Gizlilik Politikasi

1) Veri sorumlusu ve iletisim

Veri sorumlusu: AUTOTUBE.VIP LTD
Company number: 17136127
Registered office: 83 St. Marks Road, Enfield, England, EN1 1BJ
E-posta: info@autotube.vip
Telefon: +44 7783 905391

2) Islenen veri kategorileri

  • Hesap verileri: ad, e-posta, profil bilgileri ve giris kayitlari
  • Urun kullanimi: kanal, video, metin icerigi, tercih ve ayar verileri
  • Odeme verileri: plan, fatura kaydi, odeme sonucu ve abonelik durumu
  • Teknik veriler: IP, cihaz, oturum ve guvenlik loglari

3) Isleme amaclari

  • Hesap olusturmak, hizmeti sunmak ve destek vermek
  • Odeme, abonelik ve fatura sureclerini yurutmek
  • Guvenlik, suistimal onleme ve sistem loglamasi yapmak
  • Acik riza varsa analitik ve pazarlama olcumleri yapmak

4) Saklama suresi

Hesap ve fatura kayitlari yasal yukumluluklar ve hizmetin sunulmasi icin gerekli oldugu sure boyunca saklanir. Guvenlik ve sistem loglari makul operasyonel sureler boyunca tutulur ve gerektiginde silinir veya anonimlestirilir.

5) Veri aktarimlari ve alt isleyiciler

Hizmeti saglamak icin asagidaki tedarikciler veya kategori saglayicilar kullanilabilir:

  • Stripe (odeme ve abonelik isleme)
  • Google (OAuth, YouTube baglantilari ve ilgili servisler)
  • OpenAI ve diger AI saglayicilari (icerik uretim akislarinda)
  • E-posta ve bildirim saglayicilari
  • S3 veya MinIO uyumlu depolama servisleri

6) Cerezler

Zorunlu cerezler hizmetin calismasi icin gereklidir. Analitik cerezler yalnizca kullanici tercihine gore aktif edilir. Cerez tercihleri banner veya tercih arayuzu uzerinden yonetilebilir.

7) Kullanici haklari

Erisim, duzeltme, silme, islemeye itiraz ve uygulanabilir diger veri koruma haklari icin info@autotube.vip adresi veya +44 7783 905391 uzerinden bizimle iletisime gecebilirsiniz.

8) Odeme notu

Kart bilgileri AutoTube.Vip sunucularinda saklanmaz. Odeme ve abonelik islemleri Stripe uzerinden islenir.

Iptal ve iade surecleri icin Refund & Cancellation Policy sayfasina bakin.

9) Google OAuth kapsamlari

AutoTube, Google ile giris ve YouTube kanal baglama islemleri icin asagidaki OAuth kapsamlarini (scope) talep eder. Her bir kapsam, urunun minimum necessary prensibiyle, yerine gecemeyecek dusuk yetkili bir alternatif olmadigi icin secilmistir.

Scope (OAuth kapsami)Kullanildigi API ucu / endpointNeden gerekli (kullanim amaci)Veri tasarrufu
openidOIDC token (id_token.sub)Google'in kullaniciya verdigi sabit ID. Uye esleme ve hesap birlesmesi icin zorunlu; alternatif scope yok.Sadece opaque sub alinir; profil/e-posta cekilmez.
emailid_token.email, id_token.email_verifiedHesap eslestirme, sifre sifirlama, e-posta dogrulanmis uye kaydi.Sadece dogrulanmis e-posta; harici paylasim yok.
profileid_token.name, id_token.picture, id_token.localeDashboard'da uye adi ve avatar gosterimi.Sadece goruntuleme amacli; 3. taraflara aktarilmaz.
userinfo.emailoauth2/v2/userinfo (email)YouTube connect popup'inda (sign-in'den ayri akis) e-posta dogrulama. openid email ile ayni veriyi verir; sadece biri sectik.Sadece uyenin kendi e-postasi cekilir.
userinfo.profileoauth2/v2/userinfo (name, picture)YouTube connect sonrasi kanal karti uzerinde isim ve avatar gosterimi.Sadece goruntuleme; 3. taraflara aktarilmaz.
youtube.readonlyyoutube/v3/channels.list (id, snippet, statistics, brandingSettings), videos.listSign-in sonrasi ve YouTube connect sonrasi uye kanalinin snippet/title/thumbnail/subscriber/izlenme bilgisini yenileme.Salt okunur; yazma/yukleme yok. Sadece uyenin kendi kanali uzerinde.
yt-analytics.readonlyyoutubeanalytics.googleapis.com/v2/reportsAnalytics dashboard'unda uyenin kendi kanalinin watch time, CTR, estimatedMinutesWatched, averageViewDuration, subscribersGained, estimatedRevenue gibi performans metriklerini gostermek. YouTube Data API v3 (youtube.readonly) bu metrikleri saglamaz; sadece subscriber/viewCount gibi yuzeysel istatistikleri verir. Bu nedenle YouTube Analytics API v2 + yt-analytics.readonly zorunludur; dusuk alternatif yok.Sadece uyenin kendi kanali icin salt okunur; yazma yok. 3. taraf kanallara erisim yok.
youtube (admin branding write)youtube/v3/channels.update?part=brandingSettingsSadece admin panelinden uyenin marka bilgilerini (kanal aciklamasi) guncellemek icin. Connect popup token'indaki youtube.force-ssl ile yapilir (sign-in token'inda full youtube scope artik talep edilmiyor).Sadece admin tarafindan tetiklenir; uye tarafinda dogrudan talep edilmez.
youtube.uploadupload/youtube/v3/videos.insert, upload/youtube/v3/thumbnails.setUyenin AutoTube uzerinden kendi kanalina video ve ozel thumbnail yuklemesi. Dusuk alternatif yok; insert islemi write izni ister.Sadece uyenin AutoTube'dan gonderdigi medya yuklenir; 3. taraf kanallara yazma yok.
youtube.force-sslyoutube/v3/commentThreads.insert, commentThreads.listUyenin AutoTube uzerinden kendi videolarina yorum yazmasi, topluluk yorumlarini okumasi ve yanitlamasi. Dusuk alternatif yok.Sadece uyenin kendi videolarindaki yorumlar; 3. taraf kanallara yazma yok.
userinfo.profileoauth2/v2/userinfo (name, picture)YouTube connect sonrasi kanal karti uzerinde isim ve avatar gosterimi. openid profile ile ayni veriyi verir; Connect popup ek bir userinfo scope'u ister.Sadece goruntuleme; 3. taraflara aktarilmaz.

Bu kapsamlar yalnizca uyenin kendi YouTube kanali uzerinde kullanilir; ucuncu taraf kanallara erisim saglanmaz. Asagidaki kapsamlar bilincli olarak talep edilmez: youtubepartner (YPP partner API'leri), yt-analytics-monetary.readonly (gelir/kazanc verisi), youtube.channel-memberships (uyelik/bağış verisi).

Erisim ve yenileme tokenlari AES-256 ile sifrelenerek saklanir; uye Ayarlar sayfasindan veya Google Hesabi > Uygulama erisimleri uzerinden baglantiyi istedigi zaman kaldirabilir. Baglanti kaldirildiginda AutoTube ilgili token'lari siler ve uyenin kanali DISCONNECTED durumuna dusurulur; kanala ait AutoTube uzerindeki taslak/planlanmis yayinlar iptal edilir.

10) Veri guvenligi ve koruma mekanizmalari

Uye verilerinin gizliligi, butunculugu ve erisebilirligi asagidaki teknik ve organizasyonel kontroller ile korunur. Bu kontroller Google OAuth dogrulama basvurusu kapsaminda "sensitive data protection" gereksinimini karsilamak icin uygulanir.

  • Sifreleme (at-rest): Google OAuth access ve refresh tokenlari AES-256-GCM ile veritabaninda sifrelenmis olarak saklanir (lib/crypto.ts uzerinden). Sifreleme anahtari (USER_TOKEN_ENCRYPTION_KEY) uygulama ortaminda izole sekilde tutulur ve DB dump'inda duz metin olarak gorunmez.
  • Sifreleme (in-transit): Tum istemci-sunucu iletisimi HTTPS / TLS 1.3 uzerinden yapilir. NextAuth cookie'leri Secure + HttpOnly + SameSite=Lax olarak ayarlanmistir. Dahili servisler (web, worker, db, redis, storage) arasindaki iletisim de TLS veya ozel ag segmentleri uzerinden izole edilir.
  • Erisim kontrolu (authorization): Sadece yetkili worker process'leri (BullMQ kuyruklarindaki ai-worker ve video-worker) YouTube ve OpenAI API'lerini cagirir. Yonetici islemleri (role=ADMIN ve admin-permissions.ts uzerinden granuler yetki matrisi) ile kisitlidir. Duz uye hesaplari yalnizca kendi userId'leri uzerindeki verilere erisebilir.
  • Audit logging: Tum harici API cagrilari (Google, OpenAI, Stripe, Meta, TikTok) lib/logger.ts uzerinden JSON-structured log olarak kaydedilir (request ID, user ID, video ID, timestamp, sonuc). Bu loglar suistimal tespiti ve olay müdahalesi (incident response) icin kullanilir.
  • Veri retention ve imha: Uyelik aktifken sifreli token ve kanal metadata'si saklanir. Uye DELETE /api/user/delete-account endpoint'ini cagirdiginda veya Google Hesabi > Uygulama erisimleri uzerinden baglantiyi kaldirdiginda ilgili tum PII ve token'lar hard-delete ile silinir; tablo satirlariDELETE ile kaldirilir (soft-delete yok). Yasal yukumluluk geregi saklanmasi zorunlu olan fatura kayitlari ayri izole tabloda minimum sure tutulur ve imha tarihi sona erince otomatik temizlenir.
  • Yedekleme ve felaket kurtarma: Veritabaninin periyodik yedekleri alinir (scripts/backup-db.sh). Yedekler de ayni sifreleme standardi ile korunur. Geri donusum (restore) sadece yetkili operasyon ekibi tarafindan yapilir.
  • Hosting bolgesi: Uygulama sunuculari ve depolama altyapisi Avrupa Birligi (AB) / AEA bolgesinde barindirilir. S3 uyumlu nesne depolama eu-north-1 (Stockholm) bolgesinde tutulur. Google API istekleri Google'in kendi bolgesinden servis edilir; AutoTube veriyi AB disina aktarmaz.
  • KVKK / GDPR uyumu: Veri sorumlusu iletisim bilgileri bolum 1'de yer almaktadir. Erisim, duzeltme, silme, islemeye itiraz ve tasinabilirlik haklari icin info@autotube.vip uzerinden basvuru yapilabilir; yanit suresi yasal azami sureler (KVKK icin 30 gun, GDPR icin 1 ay) icindedir.

Bu kontrollerin etkinligi, en az yilda bir kez yapilan ic gozden gecirme (internal security review) ile dogrulanir. Kritik bir olay tespit edildiginde etkilenen kullanicilara 72 saat icerisinde bilgilendirme yapilir.