim ve taşınabilirlik
Uygulama içinde tüm finansal verilerinizi istediğiniz zaman görüntüleyebilirsiniz. Pro aboneleri taşınabilirlik amacıyla işlemleri CSV formatında dışa aktarabilir.
8.2 Düzeltme
İşlemlerinizi, hesaplarınızı, bütçelerinizi, hedeflerinizi ve profil bilgilerinizi istediğiniz zaman doğrudan Uygulama içinde düzenleyebilirsiniz.
8.3 Silme
Şunları yapabilirsiniz:
- Uygulama içinde tek tek işlemleri, hesapları, bütçeleri veya hedefleri silebilirsiniz;
- Ayarlar'daki hesap silme özelliğini kullanarak tüm hesabınızı ve ilişkili verileri silebilirsiniz;
- Aşağıda belirtilen adres üzerinden bizimle iletişime geçerek silme talebinde bulunabilirsiniz.
8.4 Bildirim tercihleri
Bildirimler üzerinde ayrıntılı kontrole sahipsiniz. Bireysel bildirim kategorilerini açıp kapatabilir ve belirli zaman dilimlerinde bildirimleri bastırmak için Sessiz Saatler yapılandırabilirsiniz.
8.5 Banka bağlantısı yönetimi
İstediğiniz zaman herhangi bir banka bağlantısını kesebilirsiniz; bu işlem ilişkili Plaid erişim token'ını iptal eder. Hesabınızı silerek tüm banka bağlantılarını da kaldırabilirsiniz.
8.6 Aperture kontrolü
Herhangi bir güvenilir kişiyle Aperture veri paylaşımını istediğiniz zaman iptal edebilirsiniz; bu işlem, o kişinin şifreli verilerinize erişimini anında sonlandırır.
8.7 Analitik devre dışı bırakma
Firebase Analytics anonimleştirilmiş kullanım verileri toplar. Ayarlar > Gizlilik ve Güvenlik > Analiz ve İyileştirmeler bölümünden cihaz gizlilik ayarlarınızı düzenleyerek bu toplamayı sınırlayabilirsiniz.
8.8 GDPR kapsamındaki haklar (AEA ve Birleşik Krallık kullanıcıları)
Avrupa Ekonomik Alanı veya Birleşik Krallık'ta iseniz aşağıdaki haklara sahipsiniz:
- Erişim hakkınız dahilinde hakkınızda tuttuğumuz kişisel verilere erişebilirsiniz;
- Düzeltme hakkınız dahilinde hatalı verilerin düzeltilmesini talep edebilirsiniz;
- Silme hakkınız dahilinde kişisel verilerinizin silinmesini isteyebilirsiniz;
- İşlemeyi kısıtlama hakkınız dahilinde kişisel verilerinizin işlenmesini sınırlayabilirsiniz;
- Veri taşınabilirliği hakkınız dahilinde verilerinizi yapılandırılmış, makine tarafından okunabilir bir formatta alabilirsiniz;
- İtiraz hakkınız dahilinde meşru menfaatlere dayanan işlemeye itiraz edebilirsiniz;
- Onayı geri çekme hakkınız dahilinde işlemenin onaya dayandığı durumlarda onayınızı istediğiniz zaman geri çekebilirsiniz;
- Şikayette bulunma hakkınız dahilinde yerel veri koruma otoritenize şikayette bulunabilirsiniz.
Bu haklardan herhangi birini kullanmak için aşağıda belirtilen adresten bizimle iletişime geçiniz.
8.9 CCPA kapsamındaki haklar (Kaliforniya sakinleri)
Kaliforniya'da ikamet ediyorsanız aşağıdaki haklara sahipsiniz:
- Bilme hakkınız dahilinde hangi kişisel bilgileri topladığımızı, kullandığımızı ve açıkladığımızı öğrenebilirsiniz;
- Silme hakkınız dahilinde kişisel bilgilerinizin silinmesini talep edebilirsiniz;
- Vazgeçme hakkınız dahilinde kişisel bilgilerin satışından çıkabilirsiniz (kişisel bilgi satmıyoruz);
- Ayrımcılığa maruz kalmama hakkınız dahilinde gizlilik haklarınızı kullandığınız için ayrımcılığa tabi tutulmayacağınız güvence altındadır.
Bu haklarınızı kullanmak için aşağıda belirtilen adresten bizimle iletişime geçiniz.
9. Çocukların Gizliliği
Uygulama, on altı (16) yaşın altındaki veya kendi yargı alanında dijital onay için gerekli asgari yaşı karşılamayan (hangisi daha büyükse) kişilere yönelik değildir. Bu eşiklerin altındaki küçüklerden bilerek kişisel veri toplamıyoruz.
Ebeveyn veya veli olarak çocuğunuzun bize kişisel veri sağladığına inanıyorsanız lütfen derhal bizimle iletişime geçiniz. Geçerli yaş sınırının altında bir kişiden veri topladığımızı fark edersek bu verileri hızla silmek için gerekli adımları atacağız.
11. Uluslararası Veri Aktarımları
Verileriniz, Firebase hizmetleri için Google Cloud bölgeleri dahil olmak üzere hizmet sağlayıcılarımızın tesis bulundurduğu Amerika Birleşik Devletleri ve diğer ülkelerde işlenebilir. Uluslararası veri aktarımları söz konusu olduğunda, uygun güvenceleri sağlamak amacıyla standart sözleşme hükümleri, yeterlilik kararları veya diğer yasal mekanizmalara dayanırız.
12. Üçüncü Taraf Bağlantıları ve Hizmetleri
Uygulama, bankanızın web sitesi veya Apple'ın abonelik yönetimi gibi üçüncü taraf web sitelerine veya hizmetlerine bağlantılar içerebilir. Bu hizmetlerin gizlilik uygulamalarından veya içeriklerinden sorumlu değiliz. Eriştiğiniz herhangi bir üçüncü tarafın gizlilik politikalarını incelemenizi öneririz.
13. Bu Gizlilik Politikasındaki Değişiklikler
Bu Gizlilik Politikasını zaman zaman güncelleyebiliriz. Önemli değişiklikleri şu yollarla bildireceğiz:
- Bu politikanın başındaki “Son güncelleme” tarihini güncelleyerek;
- Makul ölçüde mümkün olduğunda uygulama içi bildirim göndererek;
- Değişiklik, verilerinizi işleme şeklimizi önemli ölçüde etkilediğinde e-posta göndererek.
Herhangi bir değişiklikten sonra Uygulamayı kullanmaya devam etmeniz, güncellenmiş sürümü kabul ettiğiniz anlamına gelir.
14. Veri Koruma
Gizlilik soruları, erişim talepleri veya haklarınızı kullanmak için veri koruma ekibimizle iletişime geçiniz:
Strata Veritate LLC — Data Protection
E-posta: security@spendlensapp.com
Web sitesi: https://spendlensapp.com/support
Meşru taleplere otuz (30) gün içinde veya yürürlükteki yasanın öngördüğü süre içinde yanıt vereceğiz.
15. İletişim Bilgileri
Bu Gizlilik Politikası hakkındaki genel sorularınız için bizimle iletişime geçiniz:
Strata Veritate LLC
E-posta: support@spendlensapp.com
Web sitesi: https://spendlensapp.com/support