Yürürlük tarihi · Effective date: 13 Mayıs 2026 Sürüm · Version: 1.0
Türkçe
Bu Gizlilik Politikası, hifly.app üzerinden sunulan Hifly hizmetini kullanan kişilerin (bundan sonra "Kullanıcı") kişisel verilerinin işlenmesine ilişkin esasları açıklar. Hizmetin sahibi ve veri sorumlusu Bulut Studio LLC'dir (Delaware'de tescilli, Hifly markası altında faaliyet gösteren).
Bu metin, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa Birliği'nde ikamet eden Kullanıcılar için Genel Veri Koruma Tüzüğü (GDPR) ile uyumlu şekilde hazırlanmıştır.
1. Özet
Hifly seni tanımak, hesabını yönetmek, üretimlerini saklamak ve hizmeti geliştirmek için sınırlı kişisel verilerini işler. Şifren ve ödeme kart bilgilerin Hifly sunucularında saklanmaz. Verilerin üçüncü kişilerle pazarlama amaçlı paylaşılmaz; yalnızca hizmetin işlemesi için zorunlu altyapı sağlayıcılarıyla paylaşılır.
İlgili haklarını dilediğin zaman support@hifly.app üzerinden kullanabilirsin.
2. Toplanan Kişisel Veriler
2.1. Kimlik ve İletişim Verisi
- E-posta adresi (kayıt sırasında)
- Görünen ad veya kullanıcı adı (Kullanıcı tarafından sağlandıysa)
2.2. Hesap ve Kimlik Doğrulama Verisi
- Şifrenin kriptografik özeti (bcrypt hash), şifrenin kendisi saklanmaz
- Oturum belirteci (JWT)
- Hesap oluşturma tarihi, son giriş tarihi
2.3. Hizmet Kullanım Verisi
- Üretim talimatların (Talk konuşmaları, seçtiğin tür, ruh hali, sözler için verdiğin yönlendirmeler)
- Ürettiğin şarkıların metadata bilgisi (id, tarih, süre, tür)
- Şarkı dosyalarının saklandığı CDN linki (üretim sonucu)
- Beğen/Sözler/Revize/Uzat aksiyonların (kullanım istatistiği)
2.4. Plan ve Ödeme Verisi
- Mevcut plan (Free / Pro / Studio / Top-up Boost)
- Abonelik durumu ve dönem bilgisi
- Stripe tarafından sağlanan müşteri kimliği (
stripe_customer_id) - Fatura kimliği (
stripe_invoice_id)
Önemli: Kart numarası, son kullanma tarihi, CVC kodu hiçbir aşamada Hifly sunucularına ulaşmaz; bu bilgiler PCI-DSS uyumlu Stripe Software, Inc. altyapısı tarafından doğrudan toplanır ve işlenir. Stripe bu işlemde Merchant of Record sıfatıyla hareket eder.
2.5. Teknik Veri
- IP adresi (giriş ve istek anlarında, güvenlik amacıyla)
- Tarayıcı türü ve sürümü, işletim sistemi
- Ekran çözünürlüğü ve görüntü tipi (mobile/desktop)
- Hata günlükleri (uygulama çöktüğünde teknik tanı için)
2.6. Çerez Verisi
Bkz. Madde 5.
3. Verilerin Toplanma Yöntemleri
3.1. Doğrudan: Kullanıcı'nın kayıt formunu doldurması, hesabını yönetmesi, hizmeti kullanması yoluyla.
3.2. Otomatik olarak: Tarayıcı isteklerinden gelen teknik bilgi (IP, user agent, ekran ölçüleri), oturum çerezleri, hata izleme logları.
3.3. Üçüncü taraf yoluyla: Stripe ödeme akışında, ödeme yapan kişinin Stripe'a sağladığı bilgiler (ad, ülke, fatura adresi) Stripe API'si üzerinden Hifly'a aktarılır.
4. Verilerin İşlenme Amaçları ve Hukuki Sebepleri
| Amaç | Hukuki sebep (KVKK / GDPR) |
|---|---|
| Hesap oluşturma, kimlik doğrulama | Sözleşmenin ifası (KVKK m.5/2-c, GDPR Art.6/1-b) |
| Hizmet sunumu (üretim, revize, uzatma) | Sözleşmenin ifası |
| Ödeme tahsilatı ve faturalandırma | Sözleşmenin ifası, yasal yükümlülük |
| Müşteri desteği | Sözleşmenin ifası, meşru menfaat |
| Hizmet performansının ölçülmesi, kalite iyileştirme | Meşru menfaat |
| Güvenlik ihlallerinin önlenmesi, dolandırıcılık tespiti | Yasal yükümlülük, meşru menfaat |
| AI üretim modelinin iyileştirilmesi (anonim) | Meşru menfaat (anonim hâle getirme şart) |
| Pazarlama iletişimi (yalnızca açık rıza ile) | Açık rıza (KVKK m.5/1, GDPR Art.6/1-a) |
5. Çerezler
5.1. Zorunlu Çerezler
hifly_token(oturum belirteci): Kullanıcının giriş yaptığını hatırlamak için.
5.2. Tercih Çerezleri
- Tema, dil gibi UI ayarları.
5.3. Analitik Çerezler
Hifly'da üçüncü taraf analitik aracı (Google Analytics, Mixpanel vb.) kullanılmaz. İleride eklenirse politika güncellenir ve açık rıza istenir.
6. Verilerin Aktarıldığı Üçüncü Taraflar
Hifly'ın işlemesi için aşağıdaki altyapı sağlayıcılarıyla zorunlu veri aktarımı yapılır. Bu sağlayıcılar veriyi yalnızca Hifly adına işler:
| Hizmet | Sağlayıcı | Aktarılan Veri | Konum |
|---|---|---|---|
| Veritabanı | Supabase Inc. | Tüm veri tabanı içeriği | AB / ABD |
| Web hosting + CDN | Vercel Inc. | İstek logları, IP | ABD |
| Arka uç sunucu | Railway Corp. | İstek logları, IP | ABD |
| Ses dosyası saklama | Cloudflare R2 | Üretilen ses dosyaları | Küresel |
| Ödeme işleme | Stripe, Inc. | Kart bilgileri, müşteri kimliği, fatura adresi | ABD |
| Otomatik vergi (sales tax/VAT) | Stripe Tax | İşlem konumu, tutar, vergi oranı | ABD / küresel |
| E-posta gönderimi | Resend Inc. | E-posta adresi, mesaj içeriği | AB (Frankfurt) |
| Yapay zekâ üretim altyapısı | Müzik üretim sağlayıcımız | Üretim talimatları | Küresel |
| Yapay zekâ dil modeli | Sözler için kullandığımız LLM sağlayıcısı | Konuşma metni | ABD |
| Alan adı / e-posta yönlendirme | Porkbun LLC | Yönlendirme metaverisi | ABD |
Hifly bu sağlayıcılarla, KVKK ve GDPR uyumlu veri işleme sözleşmeleri kapsamında çalışır. Kullanıcı verisi pazarlama veya başka bir amaçla bu sağlayıcılar tarafından kullanılamaz.
7. Yurt Dışına Veri Aktarımı
Madde 6'daki sağlayıcıların büyük kısmı verileri ABD veya AB veri merkezlerinde işler. Bu durum Türkiye Cumhuriyeti dışına veri aktarımı anlamına gelir.
7.1. KVKK m.9 uyarınca yurt dışı aktarım, Kullanıcı'nın kayıt anında verdiği açık rıza kapsamındadır.
7.2. AB ve İngiltere'de ikamet eden Kullanıcılar için GDPR Art.46 kapsamında yeterli koruma sağlanır. Hifly'ın çalıştığı altyapı sağlayıcılarının tamamı AB Komisyonu Standart Sözleşme Kuralları (SCC) altyapısı kapsamında işleme yapar.
8. Verilerin Saklama Süreleri
| Veri tipi | Saklama süresi |
|---|---|
| Hesap ve kimlik verisi | Hesap aktif olduğu sürece |
| Üretim metadata | Hesap aktif olduğu sürece |
| Üretim ses dosyaları | Plan kapsamına göre 30 gün ile sınırsız arası |
| Ödeme metaverisi | Vergi mevzuatı gereği 10 yıl |
| Hata ve güvenlik logları | 90 gün |
| Hesap silindikten sonra (soft delete) | 30 gün, sonrasında kalıcı silme |
9. Veri Sahibi Hakları
KVKK m.11 ve GDPR Art.15-22 uyarınca:
- Erişim, düzeltme, silme (Unutulma hakkı), işlemenin sınırlandırılması, veri taşınabilirliği, itiraz ve otomatik karar verme süreçlerine itiraz hakların bulunmaktadır.
- Açık rızanı geri alma hakkın saklıdır.
Başvuru: support@hifly.app. Başvurular 30 gün içinde sonuçlandırılır.
10. Çocukların Verileri
10.1. Hifly 13 yaşın altındaki kişilerden bilerek kişisel veri toplamaz.
10.2. 13-18 yaş arası Kullanıcı'nın ücretli plan satın alabilmesi için ebeveyn veya yasal vasi onayı gereklidir.
10.3. AB'de ikamet eden 16 yaşın altındaki Kullanıcılar için GDPR Art.8 uyarınca ebeveyn rızası şartı uygulanır.
11. Veri Güvenliği
- TLS 1.2+ aktarım şifrelemesi
- Saklama şifrelemesi (Supabase tarafından)
- Şifreler bcrypt olarak saklanır
- Row Level Security (RLS): her Kullanıcı yalnızca kendi verisine erişir
- Brute force koruma: oturum açma denemesi sınırlandırılmıştır
- Sızdırılmış şifre kontrolü (HaveIBeenPwned entegrasyonu)
- Düzenli güvenlik gözden geçirmeleri
12. Güncellemeler
Bu Politika zaman zaman güncellenebilir. Önemli değişiklikler en az 30 gün öncesinden e-posta ile bildirilir.
13. İletişim ve Şikâyet
13.1. support@hifly.app üzerinden başvuru yapılabilir.
13.2. Kişisel Verileri Koruma Kurumu (https://kvkk.gov.tr) şikâyet hakkı saklıdır.
13.3. AB'de ikamet eden Kullanıcılar GDPR kapsamında ülkelerinin yetkili veri koruma denetim makamına şikâyet edebilir.
English
This Privacy Policy explains how personal data of users ("User") of the Hifly service at hifly.app is processed. The data controller is Bulut Studio LLC (Delaware), the operator of Hifly.
This policy is prepared in accordance with the Turkish Personal Data Protection Law No. 6698 (KVKK) and, for users residing in the European Union, the General Data Protection Regulation (GDPR).
1. Summary
Hifly processes limited personal data to identify you, manage your account, store your generations, and improve the service. Your password and payment card details are not stored on Hifly servers. Your data is not shared with third parties for marketing; it is shared only with infrastructure providers necessary to operate the service.
You may exercise your data subject rights at any time via support@hifly.app.
2. Personal Data Collected
2.1. Identity and Contact
- Email address (at registration)
- Display name or username (if provided)
2.2. Account and Authentication
- Cryptographic hash (bcrypt) of your password - the password itself is never stored
- Session token (JWT)
- Account creation date, last login date
2.3. Service Usage
- Your generation prompts (Talk conversations, selected genre, mood, lyric guidance)
- Metadata of generated songs (id, date, duration, genre)
- CDN link to the song file (output)
- Like/Lyrics/Revise/Extend actions (usage analytics)
2.4. Plan and Payment
- Current plan (Free / Pro / Studio / Top-up Boost)
- Subscription status and period
- Customer identifier issued by Stripe (
stripe_customer_id) - Invoice identifier (
stripe_invoice_id)
Important: Card number, expiry, CVC code are never received by Hifly servers; this information is collected and processed directly by Stripe Software, Inc. on its PCI-DSS-compliant infrastructure. Stripe acts as Merchant of Record for these transactions.
2.5. Technical Data
- IP address (at login and during requests, for security)
- Browser type/version, operating system
- Screen resolution and viewport (mobile/desktop)
- Error logs (technical diagnostics on app crashes)
2.6. Cookies
See Section 5.
3. Methods of Collection
3.1. Directly: through the registration form, account management, and use of the service.
3.2. Automatically: technical data from browser requests (IP, user agent, screen dimensions), session cookies, error tracking logs.
3.3. Via third parties: data provided by the User to Stripe during the payment flow (name, country, billing address) is transmitted to Hifly via the Stripe API.
4. Processing Purposes and Legal Bases
| Purpose | Legal basis (KVKK / GDPR) |
|---|---|
| Account creation, authentication | Contract performance (KVKK 5/2-c, GDPR 6/1-b) |
| Service delivery (generation, revision, extension) | Contract performance |
| Payment collection and invoicing | Contract performance, legal obligation |
| Customer support | Contract performance, legitimate interest |
| Performance measurement, quality improvement | Legitimate interest |
| Security incident prevention, fraud detection | Legal obligation, legitimate interest |
| AI model improvement (anonymized) | Legitimate interest (anonymization required) |
| Marketing communication (only with consent) | Explicit consent (KVKK 5/1, GDPR 6/1-a) |
5. Cookies
5.1. Strictly Necessary
hifly_token(session token): to remember that you are logged in.
5.2. Preferences
- UI settings such as theme and language.
5.3. Analytics
Hifly does not use third-party analytics tools (e.g. Google Analytics, Mixpanel). If added in the future, this policy will be updated and explicit consent obtained.
6. Third-Party Recipients
The following infrastructure providers receive data only as necessary to operate the service. They process data on behalf of Hifly:
| Service | Provider | Data transferred | Location |
|---|---|---|---|
| Database | Supabase Inc. | All database content | EU / US |
| Web hosting + CDN | Vercel Inc. | Request logs, IP | US |
| Backend server | Railway Corp. | Request logs, IP | US |
| Audio file storage | Cloudflare R2 | Generated audio files | Global |
| Payment processing | Stripe, Inc. | Card details, customer ID, billing address | US |
| Automated tax (sales tax/VAT) | Stripe Tax | Transaction location, amount, tax rate | US / global |
| Email delivery | Resend Inc. | Email address, message content | EU (Frankfurt) |
| AI generation infrastructure | Our music generation provider | Generation prompts | Global |
| AI language model | Our LLM provider (for lyrics) | Conversation text | US |
| Domain / email forwarding | Porkbun LLC | Forwarding metadata | US |
Hifly works with these providers under data processing agreements compliant with KVKK and GDPR. User data may not be used for marketing or other purposes by these providers.
7. International Data Transfers
Most providers in Section 6 process data in US or EU data centers, which constitutes transfer outside the Republic of Turkey.
7.1. Under KVKK Art. 9, international transfer falls within the explicit consent the User provides at registration.
7.2. For EU and UK residents, adequate protection is provided under GDPR Art. 46. All Hifly infrastructure providers operate under the EU Commission Standard Contractual Clauses (SCCs).
8. Retention Periods
| Data type | Retention |
|---|---|
| Account and identity data | While the account is active |
| Generation metadata | While the account is active |
| Generated audio files | 30 days to indefinite, by plan |
| Payment metadata | 10 years (tax law) |
| Error and security logs | 90 days |
| After account deletion (soft delete) | 30 days, then permanent deletion |
9. Data Subject Rights
Under KVKK Art. 11 and GDPR Art. 15-22, you have the right to: access, rectification, erasure (right to be forgotten), restriction of processing, data portability, objection, and to object to automated decision-making.
You may also withdraw consent at any time.
Submit requests to support@hifly.app. Requests are resolved within 30 days.
10. Children's Data
10.1. Hifly does not knowingly collect personal data from individuals under 13 years old.
10.2. Users aged 13-18 require parental or legal guardian consent to purchase a paid plan.
10.3. For EU residents under 16, parental consent is required under GDPR Art. 8.
11. Data Security
- TLS 1.2+ in transit
- At-rest encryption (Supabase managed)
- Passwords stored as bcrypt hashes
- Row Level Security (RLS): each User can access only their own data
- Brute-force protection: login attempts are rate-limited
- Leaked password check (HaveIBeenPwned integration)
- Regular security reviews
12. Updates
This Policy may be updated periodically. Material changes are notified by email at least 30 days in advance.
13. Contact and Complaints
13.1. Submit inquiries to support@hifly.app.
13.2. Turkish residents may complain to the Personal Data Protection Authority (https://kvkk.gov.tr).
13.3. EU residents may complain to their national data protection supervisory authority under GDPR.
Veri Sorumlusu · Data Controller
- Email: support@hifly.app
- Operator: Bulut Studio LLC (Delaware), Hifly, hifly.app
- Brand: Bulut Studio
Sorular ve talepler: support@hifly.app
Hifly © 2026 · Bulut Studio · Bağımsız bir yapay zeka destekli müzik platformu.