Bu Gizlilik Politikası, hifly.app üzerinden sunulan Hifly hizmetini kullanan kişilerin (bundan sonra "Kullanıcı") kişisel verilerinin işlenmesine ilişkin esasları açıklar. Hizmeti işleten ve veri sorumlusu Bulut Studio'dur (Hifly markası). Ödeme tahsilatı Merchant of Record sıfatıyla Lemon Squeezy, Inc. tarafından yapılır.
Bu metin, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Birliği'nde ikamet eden Kullanıcılar için Genel Veri Koruma Tüzüğü (GDPR) ile uyumlu şekilde hazırlanmıştır.
1. Özet
Hifly seni tanımak, hesabını yönetmek, üretimlerini saklamak ve hizmeti geliştirmek için sınırlı kişisel verilerini işler. Şifren ve ödeme kart bilgilerin Hifly sunucularında saklanmaz. Verilerin üçüncü kişilerle pazarlama amaçlı paylaşılmaz; yalnızca hizmetin işlemesi için zorunlu altyapı sağlayıcılarıyla paylaşılır.
İlgili haklarını dilediğin zaman support@hifly.app üzerinden kullanabilirsin.
2. Toplanan Kişisel Veriler
2.1. Kimlik ve İletişim Verisi
- E-posta adresi (kayıt sırasında)
- Görünen ad veya kullanıcı adı (Kullanıcı tarafından sağlandıysa)
2.2. Hesap ve Kimlik Doğrulama Verisi
- Şifrenin kriptografik özeti (bcrypt hash), şifrenin kendisi saklanmaz
- Oturum belirteci (JWT)
- Hesap oluşturma tarihi, son giriş tarihi
2.3. Hizmet Kullanım Verisi
- Üretim talimatların (Talk konuşmaları, seçtiğin tür, ruh hali, sözler için verdiğin yönlendirmeler)
- Ürettiğin şarkıların metadata bilgisi (id, tarih, süre, tür)
- Şarkı dosyalarının saklandığı CDN linki (üretim sonucu)
- Beğen/Sözler/Revize/Uzat aksiyonların (kullanım istatistiği)
2.4. Plan ve Ödeme Verisi
- Mevcut plan (Free / Pro)
- Abonelik durumu ve dönem bilgisi
- Ödeme sağlayıcısı (Lemon Squeezy) tarafından verilen müşteri kimliği
- Fatura kimliği
Önemli: Kart numarası, son kullanma tarihi, CVC kodu hiçbir aşamada Hifly sunucularına ulaşmaz; bu bilgiler PCI-DSS uyumlu Lemon Squeezy altyapısı tarafından doğrudan toplanır ve işlenir. Lemon Squeezy bu işlemde Merchant of Record (satıcı/tahsilat sorumlusu) sıfatıyla hareket eder; Hifly, Bulut Studio tarafından işletilir.
2.5. Teknik Veri
- IP adresi (giriş ve istek anlarında, güvenlik amacıyla)
- Tarayıcı türü ve sürümü, işletim sistemi
- Ekran çözünürlüğü ve görüntü tipi (mobile/desktop)
- Hata günlükleri (uygulama çöktüğünde teknik tanı için)
2.6. Çerez Verisi
Bkz. Madde 5.
3. Verilerin Toplanma Yöntemleri
3.1. Doğrudan: Kullanıcı'nın kayıt formunu doldurması, hesabını yönetmesi, hizmeti kullanması yoluyla.
3.2. Otomatik olarak: Tarayıcı isteklerinden gelen teknik bilgi (IP, user agent, ekran ölçüleri), oturum çerezleri, hata izleme logları.
3.3. Üçüncü taraf yoluyla: Lemon Squeezy ödeme akışında, ödeme yapan kişinin Lemon Squeezy'ye sağladığı bilgiler (ad, ülke, fatura adresi) Lemon Squeezy üzerinden Hifly'a aktarılır.
4. Verilerin İşlenme Amaçları ve Hukuki Sebepleri
| Amaç | Hukuki sebep (KVKK / GDPR) |
|---|---|
| Hesap oluşturma, kimlik doğrulama | Sözleşmenin ifası (KVKK m.5/2-c, GDPR Art.6/1-b) |
| Hizmet sunumu (üretim, revize, uzatma) | Sözleşmenin ifası |
| Ödeme tahsilatı ve faturalandırma | Sözleşmenin ifası, yasal yükümlülük |
| Müşteri desteği | Sözleşmenin ifası, meşru menfaat |
| Hizmet performansının ölçülmesi, kalite iyileştirme | Meşru menfaat |
| Güvenlik ihlallerinin önlenmesi, dolandırıcılık tespiti | Yasal yükümlülük, meşru menfaat |
| AI üretim modelinin iyileştirilmesi (anonim) | Meşru menfaat (anonim hâle getirme şart) |
| Pazarlama iletişimi (yalnızca açık rıza ile) | Açık rıza (KVKK m.5/1, GDPR Art.6/1-a) |
5. Çerezler
5.1. Zorunlu Çerezler
hifly_token(oturum belirteci): Kullanıcının giriş yaptığını hatırlamak için.
5.2. Tercih Çerezleri
- Tema, dil gibi UI ayarları.
5.3. Analitik Çerezler
Hifly'da üçüncü taraf analitik aracı (Google Analytics, Mixpanel vb.) kullanılmaz. İleride eklenirse politika güncellenir ve açık rıza istenir.
6. Verilerin Aktarıldığı Üçüncü Taraflar
Hifly'ın işlemesi için aşağıdaki altyapı sağlayıcılarıyla zorunlu veri aktarımı yapılır. Bu sağlayıcılar veriyi yalnızca Hifly adına işler:
| Hizmet | Sağlayıcı | Aktarılan Veri | Konum |
|---|---|---|---|
| Veritabanı | Veritabanı altyapısı sağlayıcısı | Tüm veri tabanı içeriği | AB / ABD |
| Web hosting + CDN | Web barındırma ve CDN sağlayıcısı | İstek logları, IP | ABD |
| Arka uç sunucu | Arka uç sunucu sağlayıcısı | İstek logları, IP | ABD |
| Ses dosyası saklama | Ses dosyası saklama sağlayıcısı | Üretilen ses dosyaları | Küresel |
| Ödeme işleme (Merchant of Record) | Lemon Squeezy, Inc. | Kart bilgileri, müşteri kimliği, fatura adresi | ABD |
| Otomatik vergi (sales tax/VAT) | Lemon Squeezy (MoR) | İşlem konumu, tutar, vergi oranı | ABD / küresel |
| E-posta gönderimi | E-posta gönderim sağlayıcısı | E-posta adresi, mesaj içeriği | AB (Frankfurt) |
| Yapay zekâ üretim altyapısı | Müzik üretim altyapısı sağlayıcımız | Üretim talimatları | Küresel |
| Yapay zekâ dil modeli | Yapay zekâ dil modeli sağlayıcımız | Konuşma metni | ABD |
| Alan adı / e-posta yönlendirme | Alan adı ve e-posta yönlendirme sağlayıcısı | Yönlendirme metaverisi | ABD |
Hifly bu sağlayıcılarla, KVKK ve GDPR uyumlu veri işleme sözleşmeleri kapsamında çalışır. Kullanıcı verisi pazarlama veya başka bir amaçla bu sağlayıcılar tarafından kullanılamaz.
7. Yurt Dışına Veri Aktarımı
Madde 6'daki sağlayıcıların büyük kısmı verileri ABD veya AB veri merkezlerinde işler. Bu durum Türkiye Cumhuriyeti dışına veri aktarımı anlamına gelir.
7.1. KVKK m.9 uyarınca yurt dışı aktarım, Kullanıcı'nın kayıt anında verdiği açık rıza kapsamındadır.
7.2. AB ve İngiltere'de ikamet eden Kullanıcılar için GDPR Art.46 kapsamında yeterli koruma sağlanır. Hifly'ın çalıştığı altyapı sağlayıcılarının tamamı AB Komisyonu Standart Sözleşme Kuralları (SCC) altyapısı kapsamında işleme yapar.
8. Verilerin Saklama Süreleri
| Veri tipi | Saklama süresi |
|---|---|
| Hesap ve kimlik verisi | Hesap aktif olduğu sürece |
| Üretim metadata | Hesap aktif olduğu sürece |
| Üretim ses dosyaları | Plan kapsamına göre 30 gün ile sınırsız arası |
| Ödeme metaverisi | Vergi mevzuatı gereği 10 yıl |
| Hata ve güvenlik logları | 365 gün |
| Hesap silindikten sonra (soft delete) | 30 gün, sonrasında kalıcı silme |
9. Veri Sahibi Hakları
KVKK m.11 ve GDPR Art.15-22 uyarınca:
- Erişim, düzeltme, silme (Unutulma hakkı), işlemenin sınırlandırılması, veri taşınabilirliği, itiraz ve otomatik karar verme süreçlerine itiraz hakların bulunmaktadır.
- Açık rızanı geri alma hakkın saklıdır.
Başvuru: support@hifly.app. Başvurular 30 gün içinde sonuçlandırılır.
10. Çocukların Verileri
10.1. Hifly 13 yaşın altındaki kişilerden bilerek kişisel veri toplamaz.
10.2. 13-18 yaş arası Kullanıcı'nın ücretli plan satın alabilmesi için ebeveyn veya yasal vasi onayı gereklidir.
10.3. AB'de ikamet eden 16 yaşın altındaki Kullanıcılar için GDPR Art.8 uyarınca ebeveyn rızası şartı uygulanır.
11. Veri Güvenliği
- TLS 1.2+ aktarım şifrelemesi
- Saklama şifrelemesi (veritabanı altyapısı sağlayıcısı tarafından)
- Şifreler bcrypt olarak saklanır
- Row Level Security (RLS): her Kullanıcı yalnızca kendi verisine erişir
- Brute force koruma: oturum açma denemesi sınırlandırılmıştır
- Sızdırılmış şifre kontrolü (HaveIBeenPwned entegrasyonu)
- Düzenli güvenlik gözden geçirmeleri
12. Güncellemeler
Bu Politika zaman zaman güncellenebilir. Önemli değişiklikler en az 30 gün öncesinden e-posta ile bildirilir.
13. İletişim ve Şikâyet
13.1. support@hifly.app üzerinden başvuru yapılabilir.
13.2. Kişisel Verileri Koruma Kurumu (https://kvkk.gov.tr) şikâyet hakkı saklıdır.
13.3. AB'de ikamet eden Kullanıcılar GDPR kapsamında ülkelerinin yetkili veri koruma denetim makamına şikâyet edebilir.
Veri Sorumlusu
- E-posta: support@hifly.app
- Operatör: Bulut Studio (Hifly), hifly.app · Lemon Squeezy, Inc. (Merchant of Record)
- Marka: Bulut Studio
Questions and requests: support@hifly.app
Hifly © 2026 · Bulut Studio · An independent AI-powered music platform.